Pentru baietii de la Chip (si nu numai)

**mike** · 04-04-2000, 01:12

Nu comentez ce si cum despre revista,insa cd-ul lor este mult mai interesant.De-a lungul timpului ne-a produs multe surprize (stiute sau nu):

01/98:stiti voi

11/98 : poze porno,filme porno si vre 2 mp3-uri (ilegale,of course)

04/2k:interfata "protejata" impotriva decompilarii si anti soft-ice.

Asta e chiar buna.Un programel simplu si complet neinteresant e protejat de n-ai aer.Nu inteleg logica;nici nu as fi remarcat vreodata (nu folosesc interfata) daca redactorul Codrin Hossu nu ar fi raspuns unui cititor ca chip.exe e protejat.

O sa sar peste amanuntele tehnice,dar asa ca fapt divers,o sectiune din header se numeste "ficken" (stie cineva germana pe aici

)

Oricum,protectia e respectabila,dar singura problema cu adevarat mai dificila e tabela de importuri (adica refacerea ei).Am un dump de 2.6 M,mai am de lucrat la header.Banuiesc ca se poate si decripta,dar mi-a fost lene.

[This message has been edited by mike (edited 04 April 2000).]

Razvan Anghelidi · 04-04-2000, 17:41

Protectia e pusa ca sa nu ne fure codul concurenta

Si Hosu se scrie cu un singur "s".

[This message has been edited by Razvan Anghelidi (edited 04 April 2000).]

MonteS · 04-04-2000, 17:46

LOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOL
well well.. Notepad... CTRL+F - ficken... ups.. amanuntele tehnice

cand reusesti sa spargi ce e acolo let me know :P
btw: cum ai trecut de anti-debug? LOL
dar de hook?
de-compresie?
hihihi
il stiu pe autoru respectivului exe si daca pot spune ceva despre el e ca este un expert in protectia programelor...
====================
go go baby

Razvan Anghelidi · 04-04-2000, 22:14

Premiu pentru cine sparge primul protectia: un abonament la CHIP pe 6 luni. Keep going...

**mike** · 05-04-2000, 00:42

Cum am mai spus,codul il am (daca vrei iti trimit dead-listingul).Am reusit sa dumpez procesul,si dupa cum arata stringurile,nu e criptat.Good.
Nu mai am decit sa decriptez tabela de importuri,care *banuiesc* ca e in "ficken" (nu m-am mai uitat de aseara,sincer).Bineinteles,nu o sa o fac manual (mai am si altceva de facut in viata

);ideea e ca interfata trebuie sa decripteze tabela de importuri,din moment ce programul ruleaza

>Cum ai trecut de anti-debug ?
Autorul a folosit o metoda extrem de veche si binecunoscuta de a detecta softice
>Cum ai trecut de hook ?
Daaa,un hook pe int03 e o idee foarte originala,de care nu a auzit nimeni

(de fapt mi-a explicat cineva)

>de-compresie ?
Programul ruleaza in memorie,nu ?

>Cum ai refacut header-ul ?
Nu inca.

>il stiu pe autoru respectivului exe si daca pot spune ceva despre el e ca este un expert in protectia programelor...

Tot ce se poate.Se vede ca e si expert in delphi

.Insa oricate protectii ar pune,tot se va gasi cineva care sa treaca de ele.In plus,exista si alte debugggere in afara de sice.

>Premiu pentru cine sparge primul protectia: un abonament la CHIP pe 6 luni. Keep going

Nice try.

mdan · 05-04-2000, 15:03

daca nu ma insel, in distributia linux (parca
slackware) din unul din numerele aberatiei numite chip sunt ceva filemulete PORNO !!!
deci, cerintele de porno on cd se pare ca sunt satisfacute ...

buy CHIP

Razvan Anghelidi · 06-04-2000, 17:09

Da, draga mdan, asa e. Dar daca ai ceva de spus, vino cu mai multe amanunte. Vad ca mike e mult mai bine informat, da si numarul revistei. Citeste mesajele de pe topic inainte de a te mai obosi sa scrii ceva.

Razvan Anghelidi · 06-04-2000, 17:15

Mike, daca imi trimiti codul interfetei (in ASM) ai abonamentul. Nu glumesc.

**mike** · 07-04-2000, 00:19

Pentru Razvan Anghelidi:

Da,am codul interfetei in asm (adica exe-ul decriptat).Insa e foarte simplu sa-l obtii : de exemplu,in intr-un numar din chip (01/2000) a aparut un program care se numeste "memory editor",pe care l-am folosit ca sa dumpez procesul.Nu e nimic deosebit de greu.

Protectia in schimb e foarte buna.M-am jucat azi cu ea vreo 20 de minute si am pierdut prima runda

.Ce am gasit :

1 : protectie la antidebugging : clasica;incerca sa incarce sice/ntice + 2 hook-uri pe int03.So far,so good.Insa acu' vine partea cea mai interesanta : 40 + hook-uri pe dr7,dr0,dr1,dr2,dr3.Citez:

"
=> Chip
** Debug Regs Access ** code 0A, at 0028:C026BE56
Opcodes : 0xOf21C0 (mov eax, dr0)"

Nu ma asteptam la asa ceva de la un program care ruleaza in ring3.Intr-un fel sau altul programul trebuie sa intre in ring0,si o face printr-un gpf (desteapta chestie).Nu ma intereseaza hook-urile pe dr1-3,dar hook-ul pe dr7 nu permite setarea de bp-uri.

Asta e protectia antidebugging.Alta chestie interesanta e tabela de importuri.E criptata,dar problema nu e aici.Numele dll-urilor importate (kernel32,gdi32,user32,comctl32,oleaut32,ole32,advapi32),sunt si ele criptate.

Cam atit am de zis la ora asta tirzie.Urmatorul post aici va fi solutia.

Razvan Anghelidi · 08-04-2000, 15:22

OK mike, cand termini da-mi de stire, eventual prin e-mail. Nu e nici o graba, oferta ramane valabila.

Traker · 10-04-2000, 12:09

Vrem si noi solutia,nu ca ne-am pricepe la programare,dar.....macar asa de cultura generala cum spun profesorii

BTW:care e faza cu CHIP Special?
-hartie de calitate nasoala
-alb negru(desi coperta indica ceva calumea)
-articole care se repete intr-un fel din chip-uri mai vechi
-putine pagini
-pret mare(xtrem de mare)

-cd neinteresant(pentru mine,that is)

?

[This message has been edited by Traker (edited 10 April 2000).]

Advertisment