Подкинули мне анпакми, где висит арма(4.30). И всё бы хорошо, но там висит армовская рега. Такое вот тaм окошечко с вводом ключа, где для этого создаётся отдельный процесс.(Приаттачиться к нему нельзя)
По сути пока лежит цель просто запустить анпакми без подмены HWID. Как это сделать я ещё не придумал
Кто шарит, подскажите, что можно сделать.
Или кто, может статейки, туторы подкинет в тему.

c0e1_19.04.2009_CRACKLAB.rU.tgz - gpch_unpackme1.rar

| Сообщение посчитали полезным:

Подмена хвида, если есть ключ. Или анпак без ключа. По ключу идёт декрипт секций. Если без него не запускается, иначе никак. По подмену статьи были, по анпаку без ключа нет.

| Сообщение посчитали полезным:

Как я правильно понял, анпакнуть без ключа можно, но информация на уровне привата?

| Сообщение посчитали полезным:

OottЭту анпакми можно и без ключа снять, тамже триальный периуд запуска:s1)
Oott пишет:
Тока чета я не заметил в чем проявляется триальность
прогу можно запустить определённое кол-о раз

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Гы, это можно его запустить без ключа Тока чета я не заметил в чем проявляется триальность? Вроде то же окошко для ввода ключа...

| Сообщение посчитали полезным:

Да, можно без ключа анпакнуть в любом случае. Даже если и не запускается без него вообще. Статей, насколько знаю, нету, но некоторые челы владеют техникой этой дзенской.

| Сообщение посчитали полезным:

Archer, Понял, спасибо)
ClockMan пишет:
Эту анпакми можно и без ключа снять, тамже триальный периуд запуска:s1 )
Oott пишет:
Тока чета я не заметил в чем проявляется триальность
прогу можно запустить определённое кол-о раз
Видимо я не знаю в чём фишка, но...
После запуске выдаётся текст:

И дальше можно закрыть приложение, либо ввести ключ, для запуска запакованого приложения.
(Не пойду же я к аффтору крекми. кстати, как оказалось, он обитает на этом форуме )
Возможно, когда триал, защита отключается и раскриптовка кода происходит без учёта на введёный ключ.

| Сообщение посчитали полезным:

OottБерёшь триал резет и убираешь ключи если ты потратил все запуски

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan, ok, спс.
В ходе распаковки возникло несколько вопросов:
1) Вроди бы закриптовки после раскриптовки кода небыло, но чё за фигня в дампе?

Дополнение автора? Тут конечно можно самому всё логично подредактировать, но врядли это будет считаться.
2) Импреком импорт востановить низя? Чёта из-за особых привилегий дочернего процесса, импрек отказутся принимать оер - 403468. И не поpченый, не пофиксены он не найдёт. Хотя вот в какой-то статье тип пишет:
Запускаем ImpRec, выбираем наш процесс, вводим OEP: 00003F00, жмем IAT AutoSearch и GetImport и получаем полный импорт.

| Сообщение посчитали полезным:

может так и надо без имэйджбэйс 00003468

| Сообщение посчитали полезным:

Блин,понятное дело, что я писал без ImageBase. Я о том, что оер найден верно, а импрек этому не верит(точнее у него даже это проверить не выходит).

| Сообщение посчитали полезным:

попробуй вручную найди адрес таблицы импорта и его размер, и не придется импреку ниче искать, он так схавает как есть...

| Сообщение посчитали полезным:

Часть импорта всё равно редирекчена будет, там что без шаманства импрек не поможет всё равно. А вообще какой-то импрек грешил кривым открытием процесса, обычно решалось взятием другой версии.
int 3-наномиты, видимо, из-за них и остальной код поплыл.

| Сообщение посчитали полезным:

zxcZXC, да там всеравно часть импорта пустая, часть перенаправлена. Надо код функций смотреть, таблицу перезаписывать, а потом импреку совать.
Archer, ok, я так примерно и представлял. Щас буду шаманить, спс.

| Сообщение посчитали полезным:

Для нахождения импорта используй UIF,наномиты можно восстановить с помощью ArmInline

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan, Там наномитов мало, можно и в ручную востановить. Но если это делать ArmInline, то принцып какой? Надо сдампить нужные таблицы адресов и дать их ArmInline?
UIF - спс, прикольна тулза.
Импрек отказывается читать код на секциях с запакованым анпакми. Блин, может быть после отработки арма всетаки их криптует.

| Сообщение посчитали полезным:

Нда...
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Nanomites Processing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression

Одни навороты.
Пришлось покапаться, особено под%б автора с наномитами EB03 EB03 EB03
Всем большое спасибо за советы, кому интересно аттач.
p.s. анпакми как-то по тупому написан, я думал после распаковки он сам выведет Registered и т.д. а там ещё и типа защита от простого патча подмены.

1fc2_25.04.2009_CRACKLAB.rU.tgz - Unpacked.exe

| Сообщение посчитали полезным:

EB03-это не под%б автора, а маркер для армы, чтоб она распознала границы наномитов, насколько я помню.

| Сообщение посчитали полезным:

Archer пишет:
EB03-это не под%б автора, а маркер для армы, чтоб она распознала границы наномитов, насколько я помню.
А, ну вобщем да. Просто я краем глаза заглянул в сорец и увидел {$I include\NanoBegin.inc}, ну так и подумал, что то всё одно.

| Сообщение посчитали полезным: