Привет всем!

Попался вот такой зверь. Накрыт то ли DotFix FakeSigner, то ли DotFix NiceProtect (смотрел RDG Packer`ом, он был единственный, кто хоть что-то показал). Как пробовал распаковать: брякнулся на LoadLibraryA, ret, чуть ниже mov - в нем адрес IAT, далее ставлю бряк на секцию кода и F9. По идее должен оказаться на ОЕР, но... выпадаю не понять где, явно не код.. Глазами пробежался - обнаружил подозрительную строку "VMSTARt" или наподобие.. Думаю, что виртуальная машина. Код внутри дельфийский. Гугел не помог (или плохо искал ). Может гуру посоветуют, куда рыть?

| Сообщение посчитали полезным:

--> Unpacking DotFix NiceProtect v3.8 <--
--> тут ещё что то есть <--

| Сообщение посчитали полезным:

Для начала конкретно определись, с чем имеешь дело.
В Nice Protect есть столенбайт и антиотладка, в FakeSigner такого небыло(во всяком случае в стандартных сигнах). Если софт на делфях и накрыто niceprotect, то это большой забей. Снимать так же геморно, как и какой-нибудь ПеП. Легче всего в таком случае будет сделать лоадер

sapog93 пишет:
mov - в нем адрес IAT, далее ставлю бряк на секцию кода и F9. По идее должен оказаться на ОЕР
нихера не понял. почему ты должен оказаться на оеп...

Вот еще какая-то тема в которой вроде как туторы по анпаку найспротекта присутствуют
http://exelab.ru/f/action=vthread&forum=2&topic=9115

| Сообщение посчитали полезным:

Jaa

Спасибо, это я уже изучил ) в этих туторах идет речь о прогах, написанных на VB и в них на ОЕР можно выйти, брякнувшись на msvbvm60.ThunRTMain. Мой же пациент на делфи.

| Сообщение посчитали полезным:

TryAga1n пишет:
нихера не понял. почему ты должен оказаться на оеп...

потому что насмотрелся туторов с тутса ) от 2009 года. все посмотрел. начало схоже, но в туторах по анпаку niceprotect после бряка на секции останавливаемся на оер.. понятно, года уже не те, все дела..значит, все таки niceprotect.. и, если не сложно, объясните плз, как реверсить прогу не распаковывая ее.. чтобы затем, я так понял, сделать лоадер..

| Сообщение посчитали полезным:

sapog93 пишет:
как реверсить прогу не распаковывая ее..
Вообще - если антиотладка не мешает запускаться под отладчиком и ставить бряки, то точно так же, как и распакованную. Но опять таки в данном конкретном случае, мало того, что открутить найспротект от дельфи очень сложно, в добавок ко всему использованны маркеры из сдк, значит основная логика как-раз таки накрыта виртуальной машиной, хотя конечно может и повезти. Еще нужно учесть, что даже найдя место для патча, скорее всего придется ковырять лоадер прота, дабы пропатчить проверку контрольной суммы(зависит от того, проеряется контрольная сумма один раз, при записи или регулярно)
В-общем запускай прогу под отладчиком и гляди, где у тебя там ограничение функционала или рега

| Сообщение посчитали полезным:

Как оер начинается , а так же имена секций запостите.
ДА и ссылку лучше выложить на сайт программы.

| Сообщение посчитали полезным:

Эээ, не то, чтоб я прям рвался распаковывать, но где пациент?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Jaa

собственно пациент: --> Вылечи меня <--

| Сообщение посчитали полезным:

sapog93
украденные байты - 55 8B EC B9 06 00 00 00

--> unpacked <--

| Сообщение посчитали полезным: