Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 [email protected] —› Протекторы —› @DeXP v1.0 протектор Delphi программ
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 24 августа 2005 09:26
· Личное сообщение · #1

Цитата с сайта разработчика: "Протектор исполняемых файлов, самый долгожданный релиз года! Идеальная защита для программ написанных на Borland Delphi 3-7.
Невозможно дампировать, нет точки входа, любой отладчик который попытается присоединится к процессу зависнет, невозможно декомпилировать например DeDe и т.д. всего не перечислить. Аналогов такой защиты не существует!".

Как то слишком громко заявлено. Давайте ломать!

Сайт программы www.setisoft.com/




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 24 августа 2005 09:27
· Личное сообщение · #2

10 баксов стоит =)
А 10 баксов-то не лишние =)))



Ранг: 54.9 (постоянный)
Активность: 0.020
Статус: Участник

Создано: 24 августа 2005 09:31
· Личное сообщение · #3

Интересная программа у них в даунлоад Quik Unpack v0.7



Ранг: 29.0 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 24 августа 2005 10:57
· Личное сообщение · #4

скачал я ее ну и хелп решил посмотреть:

P.S. Ставьте, пожалуйста, тему "@DeXP", чтобы письмо попадало в нужную папку и пишите попадробнее, а
^^^^^^^^^
не обрывки фраз.

Блин грамотеи

Странно, а почему можно накладывать другие защиты кроме ASProtecta?



Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 24 августа 2005 11:15
· Личное сообщение · #5

Предложение, создать на дельфи программку простую, запротектить и взломать . Чтоб не повадно было так писать. У кого есть с собой Делбфи вышлите мне на почту я запакую или сами сделайте.



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 24 августа 2005 11:34 · Поправил: nice
· Личное сообщение · #6

scanner
Протектор работает очень плохо, из 5 программа запаковал только 1!!!
Антиотладки как таковой не нашел, ОЕР лежит в открытом виде
Сам протектор сваливает всё в одну секцию и импорт и код, у меня программа загрузилась по адресу: 009EE404 55 PUSH EBP
а должна была: 44E404
Импотр тоже целёхонький, осталось сдампить всё это по частям и пересобрать сам ЕХЕ файл

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 24 августа 2005 11:52
· Личное сообщение · #7

Ну что ж берем качаем и ломаем.

scanner.narod.ru/Project1_ade.exe

На всякий случай привожу отчет протектора:
--------------------------------------------------------------
Установка защиты:

Оптимизация файла
Удаление из файла не нужных ресурсов
Удаление RTTI Delphi
Удаление имен секций
--Имя [CODE] секции удалено
--Имя [DATA] секции удалено
--Имя [BSS] секции удалено
--Имя [.idata] секции удалено
--Имя [.tls] секции удалено
--Имя [.rdata] секции удалено
--Имя [.reloc] секции удалено
--Имя [.rsrc] секции удалено
Сжатие файла
Шифрование файла
Наследование значка

Оригинальный размер [364 Кб], Новый размер [348 Кб], Сжатие [5 %]
Файл успешно защищен !
---------------------------------------------------------------------- ----------------------



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 24 августа 2005 11:56
· Личное сообщение · #8

scanner
Да нет таам никакой защиты, а вот сам протектор защищен куда интереснее

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 24 августа 2005 11:57
· Личное сообщение · #9

nice
Интересненько, получается, реклама только
Эт как яблочный сок можно заменить в рекламе маслом



Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 24 августа 2005 11:58
· Личное сообщение · #10

Ну давайте тогда ломать протектор! Все сломаем, ничего не жалко.



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 24 августа 2005 14:13
· Личное сообщение · #11

Не могу понять, как он Ольку определяет второй раз...

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 78.6 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 24 августа 2005 14:17
· Личное сообщение · #12

запакованная прога всётки завершается с ошибкой а ты говариш антиотладки нет)



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 24 августа 2005 14:41
· Личное сообщение · #13

read_me
Запакованная прога при патче 1го байта отлично работает дальше

А вот как сам протектор детектит Ольку я пока не знаю...

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 24 августа 2005 15:20
· Личное сообщение · #14

Первый этап определения отладчиков (признаки):
01123E38 CALL 00FE7670 ; JMP to user32.FindWindowA

1. Title = "Select process to attach"
2. Title = "Attach to"
3. Title = "Attach to Process"
4. Title = "[ DumpFX 1.1 ] by yoda"
5. Title = "Unpacker for FSG v2.0"
6. Title = "Revirgin by +Tsehp 1.5 private version"
7. Title = "Quick Unpack v0.7"
8. Title = "[ apatchUI ] ... bless you "
9. Title = "pe-scan 3.31"
10. Class = "PROCEXPL"
11. Title = "UnStealthPe by GPcH"
12. Title = "Rock Debugger"
13. Class = "TDeDeMainForm"
14. Class = "OWL_Window"
15. Class = "FileMonClass"
16. Class = "TWindowScannerForm"
17. Class = "OLLYDBG"
18. Title = "[ LordPE Deluxe ] by yoda"
19. Title = "ProcDump32 (C) 1998, 1999, 2000 G-RoM, Lorian & Stone"
20. Title = "PE Tools v1.5 Xmas Edition - by NEOx/[uinC], www.uinc.ru/"
21. Title = "GUW32 v1.0"
22. Title = "Ultimate Delphi Decompiler"
23. Title = "Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF"
24. Title = "PEiD v0.9"
25. Title = "PiD v5.0 Final b - the ultimate Protection Scanner by CDKiLLER"

убивается заменой по адресу 01123E3F:
JE SHORT 01123E83 на JMP SHORT 01123E83
Со вторым этапом пока проблема.

-----
Get busy living or get busy dying ©




Ранг: 51.9 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 24 августа 2005 15:34
· Личное сообщение · #15

Здесь ещё "26. Title = "Windows Task Manager" нехватает .




Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 24 августа 2005 15:42 · Поправил: Getorix
· Личное сообщение · #16

Barakuda
Странно, такого я не видел. После PiD ничего больше не проверяется. Вылетает со второго этапа. И при включеном Таск Менеджере нормально работает.
Тьфу блин, че-т не сразу дошло что шутка. Сорри, увлекся

-----
Get busy living or get busy dying ©





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 24 августа 2005 15:46
· Личное сообщение · #17

Barakuda пишет:
Здесь ещё "26. Title = "Windows Task Manager" нехватает .

;)



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 24 августа 2005 18:11
· Личное сообщение · #18

Getorix пишет:
17. Class = "OLLYDBG"


Это нужно ручками пропатчить в OllyDbg.exe,
вот если бы Olly грузил плагины до создания окон, можно
было бы и в плагин прикрутить..



Ранг: 51.9 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 24 августа 2005 18:16
· Личное сообщение · #19

Getorix пишет:
1. Title = "Select process to attach"


А при попытке приатачится Олей появляется окошко именно с таким заголовком.
Поэтому врятли Olly можно поправить "бит хаком". Впрочем "Никогда не говори никогда".




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 24 августа 2005 20:16
· Личное сообщение · #20

Хе, кажись это от автора проги LikeRus. Сама прога была довольно геморной во взломе.




Ранг: 199.6 (ветеран), 12thx
Активность: 0.10
Статус: Участник
www.uinc.ru

Создано: 24 августа 2005 20:38 · Поправил: DrGolova
· Личное сообщение · #21

> самый долгожданный релиз года
Бу-га-га!
Третий VirtualAlloc от старта выделяет память под имадж, копирует туда оригинальный заголовок, потом поодной штуке кладет секции. Как положит, дампим весь регион, делаем DumpFix (чтобы у секций RawOffset == VirtualAddress), сбрасываем IMAGE_FILE_DLL флажок в заголовке. И это собсно все - получили оригинальный ехе, надо только иконку приклеить.
Я действительно давно ждал такую лоховскую идеальную защиту %)
Сделать чтоль распаковщик. Щас только проверю не будет ли какой засады если Delphi программу зажать.




Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

Создано: 24 августа 2005 22:49
· Личное сообщение · #22

Archer пишет:
Хе, кажись это от автора проги LikeRus


Так и есть. Мне почемута кажется, что из нас хотят зделать бета тестерами.



Ранг: 42.0 (посетитель)
Активность: 0.040
Статус: Участник

Создано: 24 августа 2005 22:52
· Личное сообщение · #23

Точно, сдампил как было сказано уважаемым Dr.Golova, после VirtualAlloc, в регистрах следующее:
ecx,offset "PE"
edx,offset "PE"
ebp,offset "MZ"

Файл абсолютно целый, размер можно сразу посмотреть в заголовке и соответственно взять регион от ebp длиной Size Of Image =) Ребилдить не пришлось, только в File Header снять признак DLL.




Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

Создано: 25 августа 2005 00:33
· Личное сообщение · #24

DrGolova пишет:
надо только иконку приклеить


А у меня вместе с иконкой.
Кстати, на ней ещё VMProtect навешан. Вот так вот.
Так просто ломануть не удастся.




Ранг: 536.4 (!), 171thx
Активность: 0.660.13
Статус: Администратор
Создатель [email protected]

Создано: 25 августа 2005 13:46
· Личное сообщение · #25

Парни, ну что вы привязались к проге - пускай у неё будет лоховая защита, нам же потом проще ломать проги будет, защищенные ей. К чему нам лишние аспры и армы ?

-----
Всем не угодишь





Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 25 августа 2005 14:03
· Личное сообщение · #26

Bad_guy
Дык в том то и дело, что протектор протектит хуже чем сам запротекчен Вот саму прогу протектор мы и распаковываем. Уже второй день над ней с nice кумекаем...

-----
Get busy living or get busy dying ©





Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

Создано: 25 августа 2005 14:40
· Личное сообщение · #27

Getorix пишет:
Уже второй день над ней с nice кумекаем


В смысле регистрации или распаковки.



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 25 августа 2005 14:47
· Личное сообщение · #28

NIKOLA
Распаковки, сам протектор прибивает Ольку, вот пытаемся найти как он её детектит

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 42.0 (посетитель)
Активность: 0.040
Статус: Участник

Создано: 25 августа 2005 17:16
· Личное сообщение · #29

Мне тоже интересно, как он её детектит... определяет только если запущен из-под Olly




Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

Создано: 25 августа 2005 17:19
· Личное сообщение · #30

nice

Дык уже написано где:

DrGolova пишет:
Третий VirtualAlloc от старта выделяет память под имадж, копирует туда оригинальный заголовок, потом поодной штуке кладет секции


Второй файло из памяти херачит.

Крипто анализатором ни кто не пробовал открыть дамп.
Столько сиг., я охренел.
И ещё заметил, этот херувим (протектор), патчит в памяти кернел.


. 1 . 2 . >>
 [email protected] —› Протекторы —› @DeXP v1.0 протектор Delphi программ
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати