ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
11.08.2007, 20:15
|
|
Познающий
Регистрация: 06.06.2007
Сообщений: 99
Провел на форуме:
559723
Репутация:
94
|
|
я так и не понял, чего ты хочешь 
если снять криптор с .exe - то после загрузки в ольку ставь бряк на секцию кода и shft+f9, пока не окажешься на OEP.
там сразу вызывается GetModuleHandle (если я не перепутал, ибо я ща за другим компом) |
|
|
11.08.2007, 20:58
|
|
Участник форума
Регистрация: 11.07.2007
Сообщений: 190
Провел на форуме:
254313
Репутация:
185
|
|
Можно ешо и так:
Адрес оригинального ентру поинт тот же самый....
В Debugging Options=>Exceptions ставиш галки на
Ignore access violations in Kernel32
INT3 breaks
Memory acess violations
Затем открываеш отладчиком и в analysis кликаеш по Remove analysis from module
после чего ставиш бряк по адресу 4904dc
F9
снимаеш бряк и новый бряк по адресу 490a0b
F9
после по f8 прыгаеш в Ntdll и опять же по f8 вылазиш на OEP
Всё....
Последний раз редактировалось Lamia; 11.08.2007 в 21:03..
|
|
|
|
11.08.2007, 21:46
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
dmnt Я про патчинг, чтобы прога начала работать, а не выводить сообщение о анреге! Алго и кейжен не обязателен так же как и крипт снимать...
|
|
|
|
11.08.2007, 23:15
|
|
Участник форума
Регистрация: 07.01.2007
Сообщений: 103
Провел на форуме:
726068
Репутация:
122
|
|
криптор ещё не смотрел но форуму видно что снимается он не труднее чем Upx, без распаковки файла ты не сможеш найти процедуру проверки на регистрацию...так что надо сначала распаковать, а потом уже снимать защиту...щас скачаю посмотрю...
|
|
|
|
11.08.2007, 23:45
|
|
Познающий
Регистрация: 06.06.2007
Сообщений: 99
Провел на форуме:
559723
Репутация:
94
|
|
xqwerx - aaa, она еще и не работает? тогда понятно, о чем ты говоришь |
|
|
|
11.08.2007, 23:52
|
|
Участник форума
Регистрация: 07.01.2007
Сообщений: 103
Провел на форуме:
726068
Репутация:
122
|
|
неработает значит неправельно распакована, и я так понял что цель это снять криптор и защиту....
|
|
|
|
12.08.2007, 00:24
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
!_filin_! Неработает - это значит, что без регистрации не работает, не выполняет свое предназначение (криптовка файлов). Приму любые решения по расколу этой проги
|
|
|
|
12.08.2007, 00:40
|
|
Познающий
Регистрация: 06.06.2007
Сообщений: 99
Провел на форуме:
559723
Репутация:
94
|
|
короче
распаковано оно правильно, я просто не додумался проверить работает ли этот криптор а он не работает - ключ требует (какая жалость)
защита построена так: в HKLM\Software\Poly!Crypt есть параметр SN, в котором хранится ключ (4символа)
если ключ есть - берем volume serial number, neg, sub SN, xor SN и из этого должен получиться некий адрес памяти (проверяется контрольная сумма первых 4х байт)
если все совпало - то переходим по этому адресу и криптуем файл
адрес вроде как 040211Е
у меня вроде работет, пробуйте - http://webfile.ru/1494816 |
|
|
|
12.08.2007, 00:59
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
dmnt Респект!!! Спасибо за помощь и разьяснения в организации защиты 
P.S. Все ок, но может убрать все таки ссылку на рабочий убрать...
|
|
|
|
12.08.2007, 01:03
|
|
Познающий
Регистрация: 06.06.2007
Сообщений: 99
Провел на форуме:
559723
Репутация:
94
|
|
P.S. Все ок, но может убрать все таки ссылку на рабочий убрать...
он старый и давно спалился, думаю автор не обидется, а потренироваться интересно...
решайте сами
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
