| Сейчас на форуме: kris_sexy, vasilevradislav (+5 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› CodeArmor от VI Labs |
| Посл.ответ | Сообщение |
|
|
Создано: 13 декабря 2006 02:50 · Личное сообщение · #1 http://www.vilabs.com/product/codearmor.aspx http://www.vilabs.com/product/codearmor.aspx Сталкивался кто-нить с этой защитой? Поделитесь плиз инфой/ссылками. Нужно не столько ломать, сколько понять как она работает.  |
|
|
Создано: 13 декабря 2006 03:07 · Личное сообщение · #2 vilko Чет там регится надо Thanks for your interest in V.i. Labs' application security software. To request a product demo, please complete the following information. You will be contacted by a representative within 24 hours to schedule a demo time that's convenient for you. и нифига нет! может есть проги покрытые этой фигней? |
|
|
Создано: 13 декабря 2006 04:06 · Личное сообщение · #3 Да, есть тестовая програмуля, Это обычный notepad, закрытый этой защитой.  c2e4_13.12.2006_CRACKLAB.rU.tgz - notepad.zip
|
|
|
Создано: 13 декабря 2006 04:13 · Личное сообщение · #4 Офигеть! Вот это лог, после запуска!  cb52_13.12.2006_CRACKLAB.rU.tgz - viMetrics.log
----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 13 декабря 2006 05:56 · Личное сообщение · #5 vilko пишет: Да, есть тестовая програмуля, Это обычный notepad, закрытый этой защитой Ты ее хоть запускать пробовал? Она тупо не работает залей либо прот куда нить либо упакуй нормально и скинь.
|
|
|
Создано: 13 декабря 2006 06:14 · Личное сообщение · #6 Dark Star пишет: Ты ее хоть запускать пробовал? Пробовал, работает. Но не везде, на ВыньХР SP2 работает, а на той же ВыньХР под VMWare - нет. Еще раз говорю, ломать мне не надо, разве что из чистого любопытства. Мне надо узнать, что именно эта защита делает. Посоветуйте какие-нить статьи, ссылки, ресурсы, кто что встречал по сабжу. |
|
|
Создано: 14 декабря 2006 05:49 · Личное сообщение · #7 vilko пишет: Мне надо узнать, что именно эта защита делает. Защищает наверно 
Добавляет две секции iedata и vdata. После запуска создает два процесса - один notepad.exe второй notepadvi.exe; Палит (у меня) любую Олю , не дает приатачится к процессу notepad.exe, к notepadvi.exe приатачиля. Блюдет целостность кода и наверно еще че нибудь 
При снятии дампа с обоих процессов получились: один нормальный PE file второй Not a valid PE file (попорчен заголовок), но по размеру совпадают до байта. Бинарно совпадают ~ на 80% (интересно поанализировать бинарные отличия). Кстати размер упакованного гы блокнота увеличился раз в пять 93cb_14.12.2006_CRACKLAB.rU.tgz - Error.jpg
|
|
|
Создано: 14 декабря 2006 07:51 · Личное сообщение · #8 а кто-нить получил демку ? ----- in search of sunrise |
|
|
Создано: 15 декабря 2006 00:02 · Поправил: crc1 · Личное сообщение · #9 bloom пишет: а кто-нить получил демку ? Я попробовал, зарегистрировался, ответили : Thank you for your interest in V.i. Labs. A representative will follow up with you shortly to schedule a demo time that's convenient for you Ждемс ЗЫ. Что то не вижу активности гуру по распаковке. Имхо прот заслуживает внимания |
|
|
Создано: 15 декабря 2006 01:54 · Личное сообщение · #10 crc1 пишет: Я попробовал, зарегистрировался, ответили : Thank you for your interest in V.i. Labs. A representative will follow up with you shortly to schedule a demo time that's convenient for you Чего то обещали в 24 часа а два дня ни чего нет |
|
|
Создано: 15 декабря 2006 03:14 · Личное сообщение · #11 pavka Ты блокнот пробовал ковырять? Если да, делись впечатлениями 
|
|
|
Создано: 15 декабря 2006 04:29 · Личное сообщение · #12 crc1 Блокнот у меня не запускается ;( Ни на XP Sp2 ни на Sp1 |
|
|
Создано: 15 декабря 2006 06:39 · Поправил: Hellspawn · Личное сообщение · #13 я ковырял под 2000  никак не заставлю его под олькой запуститься...
в принципе из антиотладки ничего нового не заметил, но пока не могу спрятаться от SetUnhandledExceptionFilter не пойму почему процесс завершается 
я же пропатчил NtQueryInformationProcess 
----- [nice coder and reverser] |
|
|
Создано: 15 декабря 2006 13:11 · Личное сообщение · #14 Сейчас бегло взглянул. Такое ощущение, что там как-то по разному эти SetUnhandledExceptionFilter используются. Половину под олли адвансед нормально проходит, а другую с ним не проходит, зато проходит на чистой ольке. |
|
|
Создано: 15 декабря 2006 13:31 · Личное сообщение · #15 asd пишет: Сейчас бегло взглянул. Такое ощущение, что там как-то по разному эти SetUnhandledExceptionFilter используются. Половину под олли адвансед нормально проходит, а другую с ним не проходит, зато проходит на чистой ольке. угу, никак не пойму почему... надо глядеть UnhandledExceptionFilter и разбираться почему так
Если UnhandledExceptionFilter возвращает значение EXCEPTION_EXECUTE_HANDLER, тогда выполняется код в _except-блоке. EXCEPTION_CONTINUE_EXECUTION, после чего происходит рестарт операции вызвавшей исключение. Если процесс действительно запущен под отладчиком, UnhandledExceptionFilter возвращает значение EXCEPTION_CONTINUE_SEARCH, которое заставляет ОС разбудить отладчик, и сообщить ему, что произошло исключение в отлаживаемой им программе ----- [nice coder and reverser] |
|
|
Создано: 16 декабря 2006 12:20 · Поправил: Hellspawn · Личное сообщение · #16 короче поглядел более внимательно... в принципе ничего особенного в интиотладке, куча стандартных приёмов... но я запнулся вот на чём: 1) создаётся поток 2) в цикле ожидаются сообщения от потока 3) в потоке какой то бред, файл переименовывается и создаётся новый процесс: 0081FD54 00000000 |ModuleFileName = NULL 0081FD58 00077A48 |CommandLine = """D:Мои документы otepadVi.exe"" ...>i'cuА<..@=.. QQR QRX ""ј.GoZ.КО.ЕД.лгв.НМO#ОaKИ..#t""" 0081FD5C 0081FE48 |pProcessSecurity = 0081FE48 0081FD60 0081FE54 |pThreadSecurity = 0081FE54 0081FD64 00000001 |InheritHandles = TRUE 0081FD68 00000000 |CreationFlags = 0 0081FD6C 00000000 |pEnvironment = NULL 0081FD70 00000000 |CurrentDir = NULL 0081FD74 0081FF74 |pStartupInfo = 0081FF74 0081FD78 0081FE64 pProcessInfo = 0081FE64 дальше в него что-то записывается... потом ждётся отладочное событие и пи**** главнй поток терминайтед...
что за функции такие CreatePipe и DuplicateHandle? что-то я хз чё делать ----- [nice coder and reverser] |
|
eXeL@B —› Крэки, обсуждения —› CodeArmor от VI Labs |
Для печати