Быстрый поиск
Введите фрагмент названия статьи для поиска
UnWrapper Helper 1.1
29.03.2013 | Категория: Мои программы | Автор: ManHunter
Скриншот программы UnWrapper Helper (Static)
UnWrapper Helper - это вспомогательная программа для автоматического восстановления секции кода в исполняемом файле из дампа или напрямую из памяти запущенного процесса. Восстановление заключается в копировании первой найденной секции кода в исходный файл. Это помогает в исследовании различных защит, основанных на враппере, когда секция кода дочернего файла зашифрована или иным образом модифицирована, и расшифровывается в памяти при запуске. Также UnWrapper Helper помогает анализировать изменения, внесенные в код работающего процесса различными сторонними программами: трейнерами для игр, лоадерами, инжекторами и т.п., или же самим процессом (динамическая расшифровка, метаморфный код). В результате работы UnWrapper Helper на диске создается копия исходного файла, но с уже внесенными изменениями в секции кода. Обратите внимание, что UnWrapper Helper не работает с упакованными файлами, так как физический размер секции кода в исходном файле на диске должен соответствовать размеру секции кода в памяти запущенного процесса или в дампе. UnWrapper Helper также НЕ является взломщиком защит, а только автоматизирует трудоемкие ручные действия.
Читать статью целиком »
Просмотров: 19813 | Комментариев: 22
Исследование защиты программы InspectExe
30.01.2013 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы InspectExe
InspectExe - очень удобное расширение стандартного Проводника Windows для просмотра свойств исполняемых файлов. Кроме обычных вкладок добавляются новые вкладки с инструментами для просмотра секций исполняемого файла, функций импорта, ресурсов, параметров PE-заголовка, сертификатов и т.д. В общем, неплохое подспорье для реверсеров при первоначальном анализе своих жертв. InspectExe распространяется в двух вариантах - бесплатном с некоторыми заблокированными функциями и платном, где никаких ограничений, естественно, нет. Сейчас мы попробуем превратить бесплатную версию InspectExe в полнофункциональную, проведя анализ ее защиты, хотя в приличном обществе это называется не иначе как "вор у вора дубинку украл".
Читать статью целиком »
Просмотров: 6207 | Комментариев: 10
Мульти-плагин для PEiD, DiE, Bit Detector, SCANiT, ExeScan, FastScanner и PE Tools
10.01.2013 | Категория: Образ мышления: Assembler | Автор: ManHunter
Практически все современные анализаторы исполняемых файлов поддерживают внешние модули (плагины), значительно расширяющие их функционал. Это могут быть утилиты для извлечения ресурсов, узкоспециализированные анализаторы протекторов, распаковщики, редакторы исполняемых файлов и множество других модулей. Все хорошо и здорово, если бы не одно "но". Анализаторы чаще всего не совместимы по своим функциям взаимодействия с плагинами. Для решения этой проблемы некоторые авторы начали делать мульти-плагины, которые могут работать с несколькими типами анализаторов. Если мне не изменяет память, то первым таким плагином стал модуль определения точной версии ASProtect под названием VerA от известного реверсера PE_Kill. Он одинаково хорошо работал в PEiD и DiE. Я решил пойти дальше и сделать мульти-плагин, который поддерживает шесть различных анализаторов, а именно PEiD, DiE, Bit Detector, SCANiT, ExeScan и FastScanner, а также подходит для программы PE Tools. Остальные анализаторы исполняемых файлов и подавляющее большинство утилит для реверса, поддерживающие внешние модули, "заточены" на формат плагинов от PEiD, поэтому я их в этом списке даже не упоминаю.Начнем с формата плагинов для PEiD. Тут используются две функции - LoadDll и DoMyJob. Первая используется для получения имени плагина, вторая - непосредственно для работы плагина с загруженным файлом. С LoadDll ничего сложного:
Code (Assembler) : Убрать нумерацию
- ;-----------------------------------------------------------
- ; PEiD - запрос имени плагина
- ;-----------------------------------------------------------
- proc LoadDll
- ; Вернуть в регистре EAX указатель на строку названия
- mov eax,plugName
- ret
- endp
Читать статью целиком »
Просмотров: 6952 | Комментариев: 8
Убираем рекламу из uTorrent
07.11.2012 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы uTorrent
Для пополнения своей видеотеки я уже давно пользуюсь бесплатным торрент-клиентом uTorrent, но вот уже два обновления подряд начали показывать рекламный баннер. Я, конечно, понимаю, что при такой популярности программы было бы странным не попытаться поиметь с нее бабла, но... Мне категорически не нравится реклама в программах в любом виде. Сейчас будем возвращать uTorrent его былое великолепие.
Читать статью целиком »
Просмотров: 22318 | Комментариев: 24
Программы для заморозки времени и обхода триальных защит
17.07.2012 | Категория: Темная сторона Силы | Автор: ManHunter
Программы для заморозки времени и обхода триальных защит
В подавляющем большинстве случаев защита коммерческих программ основана на так называемом триале, то есть когда программа работает в полном режиме какое-то время, а затем надо ее зарегистрировать или прекратить использование. В основном такая защита обходится программами для удаления триальных ключей из реестра, но только если для защиты использован известный навесной протектор, или же их защита уже была ранее исследована и добавлена в обработку. Для самодельных защит, а также для обхода малоизвестных протекторов, часто используется трюк с заморозкой или откатом системных часов на определенную дату в прошлое. После таких манипуляций программа считает, что она только что установлена или что триальный срок еще не закончился, и продолжает работать. Здесь я собрал все программы для заморозки времени, которые мне встречались.
Читать статью целиком »
Просмотров: 136056 | Комментариев: 40