на офсайте лежит такая вещь Thinstall Virtualization Suite Beta
(посмотрев демо-ролик остался в шоке - такие возможности!!, можно запустить office на голой машине за секунды под гостем, причем он не оставит никаких следов на машине - невероятно, прога эмулит реестр, файловую систиему...)
вобщем ХОЧУ !

на офсайте якобы можно загрузить триал версию этого чуда, но требуется регистрация с непубличным мылом,
ладно нашел мыло которое они приняли, но там типа еще должны подтвердить люди, затем активировать аккаунт. жду подтверждения...


может кто регался там уже ?


thinstall.com/products/virtualization_suite.php


если кто хочет посмотреть демо-ролик и впечатлиться
thinstall.com/demos/office_vs/OfficeDemo_take2.flv

| Сообщение посчитали полезным:

stahh пишет:
CreateProcess говорится, что типа надо обойти, и тогда дамп снимется. А чего здесь обходить?

всё норм обходится и снимается и даже секции восстанавливаются
надо ещё капнуть, попробовать импорт по-другому восстановить, как pavka советовал...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Нашел я вход в тинсталовский код, и переход на оеп есть, тока он не проходит. Прога создает файл, потом через CreateProcess его запускает и завершается. Возврата на адреса 401000 - нету.А файло в памяти - такое же, дамп с него снял, но он падает, потому как оеп - не тот. Тинстал 2.501, судя по строкам в коде. Чота я не въеду.

| Сообщение посчитали полезным:

Hellspawn Ты имеешь ввиду ту прогу, что я ковыряю? Или вообщем? Если ту, то ткни носом, где и чего искать.

| Сообщение посчитали полезным:

stahh пишет:
Нашел я вход в тинсталовский код, и переход на оеп есть, тока он не проходит. Прога создает файл, потом через CreateProcess его запускает и завершается
Если не доходит до оеп то я могу лишь предположить что до запуска основного файла либо dll или что нить еще проверяет регистрацию или ключевой файл или еще чего нибудь ! Найди проверку и все ;)

| Сообщение посчитали полезным:

Данную прогу пока не смотрел, но что-то подобное видел. У меня проход до ОЕП загрузчика выглядел так:
Бряк на доступ к кернелу(два раза), затем до рет несколько раз и видел jmp EAX (VM).

| Сообщение посчитали полезным:

SergSh пишет:
несколько раз и видел jmp EAX (VM).
VM ? В Тинстале? о чем это ты?

| Сообщение посчитали полезным:

Вот так выглядит переход на оеп тинстала в этой проге
00401A8B 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00401A8E FFE0 JMP EAX
Проверки, вроде, никакой нету. Ну, кроме оси, системдиры и т.п. Просто создается файл в памяти и запускается. Похоже на хрень именуемую CrypKey. Тут где-то тема была. Если дойти до CreateProcess и создать новый файл, то дамп с него снимается, но начало там такое же, как и в основном, и дальше опять чота расшифровывается. Может кто глянет саму прогу?
Нах на прогу стоимостью 300 рублей навешивать такую защиту?

| Сообщение посчитали полезным:

Так и есть.
00401A8E .- FFE0 JMP EAX (в EAX 7FF79E04)
Далее используем недочёты данного продукта для восстановления загрузчика, а именно смотрим память:
7fd10000 0022C000
7ff40000 0005C000
Понятно, что по 7ff40000 находится наш загрузчик. Но если поискать байты с VОЕР в 7fd10000, то мы будем приятно удивлены:
7FF79E04 55 PUSH EBP
7FF79E05 8BEC MOV EBP,ESP
7FF79E07 6A FF PUSH -1
7FF79E09 68 70BEF87F PUSH 7FF8BE70
7FF79E0E 68 A09BF77F PUSH 7FF79BA0
7FF79E13 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
7FF79E19 50 PUSH EAX
7FF79E1A 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
7FF79E21 83EC 10 SUB ESP,10
7FF79E24 53 PUSH EBX
7FF79E25 56 PUSH ESI
7FF79E26 57 PUSH EDI
7FF79E27 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
7FF79E2A FF15 7062F87F CALL DWORD PTR DS:[7FF86270] ; kernel32.GetVersion

7FD49E04 55 PUSH EBP
7FD49E05 8BEC MOV EBP,ESP
7FD49E07 6A FF PUSH -1
7FD49E09 68 70BE4400 PUSH 44BE70
7FD49E0E 68 A09B4300 PUSH 439BA0
7FD49E13 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
7FD49E19 50 PUSH EAX
7FD49E1A 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
7FD49E21 83EC 10 SUB ESP,10
7FD49E24 53 PUSH EBX
7FD49E25 56 PUSH ESI
7FD49E26 57 PUSH EDI
7FD49E27 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
7FD49E2A FF15 70624400 CALL DWORD PTR DS:[446270]

Как водите прот не подчистил за собой и мы видим наши нормальные смещения и чистую таблицу импорта.
Дальше мы просто выделяем и вставляем в наш екзешник и ребилдим.

Зы:
pavka - я просто имел ввиду прыжок в память(согласен, выразился не корректно).
stahh - после запуска загрузчика обходим вызовы CreateProcess.

| Сообщение посчитали полезным:

Все точно, только у меня адреса на 10000 больше. Вот тока на пальцах можно объяснить, чего и куда вставлять? Ну не дружу я с пакерами

| Сообщение посчитали полезным:

stahh вот восстановленный загрузчик. _http://webfile.ru/1328699
Но меня интерисует, что делать дальше. Вроде бы сейчас ничего не мешает разобрать алгоритм генерации ключа, но я в этом полный нуль (как в общем то и во всём остальном). Если же необходимо восстанавливать библиотеку, то вроде там нет никаких препядствий. Бряк на виртуаллалок и после пятого срабатывания в памяти будет "девственная" ддлка. Дале она преобразует свою ИАТ так, что пролог к функциям берётся из екзешника. В этом направлении у меня есть кое-какие идеи, но если возможна генерация пароля на данном этапе, то "нахрена козе баян". Может быть кто нибудь посмотрит алгоритм генерации, то скооперируемся под девизом "Всё для начинающих".

| Сообщение посчитали полезным:

Хм... посмотрел прошивка закрыта на ключь вот dll дизасамь найдешь патчи получиш екзешник все просто

5c76_27.02.2007_CRACKLAB.rU.tgz - demo.rar

| Сообщение посчитали полезным:

Кому-нибудь нужно крякнутое Thinstall Studion 2.51?

| Сообщение посчитали полезным:

...а более позднее есть? СПАСИБО

| Сообщение посчитали полезным:

pvaskiph пишет:
...а более позднее есть?
Нет. Не по-падались.

| Сообщение посчитали полезным:

Вот нашел еще одну ссылочку на warezOk: -->thinstall 2.712<-- http://rl-team.ru/330945 . Ссылка живая точно, но прогу проверить не успел- еще сливаю.

| Сообщение посчитали полезным:

Вот еще одну ссылочку нашел: Thinstall 3.035 Virtualization Suite+patch http://zacharyliu.files-upload.com/files/87369/Thinstall3035.rar
Password: mikicun.

Ссылочка бессовестно скопирована мною тут http://www.zaza.net.ua/forum/showthread.php?t=9135 .

| Сообщение посчитали полезным:

По-пытался виртуализировать при помощи TVS 3.035 Налогоплательщик 2006 http://nalogy.ru/ . Все вроде прошло успешно, но при запуске прога просит указать путь к dbf файлам. Т.к. я не знаю какие файлы ей нужны, жму отмену и в результате выдает, что не может найти альяс KLADR. Сама прога, не виртуализированная, на этой машине работает без проблем. Кто-нибудь может помочь решить проблему?

| Сообщение посчитали полезным:

agentSmith пишет:
Кто-нибудь может помочь решить проблему?

Доки почитай к Thinstall.

| Сообщение посчитали полезным:

agentSmith залей куда-нибудь Thinstall 3.035 Virtualization Suite+patch. По той ссылке уже нету. Если можно не на рапиду.

| Сообщение посчитали полезным:

ToBad
У меня без проблем качнулось. Качал по этой ссылке: download2-4.files-upload.com/2007-03/14/15/Thinstall3035.rar

| Сообщение посчитали полезным:

От UnPacKcN
How-To Install Thinstall
------------------------

1. Install with "Setup.msi"
2. Copy "Patch.exe" to install directory and double-click
3. Click "Cancel" on window that opens (ignore the error message)
4. You should instantly see a bunch of backup files made - patch complete!
5. Run and enjoy.


How-To Use Thinstall
--------------------

(Thanks to MiKiCuN for basic concept; translated/written/tested by GuidoZ)

1. Run "Setup Capture" and take a system snapshot. (Patch this file per above first.)
2. Install your program to be thinstalled - do not do ANYTHING else on the system!
3. Run "Setup Capture" again for post-install setup and snapshot of changes made.
4. Edit "package ini", and change to "compression:fast" and "isolation:merged".
5. Copy #attributes.ini into same folder of build.bat and package.ini.
6. Edit "build.bat" and change "THINSTALL_BIN" variable to Thinstall directory.
7. Run build.bat and wait for Thinstall to finish.
8. Patch the resulting EXE inside bin folder after creation is complete.

NOTE: It is highly recommended to run Thinstall in "clean environment", such as a separate system, or better yet, use a virtual environment like VMWare or VirtulPC.

Thinstall is an Application Virtualization Platform that enables complex software to be delivered as self-contained EXE files which can run instantly with zero installation from any data source.
The core of Thinstall VS is the Virtual Operating System, a small light-weight component which is embedded with each “Thinstalled” application.

Thinstall.VS v3.043 - Cracked and Portable Versions in One

rapidshare.com/files/20870039/Thinstall_Virtualization_Suite_3.0.rar

| Сообщение посчитали полезным:

NIKOLA пишет:
Доки почитай к Thinstall.
Спасибо за развернутый ответ. Я уже третий день пытаюсь с доками разобраться.

ToBad пишет:
agentSmith залей куда-нибудь Thinstall 3.035 Virtualization Suite+patch. По той ссылке уже нету. Если можно не на рапиду.
Ссылка, которую дал pavka живая. Но если надо могу перезалить, тока скажи куда? Там около шести метров.

| Сообщение посчитали полезным:

pavka - спасибо за ссылку.

agentSmith пишет:
Но если надо могу перезалить, тока скажи куда?

Спасибо за желание помочь ! К счастью удалось всё скачать с рапиды самостоятельно. Она то работает, то нет. Прокси у меня...

| Сообщение посчитали полезным:

agentSmith пишет:
Она то работает, то нет.

Я тоже в инете через прокси (немецкий), на рапиду не пускают, а когда с российского IP тогда всё гуд.

| Сообщение посчитали полезным:

внесу свою лепту, распаковал v3.043
1 http://rapidshare.com/files/17697584/Thinstall.3043.Unpacked.part01.rar 2 http://rapidshare.com/files/17698747/Thinstall.3043.Unpacked.part02.rar 3 http://rapidshare.com/files/17693790/Thinstall.3043.Unpacked.part03.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
внесу свою лепту, распаковал v3.043
Это тоже, что pavka дал?

| Сообщение посчитали полезным:

Reversing Thinstall Virtualization Suite
Reversing Thinstall Virtualization Suite & Inline Patching Thinstall Virtual OS version 3.49.0.0
arteam.accessroot.com/tutorials.html?fid=201

| Сообщение посчитали полезным:

seeq
Спасибо! Интересный метод надо попробовать!

| Сообщение посчитали полезным:

Наваял патч для билдов сделанных Thinstall 3.043
Можно отключать/включать:
-Проверку окончания лицензии
-Показ EULA при первом запуске
-Показ прогресса загрузки

mihd.net/ika8mp
Пароль:4jeBXUKR~65ME37Z

| Сообщение посчитали полезным:

P0150N пишет:
Наваял патч для билдов сделанных Thinstall 3.043
нормальный патч. только не на всех сборках работает.
посмотри вот 7z http://rapidshare.com/files/21640918/7zFM.rar

-----
in search of sunrise

| Сообщение посчитали полезным: