Антидамп

И что? Я и так знаю, что там будет происходить. Дебажить стартовый код фреймворка нет совершенно никакой необходимости. Нужно знать лишь, когда апп начнет проверять, продолжать ли ей работать на данном конкретном компе.

Чтобы было что в иду пихать для чтения на ночь, очевидно же.

 

rmn,

Ну значит ты в реверсе вообще не шаришь. Нужно выйти на событие декрипта когда начнёт исполняться приложение, это делается в динамике инструментами, в самом простом случае отладчиком. Поэтому задача поиска EP ключевая, без этого реверс невозможен.

> Чтобы было что в иду пихать

Врядле какой то дамп можно задвинуть в иду, хотя я не знаю никогда такое не делал. Она врядле может такое обработать, может на upx пример покажешь ?

Вопрос был про скрытие в памяти. Что же ты сдампишь, если памяти физически нет, если реализован анклав ?

У тебя есть адрес кодовой секции, а в памяти блок NA, её нет она не выделена.

Не нужно мешать всё в одно обсуждение, защиту и её обход. И так вот товарищи не понимают, а если всё перемешать то это получится не иначе чем какой то бред.

 

Ну, реальный коммерческий софт сейчас ломается немного иначе, чем дамп на оеп и фикс импреком, лол. Держу в курсе.

Можно-можно, не сомневайся.

Ты вообще представляешь, как устроен современный софт? Там тысячи промежуточных объектов классов создаются и уничтожаются при простом движении мышью по окну. Во время работы идет бессмысленный и беспощадный непрерывный дроч памяти. Если ты на каждое обращение к памяти будешь фолт генерить, чтобы в обработчик своего пресловутого анклава управление передать, то дальше сплешскрина ты в таком апп ничего не увидишь даже на 32-х ядерных процах. Именно поэтому твоих чудо-техник нет ни в одном реальном проте, которыми протектят реальный софт.

 

rmn,

> Если ты на каждое обращение к памяти будешь фолт генерить

А причём тут фаулты, дружок может с материалом ознакомся. Трансляция обеспечивается без фаултов и механизм кэширования работает куда быстрее чем само приложение. Даже AVL это унылое говно, ссылку я выше приводил.

> Ты вообще представляешь, как устроен современный софт?

Я знаю, а вот ты нет. Потому что ничего не реверсил не знаешь архитектуру. От тебя ни тут ни на кл небыло технических постов.

 

Слушай, он - авер, он только оеп малвари ищет, больше ничего, поэтому он не шарит.

 

Rel,

Я выше спросил - покажите как дамп upx залить в иду. В двоём сделайте это, мне интересно можите ли вы что то кроме спама.

 

Ого, ну довай свой мотор, посмотрим, что там к чему...

Не похоже. Иначе бы знал, что сейчас единственный реальный способ защитить свой кодес - это убрать его вообще с юзерского компа. Не в анклав засунуть, не в буфер сморфить - это все как прятать ключ от входной двери под ковриком. Только вынос кода на внешний сервер или железный девайс, остальное отламывается на изи.

 

Реальный софт пакером или криптором не накрывают, но откуда тебе знать, ты же авер, ты только малварь на своих визорах гоняешь, оеп ищешь и тд.

 

Я спросил раньше доки к твоему антидамперу и что?

 

Ули там заливать. Берешь и открываешь дамп в иде, если он самой виндой сдамплен. Или можешь из него пе склеить в любом хекс-редакторе из секций. Работоспособность дампа не нужна, главное, чтобы ида могла распарсить заголовки и смапить секции.

--- Сообщение объединено, 2 янв 2021 ---

Барыга, лол.

 

Ну так и есть, он свою вэиксерскую душу вирусблокаде продал и теперь малварь для них анализирует и визор разработал. Ты думаешь, почему он до сих пор по вэиксерской традиции его не зарелизил? Это проприетарный аверский инструмент вирусблокады.

 

rmn,

Зачем ты расскаживаешь, покажи на примере, раз за всё время хоть сделай простое.

> Барыга, лол.

А ты к приватам хотел доступ просто на слабо, либо так либо никак.

 

Сорре, у меня нет софта, накрытого upx-ом и я уже забыл, когда последний раз его видел. Из реального есть софт из ехе и двух десятков длл по ~50-100 метров, каждый слинкован со своей обфусцированной копией статик либы хаспа, над которой написан класс-хелпер, над которым еще один класс-хелпер, над которым еще один класс-хелпер, который используется классом-менеджером лицензий, который часть работы по проверке лицензий с помощью REST передает на сервер и по полученному ответу определяет, какие модули апп активировать. Сами модули реализованы в виде COM-классов, всего их тысячи джве, и их гуиды в секциях покриптованы донглом. Но там дампить ничего не нужно и даже необходимости отслеживать вызовы системных сервисов нет (даже не припомню, видел ли я старые добрые вызовы обычных винапи при разборе этого говна).

 

rmn,

> у меня нет софта

Так это не ответ. На мобилке у меня тоже дампить нечего, там всё вирта крутит. На net реализован лишь малый процент софта. Зачем ты для примера выбрал то, где используется трансляция, сборка в памяти. Хитрый думаешь, всё же я хотел бы посмотреть дамп блокнота в иде. Самый простой софт.

 

Ну посмотри, кто не дает?
1. Запускаешь блокнот.
2. Штатным диспетчером задач создаешь дамп.
3. Открываешь .dmp в иде.
4. ???
5. PROFIT!!11

 

спрашивал является ли продукт темиды подобием криптора? щас гляну дамп

 

В штатном диспетчере задач windows xp такой функции нет и он скорей всего не понимает что это. Для XP нужно скачивать консольную утилиту под такие нужды:
https://docs.microsoft.com/ru-ru/sysinternals/downloads/procdump

 

Так а толк какой от дампа, в произвольный момент времени это одна из итераций приложения, если его остановить и выгрузить память, то что дальше с этим делать ?

То что отработано в дампах нет, текущее состояние кодовых секций - мало интересно. Это не имеет смысла, это не нужно.

--- Сообщение объединено, 2 янв 2021 ---

rmn,

У тебя было время что бы ответить, но примера со вчера так и нет.

 

У тебя было минимум пол года, чтобы сделать документацию по своему горе-антидампу, но документации так и нет. А почему? Не было мотивации? Так и тут ни у кого нет мотивации для тебя что-то делать.

 

Изучать его архитектуру, структуры данных и алгоритмы, модули и их взаимосвязи. Это называется реверсинг, если чо
Хз, что там у тебя за "итерации приложения", если подразумевается какой-то морфинг кода, то ни в одном реальном софте такого и близко нет уже лет 30.