734 ответов в теме

[Amaterrassy]

Тоже интересно стало что там понаписали - так что пожалуй от меня тоже плекс)

[N Sarikusa]

..
И так, информация на данный момент:
В начале я попытался через дебагер дампнуть то, что хранится в запакованном сегменте файла darkspawn.dll (работу над 64-х битной версией я сразу забил, там еще больше мороки, как по мне) - но увы на данный момент фейл, ибо сия падла вместо того, чтобы выплюнуть в память то

..

Я, конечно, не претендую на компетентность в заявленном вопросе, но в память погружается ровно тот код, который хранится в секции кода в исполнимом файле..

[WarStalkeR]

Я, конечно, не претендую на компетентность в заявленном вопросе, но в память погружается ровно тот код, который хранится в секции кода в исполнимом файле..

При простом пакере типа UPX'а - да. А тут увы не так все просто, иначе я бы его давно раскрыл бы.

[Lehadyd]

Менее чем за сутки тема вызвала живой интерес сообщества, размер вознаграждения достиг 4 PLEX'а.

Казначеем быть вызвался Фишка, ждем от него ник чара, на которого улетят плексы.

Все еще есть потребность в 2-3 альтруистах, на которых будет возложена функция проверки выкладок наших борцов за правду.

[RidRock]

ждём высказывания даркспавнов причастных к созданию этого файла. 

[Alexfishka]

Менее чем за сутки тема вызвала живой интерес сообщества, размер вознаграждения достиг 4 PLEX'а.

Казначеем быть вызвался Фишка, ждем от него ник чара, на которого улетят плексы.

Все еще есть потребность в 2-3 альтруистах, на которых будет возложена функция проверки выкладок наших борцов за правду.

На alexfishka и кидайте контрактами

На счет проверки выкладок я пас, так как полный нубас в этом.

[Faydhe]

ждём высказывания даркспавнов причастных к созданию этого файла. 

У них есть все шансы срубить 4 плекса =).

[Alexfishka]

У них есть все шансы срубить 4 плекса =).

Блин, нада было сначала 1 плекс давать в награду, думаю там и за плекс удавятся в очереди

[Lehadyd]

Вознаграждение следователям от меня и БТТТ.

 

[Ashu]

Менее чем за сутки тема вызвала живой интерес сообщества, размер вознаграждения достиг 4 PLEX'а.

Казначеем быть вызвался Фишка, ждем от него ник чара, на которого улетят плексы.

Все еще есть потребность в 2-3 альтруистах, на которых будет возложена функция проверки выкладок наших борцов за правду.

Это UPX ,просто скорее всего скрамблерный. просто PEID криво определяет сигнатуру

[WarStalkeR]

Все еще есть потребность в 2-3 альтруистах, на которых будет возложена функция проверки выкладок наших борцов за правду.

Предупреждаю сразу! Файл запакован скорей всего этим счастьем (тем кто знает буржуйский, советую ознакомиться) или чем-то аналогичным. А это значит что количество людей, которые могут вытащить правду из файла ДСП очень и очень мало, т.е. любой реверс инженер сможет это сделать + еще всякие крякеры.

У меня же как я сказал на данный момент сей скилл с трудом вкачан в Единичку и пока качается в Двоечку, а тут как по мне нужен скилл вкачаный не меньше, чем в Тройку/Четверку (зависит от обстоятельств), а лучше и вовсе в Пятерку. Но зато качаю.

Как работает экзешник, запакованный обычным пакером:
Запуск EXE/DLL → Дамп настоящего EXE/DLL в/на память/хард → Запуск настоящего EXE/DLL.

Как работает экзешник, запакованный VMProtect'ом:
Запуск EXE/DLL → Присутствует ли Дебаггер? → Запущен ли EXE/DLL в виртуалке? → Подготовка виртуалки с неизвестной архитектурой → Дамп настоящего EXE/DLL в память → Замена оригинальных инструкций исполнения на аналогичные (но другие) → Удаления настоящего EXE/DLL из памяти → Запихивание измененных инструкций исполнения в созданную виртуалку → Запуск виртуалки, которая выполняет то же самое, что и настоящий EXE/DLL.

На что я очень надеюсь, пытаясь раскрыть этот DLL:
Что тот кто пользовался VMProtect'ом был инвалидом и пропустил использование защиты "Запущен ли EXE/DLL в виртуалке?" - если так, то мне будет достаточно вкачать свой скилл в Троечку, ибо тут просто нужно будет время и настырность доползти до пункта "Дамп настоящего EXE/DLL в память" - а там уже дело за малым. Если же сей пункт присутствует, то как я сказал, мне потребуется вкачать скилл в Четверку, а то и в Пятерку.
 

Это UPX ,просто скорее всего скрамблерный. просто PEID криво определяет сигнатуру

Был бы это UPX под скрамблером или его аналог, сие счастье раскрывалось бы за час мной через ОлиДебаг. Прежде чем говорить, засунь простой запакованный UPX'ом экзешник в Олли, а потом этот DLL. И сравни, насколько "одинаково" они себя ведут.

Сообщение отредактировал WarStalkeR: 05 August 2014 - 9:53

[Lehadyd]

Итак, немного инсайда из Империи Зла.
За время, прошедшее с момента публикации ко мне постучалось 2 мембера из альянса Даркспаун.
Ребята, мягко говоря недовольны "путем минорчика", на который встал их альянс.
 

Есть инфа от спектра, что плагин должен блокировать возможность записи из ТСа.
Так же наши технари постоянно опрашивают на тему ОС и у кого ругаются или не ругаются антивири. На ХР совсем недавно, плагин не ставился совсем(тру-айтишники  коннектятся даже по тимвиверу,чтобы поставить плагин, если у пилотов что-то не получается).

 
Ну и немножко сладенького Вам на десерт - Обсуждение данной темы Спектром, Сумеречным гением, создавшим плагин. На фоне прочие грунты из ДСП.
 
https://soundcloud.c...arkspawn-inside
 
За смешками и бравадой снисходительности явно кроется вибрирующая струнка напряженности, чему сведетульствуют многозначителные "потом поговорим", "ну ты понел" "в личке обсудим"

 

P.S.: мембер али, передавший мне эту запись, с интересом готов понаблюдать, как этот мистический плагин поможет вычислить человека, сделавшего запись.

Сообщение отредактировал Lehadyd: 05 August 2014 - 10:03

[sgetout]

https://soundcloud.c...arkspawn-inside

 

Это хорошо, когда пятница начинается во вторник, но не у всех же на работе есть возможность послушать! Хотя бы коротенько, буквально парой предложений можно же обозначить содержание аудио.

[makstomaks]

парой предложений

 

"без плагина на собрания и вылеты не пущу"

я думаю это квинтесенция шпионостраха дсп, навеяного после шпионов в чк, сотни "уведенных" айдентити и прочих радостей.

Сообщение отредактировал makstomaks: 05 August 2014 - 10:01

[Doppelganger]

Запись очень фановая, плюсанчик тебе в карму Лехадид

 

Коротко:

-Плагин зашифрован очень мудро, количество затраченного времени не разумно, ради такой вещи.

-Плагин регистрирует каждую запись тса, не блокирует и ничего больше не делает (ага)

-Плагин сделан для друзей, и ничего плохого не делает, это святая правда! 

-Те у кого мак, могут перекатываться куда-угодно, ставить тс на рядом стоящий ноутбук с виндой, не играть, не летать, и не бывать на собраниях, потому что плагин на Мак запилить не могут. 

 

Было еще что-то, но я кое-чего не понял 

Сообщение отредактировал Doppelganger: 05 August 2014 - 10:06

[Ashu]

 
Был бы это UPX под скрамблером или его аналог, сие счастье раскрывалось бы за час мной через ОлиДебаг. Прежде чем говорить, засунь простой запакованный UPX'ом экзешник в Олли, а потом этот DLL. И сравни, насколько "одинаково" они себя ведут.

Да да ,уже нарыл. смутили сначала названия секций

[hzkto]

Мне первое что в голову пришло - ремоут bitcoin фермы, может ребята решили пофармить на тойоту, таким интересным макаром А тут такая возможность...  Всем большим альянсам стоит брать на вооружение

[WarStalkeR]

Ну и немножко сладенького Вам на десерт - Обсуждение данной темы Спектром, Сумеречным гением, создавшим плагин. На фоне прочие грунты из ДСП.

Ммм... Какая вкуснятина!

...секретные ключи которыми идет шифрование потока...

...ведутся логи и раз в неделю специалист по безопасности их проверяет...

...плагин я пишу для вас, для друзей...

Эту защиту точно нужно сломать!

[makstomaks]

 Всем большим альянсам стоит брать на вооружение 

 

если надо шпионить - будут шпионить так что никакой плагин не поможет, берется отдельный ноут, отдельная учетка и отдельный тс - все как предлагалось в жабе для установки плагина работает как раз против него.

[WarStalkeR]

Да да ,уже нарыл. смутили сначала названия секций

Названия секций это утка, я специально выложил более раннюю версию плагина

Сообщение отредактировал WarStalkeR: 05 August 2014 - 10:14