Написал два Project'а.
Один ксорит файл,а второй запускает с пом. Debug Api и расксорит.
Если ксорить первые $200 байт то работает, а секцию-нет.
EXE в аттаче, т.к я многое упростил.
В чём трабла?

d230_17.08.2006_CRACKLAB.rU.tgz - Project.rar

| Сообщение посчитали полезным:

Текст Crypt'а.

var
Form1: TForm1;
dos: TImageDosHeader;
nt:TImageNTHeaders;
sh:array[0..15] of TImageSectionHeader;
f:file;
i: integer;

implementation

{$R *.dfm}

function Crypt(cr:char):char;
begin
result:=chr(ord(cr) xor $FF);
end;


procedure TForm1.Button1Click(Sender: TObject);
begin
if OD.Execute then
Edit.Text:=OD.filename;
end;

procedure TForm1.Button2Click(Sender: TObject);
Var
buf:array[0..$200] of char;
n: integer;
begin
AssignFile(f,edit.text);
Reset(f,1);
BlockRead(f,dos,SizeOf(dos));
Seek(f,dos._lfanew);
BlockRead(f,nt,SizeOf(nt));
for i:=0 to (NT.FileHeader.NumberOfSections-1) do
BlockRead(f,sh[i],SizeOf(TImageSectionHeader));
Seek(f,sh[0].PointerToRawData);
i:=0;
for i:=0 to (sh[0].SizeOfRawData div $200) do
begin
BlockRead(f,buf,SizeOf(buf));
for n:=0 to $200 do
buf[n]:=crypt(buf[n]);
Seek(f,sh[0].PointerToRawData+(i*($200+1)));
BlockWrite(f,buf,SizeOf(buf));
end;
CloseFile(f);
end;

end.

Текст Decrypt'а:

function Crypt(cr:char):char;
begin
result:=chr(ord(cr) xor $FF);
end;


procedure TForm1.Button1Click(Sender: TObject);
Var
SI: TStartUpInfo;
PI: TProcessInformation;
DE: TDebugEvent;
buf:PChar;
bsize, bw: cardinal;
n:integer;
begin
ZeroMemory(@SI,SizeOf(TStartUpInfo));
GetStartupInfo(SI);
CreateProcess(PChar(Edit.Text),nil,nil,nil,false,DEBUG_ONLY_THIS_PROCE SS,
nil,nil,SI,PI);
bsize:=$200;
GetMem(buf,bsize);
While true do
begin
WaitForDebugEvent(DE,INFINITE);
if DE.dwDebugEventCode=EXCEPTION_DEBUG_EVENT then
begin
ReadProcessMemory(PI.hProcess,ptr($401000),buf,bsize,bw);
for n:=0 to bsize do
buf[n]:=Crypt(buf[n]);
WriteProcessMemory(PI.hProcess,ptr($401000),Buf,bsize,bw);
ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId,DBG_CONTINUE);
end;
if DE.dwDebugEventCode=EXIT_PROCESS_DEBUG_EVENT then
exit;
ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId,DBG_CONTINUE);
end;
end;

procedure TForm1.Button2Click(Sender: TObject);
begin
if OD.Execute then
Edit.Text:=OD.FileName;
end;

end.

| Сообщение посчитали полезным:

Ксор - это плохой способ защиты.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

sniperZ
Для шифрования файлов ксор - наихудший вариант, лучше юзать сразу несколько крипто алго.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
Ну не хрена себе наихудший вариант! Что-то я не видел не одного взлома ГОСТ28147-89 , или я плохо искал?

Нет уж, от того как xor применишь так и будет!!!

-----
My love is very cool girl.

| Сообщение посчитали полезным:

theCollision
искал хорошо. Только разве в упомянутом госте используется банальный ксор?

| Сообщение посчитали полезным:

theCollision
Если ты прочтешь книгу по криптографии Брюса Шнайера - "Прикладная криптология", то узнаешь, что как бы ты не извращался с ксором, то, если ты используешь в алгоритме только его, опытный криптоаналитик сможет поломать твою систему даже не используя какие-либо программы, а прямо в голове.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Хорош разводить ОФФТОП!
Мне не важен способ криптографии,а важно чё не работает.

| Сообщение посчитали полезным:

sniperZ дурацкий код у тебя =) кто так учил делать ну заксорил ты его, а расшифровщик сделал?

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Расшифровывает второй Project - Decrypt.
Выбираешь "заксореный EXE" и он запускается под Debug API и расшифровывается в памяти.
Но вопрос почему не работает?
Функция Crypt работает нормально.

| Сообщение посчитали полезным:

sniperZ а ты релоки похерил?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
а ты релоки похерил

Чё за релоки и зачем их херить.

Вы хоть код гляньте!

| Сообщение посчитали полезным:

No comments!

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

А зачем именно Debug Api, неужели ничего другого нельзя было приписать, например секцию с кодом разксорки и переходом к ОЕР ? Конечно, я понимаю тут много бредятины, но всё же... (смотрите аттач). Как приделаю секцию разксорки, - выложу куда-нить, если кому будет нужно это борохло

31de_19.08.2006_CRACKLAB.rU.tgz - SHProt.rar

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

sniperZ пишет:
Выбираешь "заксореный EXE" и он запускается под Debug API и расшифровывается в памяти.
Но вопрос почему не работает
Ты заксорил все, в т.ч. и секцию импорта. Соответственно загрузчик не обработал ее.
Для таких задач тактика кавалерийского наскока не работает : надо сначала изучить опыт "прославленных полкодцев". Иначе получишь много раз старыми граблями

| Сообщение посчитали полезным:

Хакер - это человек умеющий наступить на грабли, даже если они в закрытом на ключ сарая

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Как заксорить тогда только код?

| Сообщение посчитали полезным:

А никак. Надо грохнуть табличку импорта, TLS, если DLL, то релоки. И ксорь сколько влезет. Только потом надо самому всё че грохнеш обрабатывать.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

sniperZ
Далай простеньку сеть Файстеля! На сайте есть статья от человека который ломал прогу в которой применялось шифрование по Des.

Left = buf[i] + key[j];
Right = Left

уже не банальный

-----
My love is very cool girl.

| Сообщение посчитали полезным:

sniperZ пишет:
Как заксорить тогда только код?
Можно посмотреть поля BaseOfCode и SizeOfCode в IMAGE_OPTIONAL_HEADER (и вообще доку http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx ). Но если есть релоки, то при их обработке загрузчик ОС модифицирует секцию.

4kusNick пишет:
как бы ты не извращался с ксором, то, если ты используешь в алгоритме только его, опытный криптоаналитик сможет поломать твою систему даже не используя какие-либо программы, а прямо в голове.
ИМХО ты Шнайера не так понял. Простейший пример: длина ключа равна длине шифротекста. Шифры придуманы, что бы ключ мог быть коротким.

| Сообщение посчитали полезным:

theCollision пишет:
Далай простеньку сеть Файстел
sniperZ не слушай. Лучше почитай раздел "Новичку". А то получается так : заплываешь ты в самую глубину и кричишь караул. А с аквалангом проще будет

| Сообщение посчитали полезным:

sniperZ пишет:
Как заксорить тогда только код?
Пхххх! Легко. Вырезаешь в hiew код, сдвигаешь на 2 байта, вставляешь в начало jmp на декодер.Сдвигаешь Import Table, меняешь jmp, loop, .. переменные и т.д. Вот экзампл:


00401000:jmp 00401028 ;Hex - коды перехода - EB26h
00401002:..... ;Закодированные инструкции...
00401028:mov ecx, 27
0040102D:push edx
0040102E:push ecx
0040102F:mov edx, [ecx+00401000]
00401035:xor edx,35
00401038:mov [ecx+00401000], edx
0040103E:pop ecx
0040103F:pop edx
00401040:loop 0040102D
00401042:jmp 00401002

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler
А ты что свою тему бросил ?!
http://www.exelab.ru/f/action=vthread&forum=5&topic=6038&p age=0#15
На хрена же push и pop в цикле делать - скорость в два раз падает.
И зачем ECX сохранять, когда loop его портит. 3-- вам по программированию

| Сообщение посчитали полезным:

Да ладно тебе, tundra37! Это издержки. А по поводу темы - спасибо, я уж разрулил. В натуре, перекоматозтило с ECX. И с пушад тоже. Сорри. Примите к сведению. А криптовать лучше готовыми пакерами, они не юзают ксор. По поводу ГОСТа хотел тоже сказать, что theCollision ошибается, если думает, что ГОСТ замешан на голом XORe. Сам читай шнайера и жельникова "от папируса до ПК" (Без обид!)

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
А по поводу темы - спасибо, я уж разрулил.
Это понятно. Но ты бил себя в грудь и кричал - write enable. Нам тоже интересно, кто же был прав ?!
И про сдвиг на 2 байта всех секций "легким движением руки" - тоже хотелось бы узнать. А то люди мучаются, а у тебя все легко

| Сообщение посчитали полезным:

Тогда охрененный криптор можно накатать. Этож не надо никакой привязки и ImageBase, вот рулез. Ждем от кравлера крутейшего криптора всех времен и народов!

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Crawler пишет:
Ждем от кравлера
Напрасно. Он уже убедился
Crawler пишет:
А криптовать лучше готовыми пакерами, они не юзают ксор.
Но почему-то не уточнил, что они еще и с импортом нормально работают. Ну ничего - у него еще все впереди.

| Сообщение посчитали полезным:

Юмор ваш, господа, уместен как никогда. Особенно про имагебасе. %( А кто говорил про легкое движение руки. Чтой-то я такого не припомню. Путаетесь, гражданин ПЕ_Килл.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
А кто говорил про легкое движение руки.
Наконец-то господин Crawler появился тут. Про легкое движение, конечно, Вы не говорили.
Но были слова в другой теме: сдвинул на два байта секцию кода и подредактировал импорт. И все ведь "работало", вот только violation был. Может там и не запись в секцию, а просто импрорт побит был.
Или мы так и не дождемся истины ....

| Сообщение посчитали полезным:

В личку я вам уже отправил мессаг с объяснительной, господин tundra37
И для публики: дело было в голимой функции, выставлявшей реадонли-аттрибут.
Спасибо всем.
А про двигание кода - в данном примере все работает без перебивки импорта и прочего геморроя. Само собой, в другом случае все гораздо сложнее

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: