Хочу научиться распаковывать программу VCDS от РоссТеч, взял предпоследнюю версию 11.2.0.
Вобщем нашел тутор по распаковке с помощью Olly и ImportREC. Вроде сдампил, правда не уверен правильно-ли. Но все делал по этому тутору. Но вот восстановление ресурсов не идет. Пишет "IAT is still invalid...." А нет, ли где более полного тутора по распаковке PC Guard 5 или выше (так программа PEiD его определила)??
Может выложить дамп который у меня получился?
Ах, да вот ссылка на инсталлер, так как на родном сайте его уже нет : "http://zalil.ru/31404199", нужно распаковать только vcds.exe, после установки, но вот на всякий случай сам vcds.exe: "http://zalil.ru/31404216"

88ca_10.07.2011_EXELAB.rU.tgz - Orthodox-Unpacking PC Guard.pdf

| Сообщение посчитали полезным:

Kuzya69
Если не изменяет память, там ещё и Code Virtualizer висит под PC Guard

-----
Research For Food

| Сообщение посчитали полезным:

Немного поразвернутей можно для новичка. Получается, что программа еще и закриптована (попутаны куски кода)? Хотя-бы для начала скажите, в каком порядке ее вскрывать? Сначала PC Guard, а потом раскриптовывать, а когда с ресурсами биться?

| Сообщение посчитали полезным:

Я наверное понял, я при помощи Олли неправильно сдампил. Просто не знал что программа должна запускаться. Что нужно сделать чтобы программа запускалась в отладчике, после нескольких нажатий Shift+F9, а не вываливалась с сообщением "Process terminated, exit code 0"?

| Сообщение посчитали полезным:

Kuzya69 пишет:
Что нужно сделать чтобы программа запускалась в отладчике, после нескольких нажатий Shift+F9, а не вываливалась с сообщением "Process terminated, exit code 0"?
маны про антиотладку почитай. заюзай поиск. сборок с плагами хоть жопой ешь. ищи - качай - юзай.

| Сообщение посчитали полезным:

Спасибо, что подсказали про антиодладку. Использовал "Hide debugger", программа запускается на 5-м Shift+F9 в каком-то скрытом виде (иконка появляется на панели задач, но самой програмы нет), а на 6-м Shift+F9 опять "Thread 00001EB0 teminated, exit 0". Просто вопрос, не злитесь, пожалуйста. Я должен запустить программу полноценно, чтоб в конце ((Shift+F9)-n раз) не было этого сообщения "...terminated...", или все, теперь появились задачи другого уровня? Например дешифровка.
Ну извините меня, я правда новичек.

| Сообщение посчитали полезным:

Предлагаю метод:
Качаешь распаковщик QUnpack:
--> Link <--
С его помощью можно найти ОЕП (оригинальная точка входа в программу)
Если он не распакует прогу, то грузим прогу в Ольгу=>ctrl+G=>Вписываем в окно ОЕП, и на ней ставим хардварный бряк, и ждем (давим F9/shift+F9) в строке состояния сообщение о железном бряке, причем EIP будет указывать на ОЕП.
Далее дампим процесс, и не закрывая его восстанавливаем импорт в ImpRec
Этот же ОЕП будет нужен в ImpRec'e

| Сообщение посчитали полезным:

Всё ещё проще. Бряк на VirtualProtect и на 2-3 бряке мы возле OEP+нужно обнулить PEB.

| Сообщение посчитали полезным:

Бряк на VirtualProtect Где бы об этом прочесть?
обнулить PEB да и это не совсем понятно, что за зверь?
QUnpack....С его помощью можно найти ОЕП, какую-то странную ОЕП он дал, с нее ImpRec вобще никакого ипорта не нашел.
Спасибо, что не оставляете одного реверсить прогу.

| Сообщение посчитали полезным:

Где прочесть не знаю ))) но метода рабочая. Так как плагин ты уже установил, то там достаточно галочки hide peb или вроде того.

new: oep - 0049D6AB, импорт чистый, секция ресурсов должна быть последней, копай Code Virtualizer )))

| Сообщение посчитали полезным:

копай Code Virtualizerи VirtualProtect это одно и то-же? Хотя-бы такой вопрос?

| Сообщение посчитали полезным:

Думаю, что нет xDDD --> Link <--

| Сообщение посчитали полезным:

Ладно пока спасибо. Буду вечерком разбираться. На работе нельзя.

| Сообщение посчитали полезным:

NikolayD
да хорош стебаться уже.

Kuzya69
гугл для кого придумали?

VirtualProtect

Code Virtualizer

| Сообщение посчитали полезным:

Ну почему сразу стебаться? Я просто думал, что это для вас одно и то-же, просто от настроения называете по разному. Теперь понял. Еще бы найти чего-нибудь о борьбе с этими страшными названиями. Я ж говорю, новичек. Раньше только ассм для микроконтроллеров AVR разбирал.

| Сообщение посчитали полезным:

Уже в глазах рябит от буквосочетаний "...virtual..." в поисковиках. Ну подкиньте хоть одну номальную ссылку на какой-нибудь пример с похожей проблемой. Чтоб можно было прочитать, как правильно "...копай Code Virtualizer" ?

| Сообщение посчитали полезным:

Kuzya69
Дружище, да если ты в реверсинге без году неделя, какой, нафиг, виртуалайзер? Иди читай статьи как ломать Блуфейс.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Мой тебе совет - если прога действительно очень нужная, тогда прочитай в гугле про Code Virtualizer, а если просто так ломаешь от скуки, тогда без сомнений забей на дальнейшее ломание.
Code Virtualizer переводит машинный(ассемблерный) код в байт-код своей виртуальной машины. Для снятия этой защиты тебе придётся перегнать байт-код виртуальной машины в эквовалентный ассемблерный код.
Хотя есть и более простой способ - научиться пользоваться VMSweeper'ом от Vamita

added:
ARCHANGEL опередил

-----
Research For Food

| Сообщение посчитали полезным:

Уже в глазах рябит от буквосочетаний
Чтобы не рябило - учись правильно искать. Заключай слова и сочетания слов в кавычки. Добавляй специфические слова, чтобы не искало постороннее

| Сообщение посчитали полезным:

учись правильно искать. Да это я знаю. Просто когда человек спец, он разрешает себе вольности и сокращения, по отношению к оригинальным названиям. И по названию "CodeVirtualizer", находятся в основном действия препятствующие реверсингу. А вот обратные действия найти очень сложно, тем более мне. Потому как слабо знаком с терминологией. Приходится в любую статью где есть слова виртуал и реверс, вчитываться, пока не поймешь, что это не то, что надо.
ломаешь от скуки, тогда без сомнений забей Ломаю не от скуки, хочу научиться ломать ИМЕННО ЭТУ программу (любую версию), вот остальные, если научусь, буду ломать от скуки. Для чего служит Виртуальная машина я понимаю. Как я думаю главная сложность девертуализации заключается в отделении полезных данных от "мусора", и разделении полезной информации на данные и инструкции, и уж потом декодирование. Вот и хочется посмотреть, какими приемами пользуются люди. За "VMSweeper" спасибо, попробую понять (и простить :s1.
Иди читай статьи как ломать Блуфейс, спасибо за подсказку, но лучше-бы ссылку. Я уже ненавижу поисковики. К тому-же раз говорите, значит сами читали, может помните где?

Вообще хотелось-бы (понимаю что много хочу, но хоть помечтать) какой-нибудь разобранный Крэкми.

| Сообщение посчитали полезным:

Вот тут статей полно https://ssl.exelab.ru/art/ В том числе и крекми, и блуфейс. Поднял бы очи то на линки.

| Сообщение посчитали полезным:

Вот тут статей полно https://ssl.exelab.ru/art/ , Прошу прощения, просто уже давно заходил туда, поставил 3 галки в фильтре, а там пусто. Думал раздел еще не оформлен. Оказывается надо по одной галке ставить. Спасибо, почитаем.

| Сообщение посчитали полезным:

меня, один знакомый, тоже попросил эту прогу ему распаковать, типа тоже просто научиться,инетересно, в итоге сейчас собирается на ней лаве поднимать... обидно не за то, что не поделился, а за то что нае...л. расклад такой что после изменения части ресурсов и файла с данными ошибок, распакованную прогу вновь уже будут паковать каким то своим протом и продавать в сети. Но там есть один момент связанный с проверкой "железного ключа" и в случае кое каких манипуляций- прога просто затирает прошивку в железе. ИМХО : Думаю ТС проще подать заявку на поиск специалиста за лаве, чем самому пытаться сделать достаточно серьезную работу с минимальными навыками.

| Сообщение посчитали полезным:

Kuzya69 пишет:
Ну подкиньте хоть одну номальную ссылку на какой-нибудь пример с похожей проблемой.

а это чем тебя не устроило? или ты на рашке хочешь? гы...недождётесь.

| Сообщение посчитали полезным:

распакованную прогу вновь уже будут паковать каким то своим протом и продавать в сети. Но там есть один момент связанный с проверкой "железного ключа"
Так это наверно"Вася диагност" ? Он уже давно продается. А я свои поделки в свободное плаванье отсылаю, например, на рутрекер, на авто-форумы. Вот пока привязали китайские шнуры на FT232R к Россовским прогам. А в итоге вообще хочу от серийника шнура освободиться, чтоб не барыжили. (Но это в мечтах). Пока намерен алгоритм шифровки серийника разгадать. Вобщем хочу эту программу знать от и до.
чем самому пытаться сделать достаточно серьезную работу с минимальными навыками.
Ну почему-же так сразу? Я три месяца назад не знал что такое AVR, а теперь под себя дампы правлю.
или ты на рашке хочешь? гы...недождётесь.
Хотелось-бы. Ну ничего попробуем на буржуйском прочесть. Спасибо. Только чего-то не получается качать оттуда. Пишет "ждите" и тишина.

| Сообщение посчитали полезным:

sats пишет:
Думаю ТС проще подать заявку на поиск специалиста за лаве, чем самому пытаться сделать достаточно серьезную работу с минимальными навыками.
Извиняюсь за оффтоп. А какие примерно расценки по слому софта например vcds или опком?
Ну что бы знать, стоит давать запрос или ну его....

| Сообщение посчитали полезным:

sierra пишет: А какие примерно расценки по слому софта например vcds или опком?
Могу ответить так - проще, дешевле и надежнее купить лицензионную версию для личного использования.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit, ты это точно знаешь или просто предположение?
Указанный софт не такой уж и эксклюзив, регулярно выходят ломаный версии, просто хотелось бы иметь полный комплект, то есть и сам отломанный софт и распакованные файлы ошибок.
Кстати по vcds, где то на форуме проскочило, что скоро будет официальная русская версия, ни кто не в курсе, правда или нет?

| Сообщение посчитали полезным:

Archer

| Сообщение посчитали полезным:

А сам это в личку написать не мог? Обязательно было топ апать?

| Сообщение посчитали полезным: