Всем спасибо за взлом CopyMaster-a.

Проект однозначно будет пересмотрен.
Подскажите способы устранения выявленных "дыр" - вечно буду у вас в долгу!

Если до третьей версии прога не станет работать как положено - уйду в монастырь!

Просьба не посылать в монастырь сразу...

| Сообщение посчитали полезным:

лучше сразу, честно

| Сообщение посчитали полезным:

Сложнее ASPacka ?

| Сообщение посчитали полезным:

itrem
AsPack - это не протектор, он не защищает файл, а просто его сжимает. Ты б сначала ознакомился с методиками взлома, прежде чем писать собственную защиту.

| Сообщение посчитали полезным:

itrem пишет:
Подскажите способы устранения выявленных "дыр"
чтоб потом самим возится со взломом ? данунах =)

| Сообщение посчитали полезным:

Ara пишет:
AsPack - это не протектор
ASProtect или что-то подобное. На каком месте по сложности CopyMaster?

| Сообщение посчитали полезным:

Ну ты сам как думаешь, если незнакомый "протектор" разбирается в течении нескольких минут, на каком он месте по сложности?

| Сообщение посчитали полезным:

itrem
0/10

Mario555 пишет:
чтоб потом самим возится со взломом ? данунах =)
точно =) хватит уже одного солода

| Сообщение посчитали полезным:

Насколько я понял, основная проблема в том, что exe-шник целиком дампится в распакованом виде. Устранение недостатка сделает CopyMaster достойным повторного рассмотрения?

| Сообщение посчитали полезным:

Для начала посоветую эээ... сходить куда-нибудь полечиться
kmproject.fatal.ru/Programs-Antenna.htm
"Стоимость ключа активации для одной копии программы равна 30000 WMZ."

| Сообщение посчитали полезным:

парня нельзя не дооценивать. фейс у ряда программ вполне приличный, имхо. да и описать ПО афтар тоже старается толково, правда много преувеличений, но именно так и делают буржуйские шараварщики (да и наши не отстают) =) афтар явно косит под полноценные комерческие проекты )

немного оффтоп, но все же. есть ли нормальный Diff который делался специально под исходные коды программ? SVN / CVS diff'ы это понятно, я имею в виду локальный типа CompareIt / KDiff, но чтобы полноценно парсил сурсы и не делал поспешных выводов о различиях как это делают вышеуказанные представители. вот что хотелось бы увидеть на рынке и в рубрике "запросы на взлом" на кряклабе ))

edited:
прочитал
[url=http://kmproject.fatal.ru/Programs-Protector-Rekl.htm
]http://kmproject.fatal.ru/Programs-Protector-Rekl.htm
[/url]
я плакалъ...

"И мы добились того, что можем с уверенностью сказать: “нет, не сможем”!"
рыдаю, простите за оффтоп, но рыдаю...

| Сообщение посчитали полезным:

Mario555 пишет:
чтоб потом самим возится со взломом ? данунах =)
Согласен

itrem Оно тебе надо ?

Paxan пишет:
"Стоимость ключа активации для одной копии программы равна 30000 WMZ."
Хех совсем дешево 30000 этож пипец

| Сообщение посчитали полезным:

NaumLeNet
К сожалению за фейс и описание врядли кто-то выложит 30к баксов.

| Сообщение посчитали полезным:

ну понятное дело ) хотя откуда мы знаем как там дела обстоят на рынке радаров ) самое главное какой дурак 30к баксов будет переводить в WMZ только ради покупки сего ПО...

я в очередной раз прошу прощение за оффтоп и дабы не походить на Z0oMiK'a который радует своими постами день ото дня, умолкаю ) ничего личного, но запарило смотреть на "наставника".

| Сообщение посчитали полезным:

itrem пишет:
Сложнее ASPacka ?
Ага...

itrem пишет:
Насколько я понял, основная проблема в том, что exe-шник целиком дампится в распакованом виде. Устранение недостатка сделает CopyMaster достойным повторного рассмотрения?
В этом есть проблема, но это не основная проблема.

Стоимость ключа активации для одной копии программы равна 30000 WMZ."
itrem, покупают?

| Сообщение посчитали полезным:

kmproject.fatal.ru/Programs-MOGI.htm
itrem и если можно для танкистов.... что делает тулза....

| Сообщение посчитали полезным:

Небольшой оффтоп: "Антенна" делалась на заказ и 30k$ - это цена заказчика. Сорвали сроки - в результате 0! На сайте выложил как рекламу для другого проекта.

По поводу CopyMaster'а. Поможет ли kernel-mode драйвер для защиты от отладки? Имеет ли смысл перехватывать/запрещать открытие для всех 3-х процесов (загрузчик1/2 и ориг. программа), чтение памяти и т.п. или это дольше реализовывать, чем ломать? Заранее спасибо.

| Сообщение посчитали полезным:

slip пишет:
что делает тулза
Простейший трасер изображений, который умеет встраиваться в другие программы.
Gmc пишет:
itrem, покупают?
Купили бы, если бы я не сорвал сроки.

| Сообщение посчитали полезным:

Насколько устойчиво шифрование CopyMaster-а? Нужно ли перепахивать?

| Сообщение посчитали полезным:

itrem пишет:
Поможет ли kernel-mode драйвер для защиты от отладки?
Грамотно реализовать будет достаточно трудно, еще труднее будет все это дело оттестить на разных осях, с разным софтом и т.п. А отломать перехват особого труда не составит.

| Сообщение посчитали полезным:

Дрова в проте - это зло. В первую очередь для юзера.

| Сообщение посчитали полезным:

Есть ли надёжные способы избежать отладки?

| Сообщение посчитали полезным:

itrem
надёжных - нет. антиотладка может быть сложной, но это не надолго остановит.

| Сообщение посчитали полезным:

Ara пишет:
отломать перехват особого труда не составит
Paxan пишет:
Дрова в проте - это зло. В первую очередь для юзера.
А если загрузка драйвера и перехват осуществляются при старте ситемы (драйвер устанавливается из под админа)? Перехват осуществляется модификацией функций в памяти ядра.

| Сообщение посчитали полезным:

itrem
Те же авторы Themid'ы отказались от использования в протекторе драйвера - из-за глючности. Если у тебя получится написать лучше них - ради бога. Вообще ты б определился, что ты хочешь - сделать коммерческий продукт, расчитаный на массовые продажи, или предназначеный для однократного втюхивания случайному лоху.

| Сообщение посчитали полезным:

Gmc пишет:
В этом есть проблема, но это не основная проблема.
Разберём алгоритм (шифровщик и упаковщик не трогаем, т.к. они находятся в относительно дружественной среде):
1. Загрузчик 1 расшифровывает и запускает загрузчик 2.
2. Ключ активации расшифровывается в памяти 3 раза разными алгоритмами и с разными паролями.
3. Ключ распаковывается
4. Выполняется загрузка необходимых библиотек и получение адресов рабочих функций.
5. Выполняется первая расшифровка пароля в исполняемой части ключа, которая заключается в востановлении последовательности из т.н. "мусора".
6. Здесь же выполняеются проверки для ограничения использования программы и т.п.
7. Полученный "пароль" (по сути уникальная для каждого ключа случайная последовательность) в 64 параллельных потоках преобразуется повторно.
8. С полученным паролем Exe-шник расшифровывается первый раз.
9. Проверяется контрольная сумма.
10. Делим контрольную сумму на разницу сохранённой и полученной в п.9
11. В случае ошибки деления на ноль переворачиваем пароль по таблице и расшифровываем exe-шник повторно.
12. Exe-шник распаковывается и запускается
13. Выделяется 64 Мб памяти и забивается нулями.

Я вижу в таком подходе несколько потенциальных проблем:
1. Ключ зашифрован достаточно слабо. Это можно не считать слабым местом, если пользователь и взломщик - не один и тот же человк.
2. Перехват API на любом этапе делает антиотладочные приёмы типа try { A = A / !IsDebuggerPresent() } catch (...) { TerminateProcess(...) } бесполезными.
3. Расшифрованный и загруженный оригинальный exe не защищается, т.е. легко поддаётся сохранению на диск в чистом виде. Я также не счёл это

проблемой т.к. подумал "чтобы сдампить - нужно сначала найти то, что дампить". Ошибся, это не так уж и сложно.

Таким образом, исследование всех этапов распаковки является бессмысленным. Я прав? Поправьте меня, если кто-то занимался исследованием других

мест программы кроме того, где exe-шник находится в распакованном виде...

Ara пишет:
или предназначеный для однократного втюхивания случайному лоху.
Хочу сделать продукт. Лоху втюхать можно и в том виде, в каком программа находится на данный момент.

| Сообщение посчитали полезным:

itrem пишет:
Я прав?
Да, ты прав. На конечной стадии получается рабочий файл, предыдущие смотреть смысла нету.

itrem пишет:
Лоху втюхать можно и в том виде, в каком программа находится на данный момент.
Сомневаюсь в этом.

| Сообщение посчитали полезным:

itrem
чем больше ты будешь мудить, тем херовей защита будет. это поверь мне по личному опыту знаю.

| Сообщение посчитали полезным:

Ara пишет:
авторы Themid'ы отказались от использования в протекторе драйвера - из-за глючности
Если я опять всё не перепутал, Themid'а _заменяет_ несколько функций из числа недокументированных на свои. Это нарушает работоспособность системы по определению.
Ara пишет:
Сомневаюсь в этом
Не буду даже пытаться - потом не отмоешься, если захочешь сделать и продать что-то на самом деле стоящее. Если бы я хотел продать программу лишь бы как бы кому-нибудь, я бы не попросил о взломе.

| Сообщение посчитали полезным:

Ara пишет:
Вообще ты б определился, что ты хочешь - сделать коммерческий продукт, расчитаный на массовые продажи, или предназначеный для однократного втюхивания случайному лоху.


itrem пишет:
Если бы я хотел продать программу лишь бы как бы кому-нибудь, я бы не попросил о взломе.

Получается мы все здесь сейчас учавствуем в создании нового КОММЕРЧЕСКОГО прота, автор которого судя по всему настроен серьёзно, только вот нехватает знаний в области реверсинга и распаковки, за которыми он пришёл сюда, на форум, где как раз боряться с такими коммерческими продуктами, и пока, что он находит ответы на свои вопросы.
Поэтому в недалёкой перспективе есть возможность к появлению нового протектора, на котором автор заработает денег, а снимать его придётся нам. Нет, конечно второй криптор из него вряд ли выйдет(хотя и этого исключать нельзя) и в принципе не впадлу помочь человеку, но имхо будет потом обидно

| Сообщение посчитали полезным: