Защита от Abisecure. Прога SecurePro.Это очередная новомодная защита. Состоит из двух частей. Первая - файл с расширением .exe. Вторая - файл с расширением .locked который типа закриптован. Exe файл, если есть лицензия, "раскриптовывает" этот locked и запускает. Казалось бы понты. Поймать тока создание процесса и все - можно дампить. Не все так быстро делается. Во первых отловить такое создание процесса довольно сложно. Во вторых - пробовал, дамп вышел глючный :) Повисает при попытке чтения каких-то данных из памяти. Можно сделать предполодение что там не только раскриптовка идет но и членовредительство :) Проверить это можно очень просто. Ставим bpx на CreateProcessA, WriteProcessMemory и Resumethread. После того как мы нажмем TRY в окошке сообщающем о триале, выполнится CreateProcessA (причем создастся Suspended), Потом будет WriteProcessMemory, а после него сработает Resumethread. Т.е. загрузчик, создает остановленый процесс потом пишет 202h байта(это можно глянуть в стэке при вызове WriteProcessMemory) в начало "закриптованного" файла и дальше запускает его через ResumeThread. Поставив Bpx на call Resumethread. Можно поймать место запуска "закриптованного" файла. Дальше зациклить так чтоб resumethread не выполнило и сдампить. Главное не перепутать, что дампить. OEP у "закриптованного" файла остается прежним(т.е. дамп ваще править не надо). Тут фокусов с SetThreadContext нет. Импорт тоже не поганит. Примитивно пытается сечь дебагер. Вот и вся защита.
|