где то читал про восстановление импорта по методу syd'a (в QU он вроде). можете рассказать подробнее про этот метод? или мб можно где то почитать про него?

| Сообщение посчитали полезным:

Похучить весь экспорт всех используемых библиотек, сразу после LoadLibrary. Дальнейший вызов этих функций, даже после обфускации, меняет маркеры, которые однозначно идентифицируют функцию.

| Сообщение посчитали полезным: Phantom007

Импорт динамическим может быть..

| Сообщение посчитали полезным:

А еще никто не мешает реализовать свою GetProcAddress, грузить библиотеку через CreateFile и сравнивать импорт с прототипом. Метод основывается на том, что для большинства защит работает.

| Сообщение посчитали полезным:

int

Забавные защиты, которые даже не восстанавливают модуля

Я имел ввиду не статический импорт, а динамический(тот, что через GPA()). Хучить весь экспорт имхо какой то изврат, можно отслеживать стандартные загрузочные апи(LdrGPA, LdrpWalkImpDesk etc). Более того, есть обширная готовая группа системных механизмов для этих целей.

| Сообщение посчитали полезным:

Dr0p Если ты не шаришь в восстановлении импорта, что ты делаешь в этой теме и зачем пишешь свои глупые посты?

| Сообщение посчитали полезным:

Да в принципе все правильно. Если функции звать VX'eрскими методами, таким как получение kernel base, получение адреса GetProcAddress и подгрузка всех апишек через него, то QU обламывался.

| Сообщение посчитали полезным:

Syd придумал достаточно универсальный метод, который работает на куче ОС и обламывает кучу протов.
А вы тут разводите демагогию на тему "если бы да кабы"...
Кто-нибудь может предложить что-то лучше?

| Сообщение посчитали полезным: VodoleY, Phantom007

кроме мозга, предложений больше нету

З.Ы единственное что я делал.. видимо тоже самое писал трейс скрипт.. пока адрес не уходил за диапазон.. ну вобщем собственный велик в туже тему

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Кстати, если грамотно похучить таблицу экспорта при загрузке длл, ваши vx методы тоже пойдут лесом. GetProcAddress и виндовый и самопальный вернет адрес хука. А в хуке можно как угодно записывать в лог название или номер вызванной апи.

| Сообщение посчитали полезным:

Nightshade
не-а! не согласен! не бывает такого грамотного хука экспорта, чтобы не пришлось патчить всю систему, особенно если не свою

-----
IZ.RU

| Сообщение посчитали полезным:

Dr0p пишет:
Хучить весь экспорт имхо какой то изврат, можно отслеживать стандартные загрузочные апи
нормально все хучится, это от кривых рук оно криво хучится, я даже писал тулзу, которая автоматом во все экспортирумые ф-ии вставляла свой кусок кода, который при определенном параметре, передаваемом ф-ии, в еах возвращал адрес ф-ии, и либу перелинковывала.
небольшое неудобство надо оригинальные длл заменять модифицированными, и ос норм работала с замененными либами

краденый импорт в старом старфорсе , обсиде, аспре и еще каком-то говнопроте отламывались на ура в один проход вызовом всех ф-ий в импорте

| Сообщение посчитали полезным:

int_256

Всякая модификация E страниц памяти есть зло, это нарушение целостности системных модулей. Оминь.

| Сообщение посчитали полезным:

Nightshade

> Кто-нибудь может предложить что-то лучше?

Да. Но вы способны это осознать ?

| Сообщение посчитали полезным:

Dr0p пишет:
Всякая модификация E страниц памяти есть зло, это нарушение целостности системных модулей. Оминь.

а где я писал что они в динамике модифицируются? грузятся вполне нормальными и даже с правильными црц в хедере. выложите лог своей ссдт там по-любому и так хукнуто что-то

| Сообщение посчитали полезным:

int_256

Хуки удел .... И у меня такого говна в системе нет, оно удаляется сразу после порчи системных модулей в памяти.

| Сообщение посчитали полезным:

int пишет:
А еще никто не мешает реализовать свою GetProcAddress, грузить библиотеку через CreateFile и сравнивать импорт с прототипом
Вы это скажите фимке и другим протам которые морфят апишки,
int пишет:
Похучить весь экспорт всех используемых библиотек, сразу после LoadLibrary
всё это обломится если прот начнёт проверять РЕ хидер и поймёт что экспорт уходит за пределы модуля
Dr0p пишет:
И у меня такого говна в системе нет, оно удаляется сразу после порчи системных модулей в памяти.
И олю с плагинами да вы однако изверг

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
всё это обломится если прот начнёт проверять РЕ хидер и поймёт что экспорт уходит за пределы модуля
Зачем вы мне это пишите? Вопрос был конкретный, про метод syd'а, я его описал. Дальнейшее уже выходит за рамки этой темы.

Dr0p пишет:
Забавные защиты, которые даже не восстанавливают модуля
А никто сильно не парится, от новичков такие защиты спасают, а большее и не требуется. А так ведь любую защиты можно поломать, если есть валидный ключ и достаточное количество свободного времени.

| Сообщение посчитали полезным:

Dr0p пишет:
Хучить весь экспорт имхо какой то изврат

Как бы это... Когда этим занимался syd никакого Инде ещё в природе не было? И методов ни каких не было. Даже приватов, в их нунешнем понимании, не было.

| Сообщение посчитали полезным:

у инде обычно дальше теории и разглагольствования редко уходит где годный инструмент для распаковки и восстановления импорта?
а раз нет, то и нечего тут засирать годные методы и инструменты.

еще раз увижу мат в постах, накажу. на этом закрыто.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: