Нашел я тут какой-то новый компилятор эл.книг "Ebook Protect".

Скачал...

Установил -- ни-ни -- там защита по аппаратному коду.

Написан этот компилятор на Delphi, закапован вроде самодельным пакером -- PEiD ничего не определил (или мне сигнатурки качать? или мозги исправлять? ;).

Кто-нибудь может помочь с ним?

Вот ссылки:
1) Light-версия -- www.coinsoft.ru/download/eprlitesetup.exe
2) Pro-версия -- www.coinsoft.ru/download/eprotect99.zip, но здесь запароленный архив.

Обе версии требуют кода активации, который на сайте автора стоит аж 17 баксов.

| Сообщение посчитали полезным:

Looney пишет:
закапован вроде самодельным пакером

Запакован то он каким-то обычным пакером. Просто сигнатурки пакера спрятаны.

| Сообщение посчитали полезным:

PeID показал, что там PEStubOEP 1.6 -> GPcH Soft

| Сообщение посчитали полезным:

Где-нибудь есть статьи по его распаковке?

Или может кто поможет...

| Сообщение посчитали полезным:

Looney
На такое тебе достаточно зайти в раздел статьи да почитать какую нить статью к примеру об упаковшиках в последний раз или типа того! А если хоть что нить до этого распаковывал, то просто подумать немного

| Сообщение посчитали полезным:

Гм... Подобные статьи мне еще рано читать - перед этим надо изучить формат PE и проштудировать кучу литературы - иначе ничего не пойму

По-моему, на этот ebook protect наложено сразу несколько пакеров.

Есть секция .telockn, и где-то встречается PEC2 Еще какая-то очень странная секция под названием .delphi, и .lcc

А в самом верху этой "пирамиды" - пресловутый PEStubOEP.

Автор на своем сайте говорил о "23 уровнях защиты". Вот вам и 23 уровня - достаточно наложит всего лишь 23 пакера

| Сообщение посчитали полезным:

Looney
Читать полезно! Ты можешь его не распаковыват там защита фуфло полное!

5102981F E8 E436FEFF call ebookpro.5100CF08
51029824 84C0 test al,al
51029826 0F84 EE000000 je ebookpro.5102991A<--------------------nop
5102982C 33D2 xor edx,edx
5102982E A1 DCAA0C51 mov eax,dword ptr ds:[510CAADC]
51029833 E8 AC34FEFF call ebookpro.5100CCE4
51029838 A3 E0AA0C51 mov dword ptr ds:[510CAAE0],eax
5102983D BA 90AA0C51 mov edx,ebookpro.510CAA90
51029842 B9 45000000 mov ecx,45
51029847 A1 E0AA0C51 mov eax,dword ptr ds:[510CAAE0]
5102984C E8 5B35FEFF call ebookpro.5100CDAC
51029851 A1 E0AA0C51 mov eax,dword ptr ds:[510CAAE0]
51029856 E8 2936FEFF call ebookpro.5100CE84
5102985B 8D45 DC lea eax,dword ptr ss:[ebp-24]
5102985E 50 push eax
5102985F 8D55 D8 lea edx,dword ptr ss:[ebp-28]
51029862 A1 D8AA0C51 mov eax,dword ptr ds:[510CAAD8]
51029867 E8 70EAFFFF call ebookpro.510282DC
5102986C 8B45 D8 mov eax,dword ptr ss:[ebp-28]
5102986F B9 04000000 mov ecx,4
51029874 BA 21000000 mov edx,21
51029879 E8 AEB1FDFF call ebookpro.51004A2C
5102987E 8B4D DC mov ecx,dword ptr ss:[ebp-24]
51029881 8D45 E0 lea eax,dword ptr ss:[ebp-20]
51029884 BA B8990251 mov edx,ebookpro.510299B8
51029889 E8 92AFFDFF call ebookpro.51004820
5102988E 8B45 E0 mov eax,dword ptr ss:[ebp-20]
51029891 E8 8233FEFF call ebookpro.5100CC18
51029896 8BF0 mov esi,eax
51029898 8D45 D0 lea eax,dword ptr ss:[ebp-30]
5102989B 50 push eax
5102989C B9 04000000 mov ecx,4
510298A1 BA 08000000 mov edx,8
510298A6 A1 D8AA0C51 mov eax,dword ptr ds:[510CAAD8]
510298AB E8 7CB1FDFF call ebookpro.51004A2C
510298B0 8B4D D0 mov ecx,dword ptr ss:[ebp-30]
510298B3 8D45 D4 lea eax,dword ptr ss:[ebp-2C]
510298B6 BA B8990251 mov edx,ebookpro.510299B8
510298BB E8 60AFFDFF call ebookpro.51004820
510298C0 8B45 D4 mov eax,dword ptr ss:[ebp-2C]
510298C3 E8 5033FEFF call ebookpro.5100CC18
510298C8 33F0 xor esi,eax
510298CA 8BC6 mov eax,esi
510298CC 33D2 xor edx,edx
510298CE 52 push edx
510298CF 50 push eax
510298D0 8D55 FC lea edx,dword ptr ss:[ebp-4]
510298D3 B8 04000000 mov eax,4
510298D8 E8 F332FEFF call ebookpro.5100CBD0
510298DD 803D 90AA0C51 44 cmp byte ptr ds:[510CAA90],44
510298E4 75 34 jnz short ebookpro.5102991A<--------------nop
510298E6 8D45 84 lea eax,dword ptr ss:[ebp-7C]
510298E9 50 push eax
510298EA B9 04000000 mov ecx,4
510298EF BA 41000000 mov edx,41
510298F4 B8 90AA0C51 mov eax,ebookpro.510CAA90
510298F9 E8 D68FFDFF call ebookpro.510028D4
510298FE 8D55 84 lea edx,dword ptr ss:[ebp-7C]
51029901 8D45 CC lea eax,dword ptr ss:[ebp-34]
51029904 E8 6FAEFDFF call ebookpro.51004778
51029909 8B55 CC mov edx,dword ptr ss:[ebp-34]
5102990C 8B45 FC mov eax,dword ptr ss:[ebp-4]
5102990F E8 04B0FDFF call ebookpro.51004918
51029914 75 04 jnz short ebookpro.5102991A<-----------------nop
51029916 FFD3 call ebx
Все нага нет прога запустилась
Хочешь распаковать вот
00930587 /75 63 jnz short 009305EC <-----------jmp поставь хардварный бряк и исправь
00930589 |33C0 xor eax,eax
0093058B |0383 43100001 add eax,dword ptr ds:[ebx+1001043]
00930591 |74 0D je short 009305A0
Это чтоб с импортом не парится
и хардбряк на
510C6AE8 55 push ebp ; oep
510C6AE9 8BEC mov ebp,esp
510C6AEB 83C4 F0 add esp,-10
510C6AEE B8 20680C51 mov eax,ebookpro.510C6820
510C6AF3 E8 34FEF3FF call ebookpro.5100692C
510C6AF8 B8 78670C51 mov eax,ebookpro.510C6778
Разберешся ! удачи!

| Сообщение посчитали полезным:

Спасибо, Павка! =)

Сейчас посмотрю.

| Сообщение посчитали полезным:

Павка, по-моему я действительно идиот =)

Вообще нигде не могу подобного кода найти.

Да, и еще кое-что. Разузнал я пароль на pro-версию.

Ссылка: www.coinsoft.ru/download/eprotect99.zip
Пароль на распаковку: 7724285512

| Сообщение посчитали полезным:

Looney
А ты где его ищешь ? Я же тебе написал загрузи в ольку поставь he 510C6AE8
остановишься на оеп далее поставь на 51029826 и дальше по тексту!

| Сообщение посчитали полезным:

Looney
Там все просто, в той же про почти тоже самое что pavka сказал.

| Сообщение посчитали полезным:

Все, спасибо, с этим справился.

Но дух идиота и ламоса из меня не вышел до сих пор =)

Вопрос теперь по дампу -

00930587 /75 63 jnz short 009305EC <-----------jmp поставь хардварный бряк и исправь
00930589 |33C0 xor eax,eax
0093058B |0383 43100001 add eax,dword ptr ds:[ebx+1001043]
00930591 |74 0D je short 009305A0
Это чтоб с импортом не парится

Какие-то странные здесь адреса... Опять у неЩАстного ламоса ничего не получается

| Сообщение посчитали полезным:

Looney
Почему странные? Это прота адреса, ставишь he 00930587 запускаешь ,тормозишься, правишь ,убираешь бряк , ставишь he на оеп ! Останов, дампишь ,Импрек даешь ему
OEP: 000C6AE8 IATRVA: 000D3140 IATSize: 00001000 и т.д
В принципе можешь не править этот джамп ! Для лучшего понимания посмотри неотресольвеные ф-ции
в дизасаме!

| Сообщение посчитали полезным:

Ну я и ставил he 00930587 - говорит, что Address points nowhere

| Сообщение посчитали полезным:

Looney
Давай сначала! Пошагово! Запускаешь олю ставишь хардбряк на оеп ! Остановился! ишешь прыжки в иат
FF 25 находишь такое
51006868 - FF25 2C320D51 jmp dword ptr ds:[510D322C]
5100686E 8BC0 mov eax,eax
51006870 - FF25 28320D51 jmp dword ptr ds:[510D3228]
51006876 8BC0 mov eax,eax

выделяешь к примеру ds:[510D31EC] и делаешь Follov in Dump -> Memory address
Видишь
510D31DC 00B00111 <------------------------------------------------------здесь
510D31E0 00B00118
510D31E4 00B0011F
510D31E8 00000000
510D31EC 77D5FA46 user32.GetKeyboardType<-------------------- здесь
510D31F0 77D5EC98 user32.LoadStringA
510D31F4 77D7050B user32.MessageBoxA
510D31F8 77D5EC40 user32.CharNextA
Ставишь хардбряк на запись Dword
Перезапускаешь брякаешься и разбираешься почему так происходит!
А происходит это вот тут;)
00930587 /75 63 jnz short 009305EC <-----------jmp поставь хардварный бряк и исправь
00930589 |33C0 xor eax,eax
0093058B |0383 43100001 add eax,dword ptr ds:[ebx+1001043]
Ставишь хардбряк и перезапускаешь исправляешь снимаешь бряк и видишь
51006868 - FF25 2C320D51 JMP DWORD PTR DS:[<&kernel32.GetModuleHa>; kernel32.GetModuleHandleA
5100686E 8BC0 MOV EAX,EAX
51006870 - FF25 28320D51 JMP DWORD PTR DS:[<&kernel32.LocalAlloc>>; kernel32.LocalAlloc
51006876 8BC0 MOV EAX,EAX
51006878 - FF25 24320D51 JMP DWORD PTR DS:[<&kernel32.TlsGetValue>; kernel32.TlsGetValue
и
510D322C >7C80B529 kernel32.GetModuleHandleA
510D3230 00000000
510D3234 >77DCEBE7 advapi32.RegSetValueExA
510D3238 >77DC7883 advapi32.RegQueryValueExA
510D323C >77DC761B advapi32.RegOpenKeyExA
510D3240 >77DDB908 advapi32.RegFlushKey
510D3244 >77DCEAF4 advapi32.RegCreateKeyExA
510D3248 >77DC6BF0 advapi32.RegCloseKey
510D324C 00000000
510D3250 >7C80C729 kernel32.lstrcpyA
510D3254 >7C810F9F kernel32.WriteFile
510D3258 >7C802530 kernel32.WaitForSingleObject
510D325C >7C80B859 kernel32.VirtualQuery
510D3260 >7C809A81 kernel32.VirtualAlloc

Можешь делать дамп запускать импрек и так далее

| Сообщение посчитали полезным:

Looney - загрузи прогу в Олли полностью (чтоб выполнялась), а затем в памяти поищи опкоды инструкций, тогда найдешь адреса которые тебе нужны, т.к. ты наверное по адресам ищешь, а они на разных процессорах отличаются (я новичег и ничего не смыслю в реверсе поэтому сильно не пинать )

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Все равно дух придурка до сих пор во мне :D

Давай сначала! Пошагово! Запускаешь олю ставишь хардбряк на оеп ! Остановился! ишешь прыжки в иат
FF 25 находишь такое
51006868 - FF25 2C320D51 jmp dword ptr ds:[510D322C]
5100686E 8BC0 mov eax,eax
51006870 - FF25 28320D51 jmp dword ptr ds:[510D3228]
51006876 8BC0 mov eax,eax

Нашел это место, выделил ds:[510D322C] - Follow in dump - Memory address

выделяешь к примеру ds:[510D31EC] и делаешь Follov in Dump -> Memory address

Подобного найти не могу

510D31DC 00B00111 <------------------------------------------------------здесь
510D31E0 00B00118
510D31E4 00B0011F
510D31E8 00000000
510D31EC 77D5FA46 user32.GetKeyboardType<-------------------- здесь
510D31F0 77D5EC98 user32.LoadStringA
510D31F4 77D7050B user32.MessageBoxA
510D31F8 77D5EC40 user32.CharNextAх.съ

Такого кода вообще не могу найти...

[c]Ставишь хардбряк на запись Dword
Перезапускаешь брякаешься и разбираешься почему так происходит!
А происходит это вот тут;)
00930587 /75 63 jnz short 009305EC <-----------jmp поставь хардварный бряк и исправь
00930589 |33C0 xor eax,eax
0093058B |0383 43100001 add eax,dword ptr ds:[ebx+1001043]

Ставил на адреса, которые у меня, вылетел здесь - 0084087C 83C1 01 ADD ECX,1

Адресов типа 009***** вообще нет...

| Сообщение посчитали полезным:

Looney пишет:
Адресов типа 009***** вообще нет...
У меня была такая фишка, это зависит смотря еще чем декомпилишь, если чем то вроде HDasm то иногда олька такие адреса не понимает

| Сообщение посчитали полезным:

Looney
у тебя значит код прота будет по адресам 008ххххх

| Сообщение посчитали полезным:

Да, сенкс, имено там.

Но все равно остаются 2 инвалидные функции, без который все очень нехорошо

Помню адрес первой - 00860425, у тебя значит должен быть 00960425

| Сообщение посчитали полезным:

"GetLongPathNameA"=7C8681F6 вторую уже не помню но это не трудно посмотреть в отладчике!

Вообще то ее можно и не распаковывать она патчится элементарно!
вот можно так
511D36E8 8BC6 mov eax,esi
511D36EA 90 nop
511D36EB C605 E4980251 74 mov byte ptr ds:[510298E4],74
511D36F2 C605 14990251 74 mov byte ptr ds:[51029914],74
Что бы меньше байтов менять нужно создать в папке с прогой файл ebookprotect.mkey
и запиши любую фигню туда!
Все прога отлично работает!

| Сообщение посчитали полезным:

Опять у идиота непонятки =)

А как вообще можно пропатчить, если прога не распакована?

Или инлайн-патч...

| Сообщение посчитали полезным:

Не отвечает что-то никто...

| Сообщение посчитали полезным: