Выложил статью в разделе "RAR-статьи" по распаковке ACProtect.
Анализ опций Stolen OEP, API Redirection, Dynamic Encryprion, Embedded protector.
Жду ваших мнений, отзывов, поправок, предложений.

Вот ссылка на саму статью:
http://exelab.ru/rar/dl/CRACKLAB.rU_56.rar

| Сообщение посчитали полезным:

Спасибо, полезная вещь !

| Сообщение посчитали полезным:

не плохо

только бросилосьв глаза:

Распаковка ACProetct

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
Распаковка ACProetct
Имхо это не критично, обычная опечатка - главное содержание.

| Сообщение посчитали полезным:

Абыдно, вроде везде проверил, а в названии пропустил...

| Сообщение посчитали полезным:

на всякий случай, ссылка на исследуемую прогу, а то ведь обновится:
1CLICK DVD COPY 5 http://www.lgsoftwareinnovations.com/exe/1clickdvdcopysetup5.1.1.6.exe

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
а то ведь обновится:

уже обновилас.. в приложенной к статье версия 5.0.3.5
а на сайте 5.1.1.6

Ara пишет:
обычная опечатка

да она млин в самом начале, в заглавии, жалко просто

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Я ж вроде не опирался на всякие смещения, описывал универсальный способ... Ну да ладно.
Если нужна версия, по которой писалась статья:

stream.ifolder.ru/1153680
rapidshare.com/files/17091270/1clickdvdcopysetup.exe.html

| Сообщение посчитали полезным:

да нет) я для тех кто будет пытаться распаковывать, а то будут вопросы, почему адреса не те)
кста там версия вроде ACProtect 1.3x

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
ЕР распакованного протектора (я по нему определяю версию) - 1.32. Сигнатуры Embedded protector'a схожи с 1.0х, если ты к этому ведешь))

| Сообщение посчитали полезным:

HoBleen
Имхо продолжай дальше тему!
К примеру о подобных трюках
0058D2CA 8B85 EA614000 mov eax,dword ptr ss:[ebp+4061EA]
0058D2D0 8B70 3C mov esi,dword ptr ds:[eax+3C]
0058D2D3 03B5 EA614000 add esi,dword ptr ss:[ebp+4061EA]
0058D2D9 83C6 28 add esi,28
0058D2DC AD lods dword ptr ds:[esi]------------> проверка оеп
обходится пр имерно так
0058D2CA 8B85 EA614000 mov eax,dword ptr ss:[ebp+4061EA]
0058D2D0 BE D0FC4F00 mov esi,004FFCD0<---------------- пишем оеп запротекченой проги
0058D2D5 90 nop
0058D2D6 90 nop
0058D2D7 90 nop
0058D2D8 90 nop
и других приятных вещах иногда встречающихся в проте

| Сообщение посчитали полезным:

Открою еще один небольшой трюк ! в старых версиях прота вовсе не обязательно вообще трогать Embedded и Кодереплейс ! Достачно просто вернуть старое оеп к примеру в 1CLICK DVD COPY 5 у меня в версии найденое оеп 006DA3C3 у запротекченой проги 006C0000
на 006C0000 пишем push 006DA3C3 и ret и меняем оеп на 006C0000 и все не нужно больше ни чего трогать! и вся распаковка 30 секунд ;) Вот дамп кому интересно !
rapidshare.com/files/17236305/1ClickDvdCopyU.rar
Ну и в новых версиях эта фишка тож работает только прот еще проверяет что там то есть если вернуть старые байты все будет о.к

| Сообщение посчитали полезным:

Да уж)) Проверки я еще не копал.
Не очень-то серьезный прот получается...
Но это так, игры, все равно лучше отодрать для красоты и анализа.

Сейчас думаю над старым проектом - ACPR aditional info finder - ща проблемка возникла, если кто-нибудь поможет в соседнем топике, сдвинусь с мертвой точки...

| Сообщение посчитали полезным:

HoBleen пишет:
Не очень-то серьезный прот получается...
Но это так, игры, все равно лучше отодрать для красоты и анализа.
Да нет нормальный прот! Если грамотный програмер поставит снять очень даже не просто и довольно муторно ;) Давненько была тема прога AutoFlowchart прот поставлен очень не плохо если не подменять оеп а снимать все фишки не хило повозится придется хотя версия прота вообще какая то древняя

| Сообщение посчитали полезным:

Неее, не факт. Так можно про любой прот сказать. Даже про UPX. В RegSupreme Pro к нему неплохо привязались....

