Сейчас на форуме: Kybyx (+1 невидимый пользователь)

 eXeL@B —› Оффтоп —› PC Guard снятие протектора (Туторы, скрипты, плагины, ...)
Посл.ответ Сообщение

Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 04 августа 2019 16:39
· Личное сообщение · #1

Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию PC Guard, а также полезные программы и скрипты.Ну чтож, в добрый путь, друзья!



Ранг: 39.7 (посетитель), 4thx
Активность: 0.040.01
Статус: Участник

 Создано: 04 августа 2019 17:42
· Личное сообщение · #2

ну так раз тему то поднял, сам то хоть что то выложил))



Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 04 августа 2019 18:54 · Поправил: SDK
· Личное сообщение · #3

Xlab0s пишет:
ну так раз тему то поднял, сам то хоть что то выложил
выкладываю пациента на препарацию и опыты изучайте

-->test<--




Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

 Создано: 04 августа 2019 19:03
· Личное сообщение · #4

SDK

Ничем не накрыто, есчо раз внимательно посмотри.

-----
vx

Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 04 августа 2019 23:49
· Личное сообщение · #5

накрыт чем то rdg выдал гуард ехескоп фейксигн и арму дие ничего не показывает криптография используется
difexacaw пишет:
Ничем не накрыто, есчо раз внимательно посмотри.




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 05 августа 2019 05:08 · Поправил: Gideon Vi
· Личное сообщение · #6

зачем ты залил распакованный файл?



Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 05 августа 2019 23:30 · Поправил: SDK
· Личное сообщение · #7

вот точно не распакована скачал с офсайта

https://exelab.ru/f/files/cce0_06.08.2019_EXELAB.rU.tgz 1часть

https://exelab.ru/f/files/af80_06.08.2019_EXELAB.rU.tgz 2часть
обьединить в 7zip




Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

 Создано: 06 августа 2019 09:58 · Поправил: difexacaw
· Личное сообщение · #8

SDK

Вот OEP твоего апп накрытого протом:



А вот EP не накрытого:



- код по EP не изменён, смещены адреса. Это значит что разные версии апп. Это видно если запустить, накрытый 1.2, не накрытый 311.2

Наверно не пакованный более новой версии. В чём смысл темы ?

-----
vx

| Сообщение посчитали полезным: SDK

Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 06 августа 2019 19:13
· Личное сообщение · #9

Смысл понять что меняет прот ,где гадит после распаковки например 311 невозможно изменять координаты кнопок
вылетает с ошибкой 0х0000005 не найдена длл y% второй раз если попробовать снять дам и склеить с импортом то же самое проверок crc не увидел




Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

 Создано: 06 августа 2019 19:27
· Личное сообщение · #10

SDK

Не конкретные вопросы. То первое апп не полностью распаковано, ключевые процедуры обфусцированы, хотя образ и восстановлен. Анпакер не смог восстановить морф.

Я немного покапался, если в первом семпле изменить условие после запуска 4423DD, то откроется диалог активации. Затем я снял активность после ввода ключа. Условные ветвления(Ip:Flow):

Code:
  1. 30003018         00449010  VCDSLite.00449010
  2. 3000301C          00449012  VCDSLite.00449012
  3. 30003020          00425C3F  VCDSLite.00425C3F
  4. 30003024          00425C6C  VCDSLite.00425C6C
  5. 30003028          004265D8  VCDSLite.004265D8
  6. 3000302C          004265DA  VCDSLite.004265DA
  7. 30003030          004265E0  VCDSLite.004265E0
  8. 30003034          004265E2  VCDSLite.004265E2
  9. 30003038          004265E5  VCDSLite.004265E5
  10. 3000303C          004265ED  VCDSLite.004265ED
  11. 30003040          004265F3  VCDSLite.004265F3
  12. 30003044          004265F5  VCDSLite.004265F5
  13. 30003048          004265F8  VCDSLite.004265F8
  14. 3000304C          004265FA  VCDSLite.004265FA
  15. 30003050          00426602  VCDSLite.00426602
  16. 30003054          00426604  VCDSLite.00426604
  17. 30003058          00425CA8  VCDSLite.00425CA8
  18. 3000305C          00425CB4  VCDSLite.00425CB4
  19. 30003060          00425CC4  VCDSLite.00425CC4
  20. 30003064          00425CC6  VCDSLite.00425CC6
  21. 30003068          00426003  VCDSLite.00426003
  22. 3000306C          00426005  VCDSLite.00426005
  23. 30003070          0041937E  VCDSLite.0041937E
  24. 30003074          00419380  VCDSLite.00419380
  25. 30003078          00433CCE  VCDSLite.00433CCE
  26. 3000307C          00433CD0  VCDSLite.00433CD0
  27. 30003080          004193B1  VCDSLite.004193B1
  28. 30003084          004193B3  VCDSLite.004193B3
  29. 30003088          004193DE  VCDSLite.004193DE
  30. 3000308C          004193E0  VCDSLite.004193E0
  31. 30003090          004193E0  VCDSLite.004193E0
  32. 30003094          004193E2  VCDSLite.004193E2
  33. 30003098          004193E4  VCDSLite.004193E4
  34. 3000309C          004193E6  VCDSLite.004193E6
  35. 300030A0          004193F1  VCDSLite.004193F1
  36. 300030A4          004193F3  VCDSLite.004193F3
  37. 300030A8          004193F3  VCDSLite.004193F3
  38. 300030AC          004193F5  VCDSLite.004193F5
  39. 300030B0          004193FA  VCDSLite.004193FA
  40. 300030B4          004193FC  VCDSLite.004193FC
  41. 300030B8          0042602D  VCDSLite.0042602D
  42. 300030BC          0042602F  VCDSLite.0042602F
  43. 300030C0          00426036  VCDSLite.00426036
  44. 300030C4          00426073  VCDSLite.00426073
  45. 300030C8          00426076  VCDSLite.00426076
  46. 300030CC          004260A4  VCDSLite.004260A4
  47. 300030D0          004382BE  VCDSLite.004382BE
  48. 300030D4          004382CE  VCDSLite.004382CE
  49. 300030D8          00438801  VCDSLite.00438801
  50. 300030DC          00438803  VCDSLite.00438803


Если пролистать отладчиком, то сразу можно найти код, где происходит обработка ключа. В дампе CC нет областей вне PE. Более подробная инфа есть в дампе безусловных ветвлений, но он длинный:

Code:
  1. 300430E4          00426613  VCDSLite.00426613
  2. 300430E8          00426618  VCDSLite.00426618
  3. 300430EC          00425C8E  VCDSLite.00425C8E
  4. 300430F0          0060B044  VCDSLite.0060B044
  5. 300430F4          0060B047  VCDSLite.0060B047
  6. 300430F8          0060B09B  VCDSLite.0060B09B
  7. 300430FC          00425C98  VCDSLite.00425C98


Это лишь часть его. Эти ветвления за пределами образа - расшифровка части декриптующего ключ кода, он меняется на лету. Увы, но автоматикой больше ничего не вытянуть, крипто блок весьма сложен, только ручной разбор

-----
vx

Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 06 августа 2019 19:57
· Личное сообщение · #11

Понял спасибо за полезную информацию ,покопаю сам и эти семплы и наверно скачаю сам протектор и попробую его снять вручную картина станет яснее




Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

 Создано: 06 августа 2019 20:03
· Личное сообщение · #12

SDK

Вручную" это наверно какая то шутка. Что же ты с этим вручную то сделаешь ?

Эти апп довольно толстые по обьёму, а обьём это время на реверс.

-----
vx

Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

 Создано: 06 августа 2019 20:41
· Личное сообщение · #13

Не не шутка не встречал эту защиту решил изучить как устроена
Время есть по пол часика сел посмотрел записал в блокнот
Где остановился и дальше продолжил.исключительно ради собственного удовольствия.


 eXeL@B —› Оффтоп —› PC Guard снятие протектора (Туторы, скрипты, плагины, ...)

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

   Для печати Для печати