RCE.SU - реверсинг, кодинг, выделенные сервера, ICQ, proxy

Защита от Abisecure. Прога SecurePro.

Прога это для криптования. Все что угодно можно криптовать и делать самораскриптовывающиеся (во какое слово :) файлы. Знает AES, Blowfish, 3DES, сжимает по LZ78. Все хорошо тока триал стоит на 1 месяц.

Это очередная новомодная защита. Состоит из двух частей. Первая - файл с расширением .exe. Вторая - файл с расширением .locked который типа закриптован. Exe файл, если есть лицензия, "раскриптовывает" этот locked и запускает. Казалось бы понты. Поймать тока создание процесса и все - можно дампить. Не все так быстро делается. Во первых отловить такое создание процесса довольно сложно. Во вторых - пробовал, дамп вышел глючный :) Повисает при попытке чтения каких-то данных из памяти. Можно сделать предполодение что там не только раскриптовка идет но и членовредительство :) Проверить это можно очень просто. Ставим bpx на CreateProcessA, WriteProcessMemory и Resumethread. После того как мы нажмем TRY в окошке сообщающем о триале, выполнится CreateProcessA (причем создастся Suspended), Потом будет WriteProcessMemory, а после него сработает Resumethread. Т.е. загрузчик, создает остановленый процесс потом пишет 202h байта(это можно глянуть в стэке при вызове WriteProcessMemory) в начало "закриптованного" файла и дальше запускает его через ResumeThread. Поставив Bpx на call Resumethread. Можно поймать место запуска "закриптованного" файла. Дальше зациклить так чтоб resumethread не выполнило и сдампить. Главное не перепутать, что дампить. OEP у "закриптованного" файла остается прежним(т.е. дамп ваще править не надо). Тут фокусов с SetThreadContext нет. Импорт тоже не поганит. Примитивно пытается сечь дебагер. Вот и вся защита.


<= Вернуться к статьям


Публикации статьи помогли:
Сайт про java игры для нокиа 5530 и не только
Сайт, где можно заказать ремонт компьютеров в Белоруссии Kroxa - женский форум для Вас...
Rambler's Top100