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Так можно про любой прот сказать. Даже про UPX.
;) Так оно и есть наверное на самом деле ! Есть куча примеров казалось бы неломаемый VMProtect + прот одна ошибка и все убирается одним байтом все от програмера зависит а не от прота ! Проты вообще в осном раслабляюще действует на девелоперов ну кроме конечно паталогических случаев ...

| Сообщение посчитали полезным:

pavka пишет:
Проты вообще в осном раслабляюще действует на девелоперов ну кроме конечно паталогических случаев
+1
Хорошо то, что пока соотношение продвинутых девелоперов к ламо девелоперам достаточно мало... И вообще - качественные защиты в основном бывают от тех, кто сам умеет их ломать

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

pavka пишет:
Да нет нормальный прот! Если грамотный програмер поставит снять очень даже не просто и довольно муторно ;)
Ну я смотрю с точки зрения анализа самой защиты, а не возможности её применения. Ну вот Embedded protector должен защищать от сброса дампа, а получается, что его не то что отломать, но и обмануть легко! Сам код прота также легко просмотреть, мешают только сполиморфенные циклы, которые легко обходятся с помощью скрипта. Анализу кода они никак не мешают. Далее ОЕР оbfuscation работает далеко не всегда, часто пакованные проги не запускаются.

В целом сложилось не очень положительное мнение о протекторе; я не говорю, что он не представляет никакой защиты, я про то, что ИМХО все как-то кривовато сделано...

Smon пишет:
качественные защиты в основном бывают от тех, кто сам умеет их ломать
+1

| Сообщение посчитали полезным:

HoBleen пишет:
Ну вот Embedded protector должен защищать от сброса дампа, а получается, что его не то что отломать, но и обмануть легко! Сам код прота также легко просмотреть, мешают только сполиморфенные циклы, которые легко обходятся с помощью скрипта. Анализу кода они никак не мешают
Если защита будет в самих процедурах и сами процедуры будут перекрываться то такой обман мимо денег ;) Нужен будет полный анализ кода причем просто скрипта будет недостаточно так как часть прцедур постоянно модифицируется ...

| Сообщение посчитали полезным:

дайте OllyAdvanced, искал Olly Advanced 1.26 Beta 10, нашёл только оду ссылку, и та не рабочая.

| Сообщение посчитали полезным:

Flosy

Вот бетка 12


3d4f_20.02.2007_CRACKLAB.rU.tgz - advancedolly126b12.dll

| Сообщение посчитали полезным:

pavka
HoBleen пишет:
Сам код прота также легко просмотреть
Имею ввиду Stub прота, т.е. код, осуществляющий распаковку, построение импорта, обработку релоков и т.д.

| Сообщение посчитали полезным:

pavka пишет:
Если защита будет в самих процедурах и сами процедуры будут перекрываться
Перекрываемые маркеры не поддерживаются ни в одном из протекторов, если ты об этом, и ацпр - не исключение.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Посмотри в самом ACProtect

| Сообщение посчитали полезным:

Ну вообще они перекрываемые, но не рекурсивные. Вот рекурсию никто не делает, а перекрытию кто помешает?

Если честно, не помню, но вроде там есть место с Dynamic Encryption внутри Embedded Portector'а, а не EmP в EmP.

| Сообщение посчитали полезным:

pavka
Попробовал на тестовом примере - перекрываемый код не работает ни в каких случаях, работают только маркеры внутри маркеров, попробуй перекрыть EmP и DE или наоборот - прога вылетает. Если делать маркеры внутри маркеров - тут соответственно проблем нет, но это уже не перекрываемые маркеры получаются
Всё же HoBleen был прав - под перекрываемыми я имел в виду не просто маркер в маркере а рекурсию

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: