на офсайте лежит такая вещь Thinstall Virtualization Suite Beta
(посмотрев демо-ролик остался в шоке - такие возможности!!, можно запустить office на голой машине за секунды под гостем, причем он не оставит никаких следов на машине - невероятно, прога эмулит реестр, файловую систиему...)
вобщем ХОЧУ !

на офсайте якобы можно загрузить триал версию этого чуда, но требуется регистрация с непубличным мылом,
ладно нашел мыло которое они приняли, но там типа еще должны подтвердить люди, затем активировать аккаунт. жду подтверждения...


может кто регался там уже ?


thinstall.com/products/virtualization_suite.php


если кто хочет посмотреть демо-ролик и впечатлиться
thinstall.com/demos/office_vs/OfficeDemo_take2.flv

| Сообщение посчитали полезным:

кстати можно вылезти на их фтп
может кто с быстрым инетом проверит - есть ли там что вкусное ?

ftp://thinstall.com

l: thinstall
p: thinstall

PS предлагаю объявить в следущем ксакепе х-конкурс: наш сайт padonak.ru переехал на новый домен thinstall.com. где-то в недрах мы спрятали бинарники наших программ. найди их.

-----
in search of sunrise

| Сообщение посчитали полезным:

Ну и сервер у них тупой гетрайт всё ночь трудился а результат близок к =0

| Сообщение посчитали полезным:

Сакс ! "permission denied" !

| Сообщение посчитали полезным:

а софт развивается

вчера на одно "непубличное мыло" пришло приглашение на презентацию нового релиза Thinstall Virtualization Suite 3.0 (!) куда-то там в Калифорнию.

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
угум, мне тоже пришло, но на это же мыло мне ничего не ответили по поводу триальной версии..

| Сообщение посчитали полезным:

содержимое FTP
4Jonathan.zip Архив ZIP - WinRAR 34 140 KБ 15.07.2006 14:18:00
Elements4.zip Архив ZIP - WinRAR 1 041 KБ 14.10.2006 20:44:00
neal-0907-1.zip Архив ZIP - WinRAR 31 416 KБ 07.09.2006 12:30:00
neal-1017-1.zip Архив ZIP - WinRAR 6 579 KБ 17.10.2006 21:19:00
neal-1017-archive.zip Архив ZIP - WinRAR 38 329 KБ 17.10.2006 21:37:00
spss.zip Архив ZIP - WinRAR 68 566 KБ 19.10.2006 22:35:00
spss1.zip Архив ZIP - WinRAR 169 737 KБ 19.10.2006 23:05:00
spsswin.exe.260.10-20-2006 19.50.3.697.trace Файл "TRACE" 85 952 KБ 20.10.2006 20:09:00
TS080206.zip Архив ZIP - WinRAR 16 637 KБ 02.08.2006 13:57:00

| Сообщение посчитали полезным:

Выкачивай всё, может пригодиться

| Сообщение посчитали полезным:

Scratch пишет:
4Jonathan.zip Архив ZIP - WinRAR 34 140 KБ 15.07.2006 14:18:00
Elements4.zip Архив ZIP - WinRAR 1 041 KБ 14.10.2006 20:44:00
neal-0907-1.zip Архив ZIP - WinRAR 31 416 KБ 07.09.2006 12:30:00
neal-1017-1.zip Архив ZIP - WinRAR 6 579 KБ 17.10.2006 21:19:00
neal-1017-archive.zip Архив ZIP - WinRAR 38 329 KБ 17.10.2006 21:37:00
spss.zip Архив ZIP - WinRAR 68 566 KБ 19.10.2006 22:35:00
spss1.zip Архив ZIP - WinRAR 169 737 KБ 19.10.2006 23:05:00
spsswin.exe.260.10-20-2006 19.50.3.697.trace Файл "TRACE" 85 952 KБ 20.10.2006 20:09:00
TS080206.zip Архив ZIP - WinRAR 16 637 KБ 02.08.2006 13:57:00

пробовали уже выше - не получится "permission denied" !

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
не получится "permission denied" !
А может хацкеров кто привлечёт к этому делу?

| Сообщение посчитали полезным:

Bit-hack пишет:
А может хацкеров кто привлечёт к этому делу?
вначале страницы я уже предлагал

Bit-hack пишет:
не получится "permission denied" !
а вообще эти файлы это приложения которые не удалось виртуализировать либо ошибки какие. сюда загружать их просят в хелпе.
вот получить бы доступ вообще к фтп. по идее там должны и дистрибутивы быть..
я тоже не верю что все у них там так непробиваемо...

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
а вообще эти файлы это приложения которые не удалось виртуализировать либо ошибки какие. сюда загружать их просят в хелпе.
вот получить бы доступ вообще к фтп. по идее там должны и дистрибутивы быть..
я тоже не верю что все у них там так непробиваемо...

Ага и даже исходники Thinstall Virtualization Suite 3.0 может лежат ... на фтп..... но вот думаю не на этом

| Сообщение посчитали полезным:

прыколная прога, так что, нашел кто нить релиз ?

| Сообщение посчитали полезным:

NoName пишет:
Ага и даже исходники Thinstall Virtualization Suite 3.0 может лежат ... на фтп..... но вот думаю не на этом
не понял смысла. при чем тут исходники.?

-----
in search of sunrise

| Сообщение посчитали полезным:

кстати нашел 2 интересные ссылки. рекомендуется к прочтению)))

1. Блог основателя и главного разработчика Thinstall (удалили там вчера мой толковый пост непонятно чего)
jonathanclark.com/

2. его письмо разработчикам Wine
www.mail-archive.com/wine-devel@winehq.org/msg28451.html

-----
in search of sunrise

| Сообщение посчитали полезным:

извиняюсь что не совсем в тему, но тоже касается виртуализации.

кто-нить сталкивался с Virtuozzo. только натолкнулся...
пока читаю что за оно, как работает, и для чего предназначено...

www.sw.ru/ru/products/virtuozzo/
www.bytemag.ru/?ID=602222
forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=17630#1
forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=6122#1

-----
in search of sunrise

| Сообщение посчитали полезным:

смотрим новый ролик
и новую демку

thinstall.com/demos/vs_beta_intro/vs_demo2.swf

thinstall.com/downloads/firefox_autoplay.exe

кстати сабж сечас проходит закрытое бета-тестирование, а выход планируется только в декабре.

-----
in search of sunrise

| Сообщение посчитали полезным:

нашел на сайте thinstall
форум ПХПББ2, предположительно 2.0.20, а также блоговый движок ВорлдПресс
вот бы заюзать это ну вы меня поняли

хотя чем больше смотрю тем больше убеждаюсь что ничего там не достать, сильно все грамотно сделано, скоро на стартовую страницу без https не зайдешь.
Ильфак вобщем отдыхает, есть маньяки пожестче

-----
in search of sunrise

| Сообщение посчитали полезным:

Поднимаю тему. Есть ужо у кого это чудо? На руборде было - да сплыло. Можно в эту хрень засунуть кипер и слить на флешку?

И сильно интересуют статьи по снятию Thinstalа. Пару недель назад в запросах чел просил сломать навигатор. На нем - Thinstal. Я тут почитал, типа все решается легко... Да чота у мну руки, наверное кривые, или моск усох. Не въехал я, как эту хрень снять. Поделитесь, плиз, инфой.

| Сообщение посчитали полезным:

stahh
Сам екзешник распаковывается в лет. а вот вытаскивать виртуальные фаилы, завист от количества и какие файлы выдергивать По выдергиванию сходи на www.reversing.be

| Сообщение посчитали полезным:

Ну так объясни, как его распаковать. А то у меня чота не получается. Вот на этой зверушке объяснишь?
rus-gps.narod.ru/firmware/vista-id420-370.zip
Весит метр с чем-то. Файл там вроде только один. Но суть не в этом. Просто хочется разобраться. Хотя бы с распаковкой.

| Сообщение посчитали полезным:

;) Загрузи в ольку ! Посмотри где Иат Поставь бряк на запись и там найдешь джамп перепрыгнишь через заполнение иат скопируешь и вставишь на оеп и сдампишь ! и всего делов

| Сообщение посчитали полезным:

pavka Да, прочитал я статьи на www.reversing.be/, но тока в этой проге чота не катит. Во-первых, ОЕП найти не могу. Если ты имеешь ввиду, тот, куда прыгаю, после заполнения иат - то вроде похоже, только я не понял, чего и куда копировать.
Может все-таки глянешь. На конкретной проге было б понятней.

| Сообщение посчитали полезным:

stahh
Скажи сначала что это за прога? И какая версия Тинстала? Судя по урлу firmware это что то для прошивки?
Скорее всего там не один файл так как вряд ли кому придет в голову использовать сабж в качестве пакера или прота ;)
Прыжок что то типа JG выход на ОЕП типа call dword ptr ss:[ebp-3B8]

| Сообщение посчитали полезным:

походу там дебаг блокер или как оно обзывается) обычно 2 вызова CreateProcess надо перепрыгнуть
и потом до ОЕР не далеко

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

stahh пишет:
Да, прочитал я статьи на www.reversing.be/, но тока в этой проге чота не катит. Во-первых, ОЕП найти не могу. Если ты имеешь ввиду, тот, куда прыгаю, после заполнения иат - то вроде похоже, только я не понял, чего и куда копировать.
Может все-таки глянешь. На конкретной проге было б понятней.
вот может пригодятся скрипты
а какие есть файлы внутри можно посмотреть касперским

defd_25.02.2007_CRACKLAB.rU.tgz - -.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

stahh
Вот на примере смотри
7FF0F933 A1 1C5EF47F mov eax,dword ptr ds:[7FF45E1C]
7FF0F938 8B0D 1C5EF47F mov ecx,dword ptr ds:[7FF45E1C]
7FF0F93E 8B40 08 mov eax,dword ptr ds:[eax+8]
7FF0F941 2B41 04 sub eax,dword ptr ds:[ecx+4]
7FF0F944 C1F8 02 sar eax,2
7FF0F947 8945 8C mov dword ptr ss:[ebp-74],eax
7FF0F94A 8B45 E0 mov eax,dword ptr ss:[ebp-20]
7FF0F94D 3B45 8C cmp eax,dword ptr ss:[ebp-74]
7FF0F950 73 6E jnb short 7FF0F9C0--------------------------- Jmp
7FF0F952 A1 1C5EF47F mov eax,dword ptr ds:[7FF45E1C]
7FF0F957 8B40 04 mov eax,dword ptr ds:[eax+4]
7FF0F95A 8945 B4 mov dword ptr ss:[ebp-4C],eax
---------------------------
0059F000 00000000 <------------------ Копируешь всю ИАТ
0059F004 00000000
0059F008 00000000
0059F00C 0019F990
0059F010 0019F17C
0059F014 00000000
0059F018 00000000
0059F01C 00000000
0059F020 0019FCB6
0059F024 0019F234
0059F028 00000000
0059F02C 00000000
0059F030 00000000
0059F034 0019FCFC
0059F038 0019F248
Вот выход на оеп
7FEF2881 25 00004000 and eax,400000
7FEF2886 85C0 test eax,eax
7FEF2888 74 12 je short 7FEF289C
7FEF288A FFB5 48FCFFFF push dword ptr ss:[ebp-3B8]
7FEF2890 68 6866F37F push 7FF36668 ; ASCII "APISPY: Calling EXE Entry Point %x
"
7FEF2895 E8 F6180000 call 7FEF4190
7FEF289A 59 pop ecx
7FEF289B 59 pop ecx
7FEF289C FF95 48FCFFFF call dword ptr ss:[ebp-3B8] ; .0058CD28 <------
Встаешь на оеп и дампишь выставляешь иат для пущей эстетики можеш восстановить все секции они как правило не затерты в заголовке!
А с виртуальными файлами ну посмотишь ты каспером а дальше чего ? Там нужно будет плотно разбиратся с апи Тинстала ;) А это не то что бы очень сложно очень затратно по времени..

| Сообщение посчитали полезным:

pavka а чего адресса такие странные?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
7FХХХХХХ Родные адреса Тинстала!

| Сообщение посчитали полезным:

Хм. Дак в том-то и дело, что пейд говорит - Тинсталл, но адреса другие. Обычные адреса, с 401000 начинаются. И вызовов CreateProcess нету. Файл один, он потом и работает, тока с него дамп не снимается. И олька не аттачится. Там в статьях, как раз про CreateProcess говорится, что типа надо обойти, и тогда дамп снимется. А чего здесь обходить? Дамп если снять с первого файла, то что это даст? Думаю, тут надо менять доступ к памяти. Где это дело может быть? Вот чего там есть
Found intermodular calls
Address Disassembly Destination
004013BA JNZ vista-id.0040147B (Initial CPU selection)
004062C6 CALL 014062CD
00401617 CALL DWORD PTR DS:[<&KERNEL32.CreateFile kernel32.CreateFileA
004010B4 CALL DWORD PTR DS:[<&KERNEL32.ExitProces kernel32.ExitProcess
00401473 CALL DWORD PTR DS:[<&KERNEL32.ExitProces kernel32.ExitProcess
0040109B CALL DWORD PTR DS:[<&KERNEL32.FormatMess kernel32.FormatMessageA
004015DA CALL DWORD PTR DS:[<&KERNEL32.GetEnviron kernel32.GetEnvironmentVariableA
004013F0 CALL DWORD PTR DS:[<&KERNEL32.GetModuleF kernel32.GetModuleFileNameA
004015F3 CALL DWORD PTR DS:[<&KERNEL32.GetModuleF kernel32.GetModuleFileNameA
004013D5 CALL DWORD PTR DS:[<&KERNEL32.GetModuleF kernel32.GetModuleFileNameW
00401135 CALL DWORD PTR DS:[<&KERNEL32.GetModuleH kernel32.GetModuleHandleA
004013CE CALL DWORD PTR DS:[<&KERNEL32.GetModuleH kernel32.GetModuleHandleA
004013E9 CALL DWORD PTR DS:[<&KERNEL32.GetModuleH kernel32.GetModuleHandleA
00401A66 CALL DWORD PTR DS:[<&KERNEL32.GetModuleH kernel32.GetModuleHandleA
004011C8 CALL DWORD PTR DS:[<&KERNEL32.GetProcAdd kernel32.GetProcAddress
004011ED CALL DWORD PTR DS:[<&KERNEL32.GetProcAdd kernel32.GetProcAddress
004013AD CALL DWORD PTR DS:[<&KERNEL32.GetVersion kernel32.GetVersionExA
0040172B CALL DWORD PTR DS:[<&KERNEL32.GlobalAllo kernel32.GlobalAlloc
00401147 CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar kernel32.LoadLibraryA
004010AC CALL DWORD PTR DS:[<&USER32.MessageBoxA> USER32.MessageBoxA
0040146B CALL DWORD PTR DS:[<&USER32.MessageBoxA> USER32.MessageBoxA
0040140F CALL DWORD PTR DS:[<&KERNEL32.MultiByteT kernel32.MultiByteToWideChar
00401654 CALL DWORD PTR DS:[<&KERNEL32.ReadFile>] kernel32.ReadFile
0040168C CALL DWORD PTR DS:[<&KERNEL32.ReadFile>] kernel32.ReadFile
004016BD CALL DWORD PTR DS:[<&KERNEL32.ReadFile>] kernel32.ReadFile
0040174F CALL DWORD PTR DS:[<&KERNEL32.ReadFile>] kernel32.ReadFile
0040108D CALL DWORD PTR DS:[<&KERNEL32.GetLastErr ntdll.RtlGetLastWin32Error
0040166E CALL DWORD PTR DS:[<&KERNEL32.SetFilePoi kernel32.SetFilePointer
004016A2 CALL DWORD PTR DS:[<&KERNEL32.SetFilePoi kernel32.SetFilePointer
0040170A CALL DWORD PTR DS:[<&KERNEL32.SetFilePoi kernel32.SetFilePointer
004017DA CALL DWORD PTR DS:[<&KERNEL32.VirtualAll kernel32.VirtualAlloc
00401848 CALL DWORD PTR DS:[<&KERNEL32.VirtualAll kernel32.VirtualAlloc
004018BF CALL DWORD PTR DS:[<&KERNEL32.VirtualFre kernel32.VirtualFree
0040118E CALL DWORD PTR DS:[<&KERNEL32.VirtualPro kernel32.VirtualProtect

Пробовал перепрыгнуть через
004017DA CALL DWORD PTR DS:[<&KERNEL32.VirtualAll kernel32.VirtualAlloc
00401848 CALL DWORD PTR DS:[<&KERNEL32.VirtualAll kernel32.VirtualAlloc
004018BF CALL DWORD PTR DS:[<&KERNEL32.VirtualFre kernel32.VirtualFree
0040118E CALL DWORD PTR DS:[<&KERNEL32.VirtualPro kernel32.VirtualProtect
все-равно олька не может приатачиться. Хотя первый файл и убит.

| Сообщение посчитали полезным:

stahh
Тинстал можно определить без всяких анализаторов ! Визульно код очень характерен ;)
поставь bp GetEnvironmentVariableA на 2 или 3 раз выскочишь, смотри по стеку, в эти 7FХХХХХХ адреса
И не нужно ни к чему атачится грузи спокойно в ольку вперед можешь попробовать что бы проще поискать команду как выйдешь на эти адреса call dword ptr ss:[ebp-3B8]
Calling EXE Entry Point %x вот еще один ориентир

| Сообщение посчитали полезным: