Данный CHM-архив является ничем иным, как сборником переведенных на русский язык статей Ricardo Narvaja «Введение в крэкинг с нуля, используя OllyDbg»

Однако, есть существенные различия, а именно:
# Все статьи имеют свои названия.
# Исправлены ошибки автора статей и грамматические ошибки переводчика, найденные лично мной или другими читателями, оставившими свои «находки» в комментариях к статьям (до 20.09.2009).
# Переведены все комментарии автора на скриншотах с испанского на русский. Т.к. я знаю испанский точно так же, как и большинство из вас, то для перевода использовались онлайн переводчики. Те скриншоты, на которых слова на испанском не удалось довести машинным переводом до русского-человеческого, были оставлены как есть, дабы не заблуждать читателя.
# Все файлы к статьям были прикреплены к архиву и перепакованы в формат .7z (http://www.7-zip.org/), для уменьшения их объема + добавлены те, что были указаны в статьях, но ссылки на них не было (правда, не всегда удавалось найти именно ту версию, что в статье).
# Во многих статьях ссылаются на тот или иной CRACKME или программу, которые использовались в более ранних статьях. В большинстве случаев поиск этих файлов занимало много времени. Поэтому, во всех статьях указаны ссылки на все упомянутые файлы.
# В некоторых статьях были обрезаны скриншоты (без потери качества и несущей ими информации) и убраны не нужные кучи пробелов, чтобы на разрешении от 1024х768 не появлялась горизонтальная прокрутка.
# Пережаты все скриншоты формата .png без потери качества.

Главы 1-54:
--> OllyTuts1-54.rar (28.4 MB) <--
Пароль на архив: exelab.ru
(Чтобы антивирусы не стопорили загрузку)

Главы 55-58 (автор перевода dizzy_):
--> 55-58.rar (6.48 MB) <--

! Антивирус может ругаться на засранчиков внутри архива. Практически все файлы - оригиналы из статей, "своего" ничего не добавил

| Сообщение посчитали полезным:

gisterne пишет:
подскажите можно ли снять протектор с программы


Данная тема называется:
"Введение в крэкинг с нуля, используя OllyDbg (сборник)"
Ну причем тут снятие абстрактного протектора с абстрактной программы?

Открой тему, назови ее соответственно, покажи свою работу, задай конкретные вопросы.
Тогда тебе помoгут или не помогут, но все же будет ближе к телу.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

ResidentS пишет:
там нет решения а только перессказ написанного
Тогда ответ такой - Всё, что не доделал Нарваха, попробую доделать я, сейчас я просматриваю заново весь курс и выписываю программки, которые он не похачил.

| Сообщение посчитали полезным:

plutos пишет:
gisterne пишет:
подскажите можно ли снять протектор с программы


Данная тема называется:
"Введение в крэкинг с нуля, используя OllyDbg (сборник)"
Ну причем тут снятие абстрактного протектора с абстрактной программы?

Открой тему, назови ее соответственно, покажи свою работу, задай конкретные вопросы.
Тогда тебе помoгут или не помогут, но все же будет ближе к телу.

ну вот открыл я тему, задал КОНКРЕТНЫЙ ПРОСТОЙ ВОПРОС, - ее закрыли по подозрению в запросе на взлом, ну если бы мне нужен был запрос на взлом я запостил в теме запрос на взлом я так понял тут не форум, а какая то биржа курсов и запросов на взлом
в старой версии прот был снят с помощью валидной пары ид+ключ, вшивается ли он в программу или нет, или возможно как то по другому имея программу с который был снят тот же самый прот с теми же настройками и ключами что и в новой - все что меня интересовало, ни больше ни меньше - видать это какая то очень дорогостоящая информация

| Сообщение посчитали полезным:

Может кто-нибудь описать как искать украденные байты?Мы начинаем трассировку и как понять что именно эти команды нам и подходят?

| Сообщение посчитали полезным:

--> Link <--
Неправильные байты сразу видно. В нормальной программе код красивый и правильный, а с украденными он не такой Но это моё личное объяснение. Вот почитайте ссылку выше.

| Сообщение посчитали полезным:

ResidentS пишет:
Может кто-нибудь описать как искать украденные байты?
Посмотрите гл.39 - Украденные байты, украденный код.

| Сообщение посчитали полезным:

А также 42,48,53. Дальше, в курсе идёт эмуляция, эта тема должна была быть окончена в 59 главе и в 60 начаться виртуализация ExecryptorA. Надеюсь, когда-нибудь эти главы появятся.

| Сообщение посчитали полезным:

yashechka пишет:
Надеюсь, когда-нибудь эти главы появятся.

надежду можна поискать тут (или подождать )

https://twitter.com/ricnar456

| Сообщение посчитали полезным:

Не Ric сказал, что не вернется к этой теме, я с ним переписывался. И слишком много воды утекло с 2006 года. На тот момент ExeCryptor правда не был побеждён. Но сейчас 2017. Надежда на кого-то русскоязычного, может тот кто знает хорошо ExeCryptor, сможет дописать про эмуляция и виртуализацию, если нет, то придётся всё самом делать

| Сообщение посчитали полезным:

yashechka пишет: Надежда на кого-то русскоязычного, может тот кто знает хорошо ExeCryptor, сможет дописать про эмуляция и виртуализацию, если нет, то придётся всё самом делать

Зачем он нужен? Он встречается чуть чаще снежного человека, лучше урок полностью переписать, взять что то более актуальное, можно даже проще и уже к актуальному применять методы описанные в статье, иначе урок уже изначально будет устаревшим (имхо).

| Сообщение посчитали полезным:

В 42 уроке изучаются скрипты для hbp на примере acprotect 1.09 .
У меня hbp там не срабатывает вообще . Ни со скриптами , ни без . Ни на oep , ни на коде в точке входа упаковщика . На других крякми все работает . Машина - xp на virtualbox.
Это защита так срабатывает или может я где-то настройках накосячил ? :\
Пару дней не могу понять в чем дело .

| Сообщение посчитали полезным:

Так Вы по видосу делаете?
Если - да, то попробуйте чистый олли запустить, из-за большого количества плагинов может глючить и работать не так.

Добавлено спустя 3 часа 43 минуты
Ещё момент. Если не получится, попробуйте на ВМВаре.

| Сообщение посчитали полезным: Raccoon

Разобрался . Оказалось что на моем новом компе была выключена в биосе аппаратная виртуализация
Из-за этого virtualbox молча врубал софтверную эмуляцию , в которой не работали hbp .

| Сообщение посчитали полезным: yashechka

Глава 41
При разборе этой главы, у меня секция антидампа (390000) грузанулась выше базы образа (400000) (снова же Win8.1, так как я хочу вскрывать в этой системе в перспективе новый софт), как следствие -- метод 41 главы подошёл лишь частично, процесс сшития был мной полностью переработан, что привело к созданию собственного туториала на главу 41. Метод марсиано ещё буду прорабатывать ( если будет изложен в следующих главах). Результат на мое удивление был получен. Софт заработал в XP и win 8.1.

Вот приготовленная мной инструкция и выдержки с главы:
Антидам, мой вариант

Ага, прочитал я метод marcian'а по антидампу. Все как я думал и понял с того что было в 41 главе. Но этого мало! Метод marcian'а тоже не подходит потому, что память не выделяется в 390000 выше базы образа 400000, я пробовал.

Как выяснилось подходит, не заметил одного ВАЖНОГО флага MEM_TOP_DOWN
MEM_TOP_DOWN | MEM_COMMIT | MEM_RESERVE

PUSH 40
PUSH 103000
PUSH 3C000
PUSH 390000
call VirtualAlloc

Теперь все пучком!
Метод марсиана -- это Решение! Спасибо форуму за метод марсина, ну а справку MSDN я буду читать глубже!

Как оказалось при тестировании адрес 390000 не всегда выделяется. Поэтому программа при запуске с вероятностью где-то 50% падает при запуске.

Поэтому этот способ (марсиана) не панацея.

| Сообщение посчитали полезным: yashechka

Как можно сделать в первой olly выделение нескольких , идущих не по-порядку строк кода ? Хочу сделать binary copy-paste украденных байтов . Точно помню что как-то можно было . Но вот уже часа полтора лазию в гугле , пробую всякие хоткеи и ни-че-го

| Сообщение посчитали полезным:

Raccoon пишет:
Как можно сделать в первой olly выделение нескольких , идущих не по-порядку строк кода ?
никак.

| Сообщение посчитали полезным: Raccoon

А вот возник такой вопрос, может, у кого такое было
- Odbg v.1.10 перестал останавливаться на <int3> в коде. [......]

Всё заработало, Ок.



| Сообщение посчитали полезным:

Стараюсь все делать по тутору, но в реальности почему-то все сильно отличается. В главе 24 (там , где злосчастный antisocial) ноплю все int 68, и потом после мига показа проги на 478630 вылетает исключение записи, хотя запускался с пропатченной версии со всеми указанными настройками. Еще один непонятный момент если поотключать все настройки плагинов и исключений то прога все равно будет стопить на int 68. Но если же запустить в чистой ольке (скопировать отдельно только ollydbg.exe), тогда ни на чем не стопорит а сразу идет к CreateToolhelp32Snapshot, после чего олька закрывается. Удалял все файлы настроек и папку плагинов (кроме самой Ollydbg.exe) в уже "настроенной" Olly, но при запуске antisocial почему-то доходил до int 68 вместо CreateToolhelp32Snapshot и последующего закрытия. Мистика какая-то=)

Добавлено спустя 9 часов 12 минут
так что 50 просмотров и никто из мудрейших не может никак прокомментировать предыдущий пост?

| Сообщение посчитали полезным:

Посмотри видео от Яши, я так честно не помню, что там и как там, но название кряка помню.

| Сообщение посчитали полезным:

yashechka пишет:
Посмотри видео от Яши
ссыль можно?

| Сообщение посчитали полезным:

shiroko - Нарваха для нейтрализации защиты делает:
1. Переименовывает OllyDbg
2. Использует плагины HideDebugger и HideOD
3. Заменяет начальные popad на pushad
4. А затем нопит все int68
Вы это делали?

| Сообщение посчитали полезным:

https://www.youtube.com/watch?v=wwf-BVmQ6Hk&list=PL59fvn5FIiQG0CrnALLgXzdpDTOk0hrz2&index=27

| Сообщение посчитали полезным:

ksol пишет:
Вы это делали?
конечно... и все равно исключение ошибки записи по нулевому адресу

| Сообщение посчитали полезным:

shiroko - Попытайтесь написать чуть подробнее как вы делали:
старт - остановка на инструкции ... , на адресе ... замена popad,
трассировка до ... , опять замена popad , опять трассировка и т.д.

| Сообщение посчитали полезным:

> 4. А затем нопит все int68

Это какая то магия, учитывая что дескриптор данного прерывания не существует.

-----
vx

| Сообщение посчитали полезным:

difexacaw - А зачем он вам нужен?
Может быть вам ещё один пример использования подойдёт?
-) Ищем handler отладчика по прерыванию Int 68:


| Сообщение посчитали полезным:

ksol

8/16 бит регистры, реалмод прерывания - так у вас совсем патология

Дурь из головы выкинуть, изучать теорию --> Link <--

-----
vx

| Сообщение посчитали полезным:

difexacaw - что не нравится вам этот пример? - а зря!

| Сообщение посчитали полезным:

ksol пишет:
Попытайтесь написать чуть подробнее как вы делали:
ну начало в принципе правильное,на EP замена popad на pushad, затем классический поиск OEP в aspack через push 0, retn и мы на месте. Но дальше у Рикардо не уточняются некоторые моменты. Например, что если не запустить до первого int 68, а стереть его, находясь на OEP, то работа программы пойдет по другому пути с результатом отладчика Terminal. Но если же все же дойти до первого исключения и обойти его, тогда antisocial запускается полноценно , а не на долю секунды WTF? Кстати, не вполне понятный еще один момент , у меня олька выставлена системным отладчиком по умолчанию. Почему после прохода первого int 68 вылетает еще одна Олька, которая неудачно пытается приаттачиться к отлаживаемому antisocial?( а может, кстати, не нему, а отладчику... не обратил внимания)
P.S. Последнее время у меня Олька начала выдавать не здоровую тенденцию выбрасывать еще одну Ольку при работе с исключениями. Может винда уже подтормаживает или я не знаю в чем искать причину

| Сообщение посчитали полезным:

shiroko - Выходите вы плохо. Я уж и не ждал, думал сами разобрались.
Мне теперь надо искать результаты, если не выбросил, или по новой прогонять.

| Сообщение посчитали полезным: