Сейчас на форуме: _MBK_, Adler (+6 невидимых)

 eXeL@B —› Вопросы новичков —› PC Guard как правильно распаковывать.
Посл.ответ Сообщение

Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 10 июля 2011 21:04 · Поправил: Kuzya69
· Личное сообщение · #1

Хочу научиться распаковывать программу VCDS от РоссТеч, взял предпоследнюю версию 11.2.0.
Вобщем нашел тутор по распаковке с помощью Olly и ImportREC. Вроде сдампил, правда не уверен правильно-ли. Но все делал по этому тутору. Но вот восстановление ресурсов не идет. Пишет "IAT is still invalid...." А нет, ли где более полного тутора по распаковке PC Guard 5 или выше (так программа PEiD его определила)??
Может выложить дамп который у меня получился?
Ах, да вот ссылка на инсталлер, так как на родном сайте его уже нет : "http://zalil.ru/31404199", нужно распаковать только vcds.exe, после установки, но вот на всякий случай сам vcds.exe: "http://zalil.ru/31404216"

88ca_10.07.2011_EXELAB.rU.tgz - Orthodox-Unpacking PC Guard.pdf




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 11 июля 2011 01:59
· Личное сообщение · #2

Kuzya69
Если не изменяет память, там ещё и Code Virtualizer висит под PC Guard

-----
Research For Food




Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 11 июля 2011 02:43 · Поправил: Kuzya69
· Личное сообщение · #3

Немного поразвернутей можно для новичка. Получается, что программа еще и закриптована (попутаны куски кода)? Хотя-бы для начала скажите, в каком порядке ее вскрывать? Сначала PC Guard, а потом раскриптовывать, а когда с ресурсами биться?



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 13 июля 2011 02:40
· Личное сообщение · #4

Я наверное понял, я при помощи Олли неправильно сдампил. Просто не знал что программа должна запускаться. Что нужно сделать чтобы программа запускалась в отладчике, после нескольких нажатий Shift+F9, а не вываливалась с сообщением "Process terminated, exit code 0"?



Ранг: 281.8 (наставник), 272thx
Активность: 0.250.01
Статус: Участник
Destroyer of protectors

Создано: 13 июля 2011 03:37
· Личное сообщение · #5

Kuzya69 пишет:
Что нужно сделать чтобы программа запускалась в отладчике, после нескольких нажатий Shift+F9, а не вываливалась с сообщением "Process terminated, exit code 0"?

маны про антиотладку почитай. заюзай поиск. сборок с плагами хоть жопой ешь. ищи - качай - юзай.



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 13 июля 2011 16:42
· Личное сообщение · #6

Спасибо, что подсказали про антиодладку. Использовал "Hide debugger", программа запускается на 5-м Shift+F9 в каком-то скрытом виде (иконка появляется на панели задач, но самой програмы нет), а на 6-м Shift+F9 опять "Thread 00001EB0 teminated, exit 0". Просто вопрос, не злитесь, пожалуйста. Я должен запустить программу полноценно, чтоб в конце ((Shift+F9)-n раз) не было этого сообщения "...terminated...", или все, теперь появились задачи другого уровня? Например дешифровка.
Ну извините меня, я правда новичек.



Ранг: 0.7 (гость), 4thx
Активность: 0=0
Статус: Участник

Создано: 13 июля 2011 18:17 · Поправил: 0xf0rd
· Личное сообщение · #7

Предлагаю метод:
Качаешь распаковщик QUnpack:
--> Link <--
С его помощью можно найти ОЕП (оригинальная точка входа в программу)
Если он не распакует прогу, то грузим прогу в Ольгу=>ctrl+G=>Вписываем в окно ОЕП, и на ней ставим хардварный бряк, и ждем (давим F9/shift+F9) в строке состояния сообщение о железном бряке, причем EIP будет указывать на ОЕП.
Далее дампим процесс, и не закрывая его восстанавливаем импорт в ImpRec
Этот же ОЕП будет нужен в ImpRec'e



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 14 июля 2011 10:27
· Личное сообщение · #8

Всё ещё проще. Бряк на VirtualProtect и на 2-3 бряке мы возле OEP+нужно обнулить PEB.



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 14 июля 2011 12:41 · Поправил: Kuzya69
· Личное сообщение · #9

Бряк на VirtualProtect Где бы об этом прочесть?
обнулить PEB да и это не совсем понятно, что за зверь?
QUnpack....С его помощью можно найти ОЕП, какую-то странную ОЕП он дал, с нее ImpRec вобще никакого ипорта не нашел.
Спасибо, что не оставляете одного реверсить прогу.



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 14 июля 2011 13:00 · Поправил: NikolayD
· Личное сообщение · #10

Где прочесть не знаю ))) но метода рабочая. Так как плагин ты уже установил, то там достаточно галочки hide peb или вроде того.

new: oep - 0049D6AB, импорт чистый, секция ресурсов должна быть последней, копай Code Virtualizer )))



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 14 июля 2011 13:15
· Личное сообщение · #11

копай Code Virtualizerи VirtualProtect это одно и то-же? Хотя-бы такой вопрос?



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 14 июля 2011 13:19
· Личное сообщение · #12

Думаю, что нет xDDD --> Link <--



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 14 июля 2011 14:09 · Поправил: Kuzya69
· Личное сообщение · #13

Ладно пока спасибо. Буду вечерком разбираться. На работе нельзя.



Ранг: 281.8 (наставник), 272thx
Активность: 0.250.01
Статус: Участник
Destroyer of protectors

Создано: 14 июля 2011 14:27 · Поправил: MasterSoft
· Личное сообщение · #14

NikolayD
да хорош стебаться уже.

Kuzya69
гугл для кого придумали?

VirtualProtect

Code Virtualizer



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 14 июля 2011 17:11 · Поправил: Kuzya69
· Личное сообщение · #15

Ну почему сразу стебаться? Я просто думал, что это для вас одно и то-же, просто от настроения называете по разному. Теперь понял. Еще бы найти чего-нибудь о борьбе с этими страшными названиями. Я ж говорю, новичек. Раньше только ассм для микроконтроллеров AVR разбирал.



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 17 июля 2011 17:00
· Личное сообщение · #16

Уже в глазах рябит от буквосочетаний "...virtual..." в поисковиках. Ну подкиньте хоть одну номальную ссылку на какой-нибудь пример с похожей проблемой. Чтоб можно было прочитать, как правильно "...копай Code Virtualizer" ?




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 17 июля 2011 23:39
· Личное сообщение · #17

Kuzya69
Дружище, да если ты в реверсинге без году неделя, какой, нафиг, виртуалайзер? Иди читай статьи как ломать Блуфейс.

-----
Stuck to the plan, always think that we would stand up, never ran.





Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 18 июля 2011 00:01 · Поправил: daFix
· Личное сообщение · #18

Мой тебе совет - если прога действительно очень нужная, тогда прочитай в гугле про Code Virtualizer, а если просто так ломаешь от скуки, тогда без сомнений забей на дальнейшее ломание.
Code Virtualizer переводит машинный(ассемблерный) код в байт-код своей виртуальной машины. Для снятия этой защиты тебе придётся перегнать байт-код виртуальной машины в эквовалентный ассемблерный код.
Хотя есть и более простой способ - научиться пользоваться VMSweeper'ом от Vamita

added:
ARCHANGEL опередил

-----
Research For Food




Ранг: 310.8 (мудрец), 29thx
Активность: 0.430
Статус: Участник

Создано: 18 июля 2011 12:31
· Личное сообщение · #19

Уже в глазах рябит от буквосочетаний
Чтобы не рябило - учись правильно искать. Заключай слова и сочетания слов в кавычки. Добавляй специфические слова, чтобы не искало постороннее



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 18 июля 2011 12:59 · Поправил: Kuzya69
· Личное сообщение · #20

учись правильно искать. Да это я знаю. Просто когда человек спец, он разрешает себе вольности и сокращения, по отношению к оригинальным названиям. И по названию "CodeVirtualizer", находятся в основном действия препятствующие реверсингу. А вот обратные действия найти очень сложно, тем более мне. Потому как слабо знаком с терминологией. Приходится в любую статью где есть слова виртуал и реверс, вчитываться, пока не поймешь, что это не то, что надо.
ломаешь от скуки, тогда без сомнений забей Ломаю не от скуки, хочу научиться ломать ИМЕННО ЭТУ программу (любую версию), вот остальные, если научусь, буду ломать от скуки. Для чего служит Виртуальная машина я понимаю. Как я думаю главная сложность девертуализации заключается в отделении полезных данных от "мусора", и разделении полезной информации на данные и инструкции, и уж потом декодирование. Вот и хочется посмотреть, какими приемами пользуются люди. За "VMSweeper" спасибо, попробую понять (и простить :s1.
Иди читай статьи как ломать Блуфейс, спасибо за подсказку, но лучше-бы ссылку. Я уже ненавижу поисковики. К тому-же раз говорите, значит сами читали, может помните где?

Вообще хотелось-бы (понимаю что много хочу, но хоть помечтать) какой-нибудь разобранный Крэкми.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 18 июля 2011 13:35
· Личное сообщение · #21

Вот тут статей полно https://ssl.exelab.ru/art/ В том числе и крекми, и блуфейс. Поднял бы очи то на линки.



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 18 июля 2011 13:48
· Личное сообщение · #22

Вот тут статей полно https://ssl.exelab.ru/art/ , Прошу прощения, просто уже давно заходил туда, поставил 3 галки в фильтре, а там пусто. Думал раздел еще не оформлен. Оказывается надо по одной галке ставить. Спасибо, почитаем.



Ранг: 117.5 (ветеран), 5thx
Активность: 0.080.01
Статус: Участник

Создано: 18 июля 2011 19:56 · Поправил: sats
· Личное сообщение · #23

меня, один знакомый, тоже попросил эту прогу ему распаковать, типа тоже просто научиться,инетересно, в итоге сейчас собирается на ней лаве поднимать... обидно не за то, что не поделился, а за то что нае...л. расклад такой что после изменения части ресурсов и файла с данными ошибок, распакованную прогу вновь уже будут паковать каким то своим протом и продавать в сети. Но там есть один момент связанный с проверкой "железного ключа" и в случае кое каких манипуляций- прога просто затирает прошивку в железе. ИМХО : Думаю ТС проще подать заявку на поиск специалиста за лаве, чем самому пытаться сделать достаточно серьезную работу с минимальными навыками.



Ранг: 281.8 (наставник), 272thx
Активность: 0.250.01
Статус: Участник
Destroyer of protectors

Создано: 18 июля 2011 20:20
· Личное сообщение · #24

Kuzya69 пишет:
Ну подкиньте хоть одну номальную ссылку на какой-нибудь пример с похожей проблемой.


а это чем тебя не устроило? или ты на рашке хочешь? гы...недождётесь.



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 18 июля 2011 21:53 · Поправил: Kuzya69
· Личное сообщение · #25

распакованную прогу вновь уже будут паковать каким то своим протом и продавать в сети. Но там есть один момент связанный с проверкой "железного ключа"
Так это наверно"Вася диагност" ? Он уже давно продается. А я свои поделки в свободное плаванье отсылаю, например, на рутрекер, на авто-форумы. Вот пока привязали китайские шнуры на FT232R к Россовским прогам. А в итоге вообще хочу от серийника шнура освободиться, чтоб не барыжили. (Но это в мечтах). Пока намерен алгоритм шифровки серийника разгадать. Вобщем хочу эту программу знать от и до.
чем самому пытаться сделать достаточно серьезную работу с минимальными навыками.
Ну почему-же так сразу? Я три месяца назад не знал что такое AVR, а теперь под себя дампы правлю.
или ты на рашке хочешь? гы...недождётесь.
Хотелось-бы. Ну ничего попробуем на буржуйском прочесть. Спасибо. Только чего-то не получается качать оттуда. Пишет "ждите" и тишина.



Ранг: 18.8 (новичок), 5thx
Активность: 0.010
Статус: Участник

Создано: 19 июля 2011 15:15
· Личное сообщение · #26

sats пишет:
Думаю ТС проще подать заявку на поиск специалиста за лаве, чем самому пытаться сделать достаточно серьезную работу с минимальными навыками.

Извиняюсь за оффтоп. А какие примерно расценки по слому софта например vcds или опком?
Ну что бы знать, стоит давать запрос или ну его....




Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

Создано: 19 июля 2011 15:21
· Личное сообщение · #27

sierra пишет: А какие примерно расценки по слому софта например vcds или опком?
Могу ответить так - проще, дешевле и надежнее купить лицензионную версию для личного использования.

-----
Everything is relative...




Ранг: 18.8 (новичок), 5thx
Активность: 0.010
Статус: Участник

Создано: 19 июля 2011 16:01
· Личное сообщение · #28

Vamit, ты это точно знаешь или просто предположение?
Указанный софт не такой уж и эксклюзив, регулярно выходят ломаный версии, просто хотелось бы иметь полный комплект, то есть и сам отломанный софт и распакованные файлы ошибок.
Кстати по vcds, где то на форуме проскочило, что скоро будет официальная русская версия, ни кто не в курсе, правда или нет?



Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 17:06 · Поправил: andrey_brest
· Личное сообщение · #29

Archer




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 09 сентября 2011 19:01
· Личное сообщение · #30

А сам это в личку написать не мог? Обязательно было топ апать?


 eXeL@B —› Вопросы новичков —› PC Guard как правильно распаковывать.
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати