Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 [email protected] —› Протекторы —› Метаморф в ASProtect 1.3x
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 199.6 (ветеран), 12thx
Активность: 0.10
Статус: Участник
www.uinc.ru

Создано: 24 мая 2005 20:06
· Личное сообщение · #1

Эээ, ну вобщем нужда заставила заняться тем чего я года два уже не делал - распаковать сабж ручками. Без удивления обнаружил что прогресс не стоит на месте - это чудовище сраслось в дельфевой прогой в единое целое Перестраивалку замангленного импорта/таблицы инициализаций сделал на одном дыхании, а вот с точкой входа беда - добрый десяток rtl функций и то что было отмечено маркерами превращено в метаморфную кашу. Понятно что все это можно сдампить и приклеить к имаджу и после обточки напильником это вероятно будет даже работать, но нет ли более кошерного способа с этим бороться??? Потом можно будет сделать эмулятор для сворачивания этого трэша в нормальный код, но сейчас на это нет время.



Ранг: 12.0 (новичок)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2005 12:28
· Личное сообщение · #2

Киньте кто-нить на мыло кусок полиморфного кода от аспра 1.3х. Можно без оригинала, главное сам выдранный полиморф. Только цельным куском, не надо обрезков.
А то сколько не скачивал аспр, всё голые .ехе попадается, ни доков, ни примеров.
urquan$bk.ru



Ранг: 12.8 (новичок)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2005 12:50
· Личное сообщение · #3

Inferno[mteam] пишет:
Я не знаю, что там главное, а что нет. Просто посмотри сюда:
Вот как старфорс эмулит mov:

Эээ.. это собственно выдранная часть его VM - и очень кстати старенький код чегой-то.. ну да ладно.

А теперь попробуй не согласиться, что аспру далеко до старфорса в эмуляции команд
Я бы сравнил, конечно, если бы Солодовников реализовал VM в аспре .. кстати там есть VM, ты видимо её ещё не наёшёл , но она не совсем полноценная - всего для некоторых инструкций, так что и её сравнивать нельзя. И у меня закрадываются сомнения что после таких постов здесь он её обязательно реализует

Что касается остальных вопросов, ты крякер или кто вообще? Залезь с отладчиком и посмотри на этот полиморф, многие вопросы отпадут сами собой.
Гы всё ясно.
Ты не обращай внимания на мои вопросы pls - реализуй эту тулзу! я тебе первый спасибо скажу, как, наверно, и мноогие другие здесь ...



Ранг: 0.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 27 мая 2005 12:55
· Личное сообщение · #4

Предложение для особо недоверчивых можно провести небольшой эксперимент:
написать, скажем на С несколько(скажем 3) небольших программок.
Первая - без вложенных call, и без условных переходов. Просто арифметические операции какие-нибудь.
Вторая - без вложенных call, но с условными переходами.
Третья - переходы, вложенные call.

Обработать их аспром 1.31 без опций защиты, но с метками для полиморфа.

А я попробую восстановить исходный код(пока вручную) и запощу сюда.
Только не пишите монстрообразных прог, у меня и так мало времени, чтобы его тратить.

p.s. Да, после недавнего поста с прогой для форматирования винта, у меня еще больше увеличилось
недоверие к прогам из инета, так что пусть программки запостят люди, которым я доверяю:
Dr.Golova, ssx, Mario555, nice, Asterix.



Ранг: 12.8 (новичок)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2005 13:08
· Личное сообщение · #5

Inferno[mteam] пишет:
Только не пишите монстрообразных прог, у меня и так мало времени, чтобы его тратить.


Зачем вообще тратить на это время приступай сразу к тулзе.. ? ах да - у тебя так мало времени ..

ps. Сори, не удержался. Просто на будущее хотя бы не пиши то, в чём не разбираешься. Если бы я такое предложение от Dr. Golova`ы услашал и то наверное засомневался - времени на разработку теории нужно слишком много, и всё равно не будет покрытия всех case`ов полиморфа. Так что об generic восстановщике даже заикаться имхо глупо.



Ранг: 0.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 27 мая 2005 13:20
· Личное сообщение · #6

evix
evix пишет:
Просто на будущее хотя бы не пиши то, в чём не разбираешься.

evix пишет:
времени на разработку теории нужно слишком много, и всё равно не будет покрытия всех case`ов полиморфа.

Похоже единственный, кто не разбирается - это ты.



Ранг: 192.3 (ветеран), 18thx
Активность: 0.120
Статус: Участник
stoned machine-gunner

Создано: 27 мая 2005 14:09
· Личное сообщение · #7

так, ребята, ВСЁ! Хватит устраивать бессмысленных дискуссий. Весь гон пожалуйста в ПМ.

-----
once you have tried it, you will never want anything else





Ранг: 199.6 (ветеран), 12thx
Активность: 0.10
Статус: Участник
www.uinc.ru

Создано: 27 мая 2005 14:27
· Личное сообщение · #8

Могу неавторитетно заявить, что 3/4 метаморфного кода можно свернуть даже без эмуляции. 1:1 конечно не получится, так что сваливать все придется всеравно в отдельную секцию. Но это ж надо неделю-другую потратить на написание тулзы - лениво ради одной проги



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 27 мая 2005 15:34
· Личное сообщение · #9

Гы, я когда-то вручную пытался свернуть метаморф на аспре 1.23 RC4, вроде такая версия,
получил листинг отключив окно кода в SoftIce, потом вырезал все ненужные jmp и CALL,
далее пытался вручную анализировать, короче оказалось проще найти более раннюю
версию этой проги с чуть более ранним АСПром и подсмотреть спертые байты там
лишь немного подкорректировав их под эту версию проги =)



Ранг: 33.1 (посетитель)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2005 21:41
· Личное сообщение · #10

DrGolova пишет:
Могу неавторитетно заявить, что 3/4 метаморфного кода можно свернуть даже без эмуляции.


я ж говорю - после некоторой возни с этим полиморфом, начинаешь понимать, что делает код даже без расчистки
а еще - можно в сам аспр заглянуть и понять механизмы формирования этого полиморфа...



Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 29 мая 2005 00:19
· Личное сообщение · #11

Восстановить код из полиморфа (с ВМ) реально. stephenteh (на форуме exetools тусуется) восстанавливает код до оригинального размера (в секцию кода нормально влезает). У меня есть его мини тутор по этому поводу, тока мне моего скрипта для автоматического восстановления комманд из ВМ (и импорта, и спёртой таблицы инита) хватает Кому нужно стучитесь в приват, но дам очень немногим...




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 29 мая 2005 12:26
· Личное сообщение · #12

sanniassin пишет:
stephenteh (на форуме exetools тусуется) восстанавливает код до оригинального

програмно ?



Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 29 мая 2005 14:12
· Личное сообщение · #13

Mario555 пишет:
програмно ?

неа, ручками к сожалению


<< . 1 . 2 .
 [email protected] —› Протекторы —› Метаморф в ASProtect 1.3x
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати