تفاوت كد شما با اين كد در چيست
procedure FOLL();
begin
asm
mov eax, fs:[$30]
mov eax, [eax+$C]
mov eax, [eax+$C]
add dword ptr [eax+$20], $2000
end;
end;
Printable View
تفاوت كد شما با اين كد در چيست
procedure FOLL();
begin
asm
mov eax, fs:[$30]
mov eax, [eax+$C]
mov eax, [eax+$C]
add dword ptr [eax+$20], $2000
end;
end;
دوست عزیز منکه گفتم.یه ذره دقت کنید میفهمید.
در ضمن میتونید امتحان کنید.و امنیتش رو بررسی کنید.
مي دونم شما گفتيد ولي در عمل اين دو كد با هم فرقي ندارندنقل قول:
دوست عزیز منکه گفتم.یه ذره دقت کنید میفهمید.
در ضمن میتونید امتحان کنید.و امنیتش رو بررسی کنید.
تو این کرک می از هیچ کریپتوری استفاده نکردم
دوستان تغيير Image Base ديگه هيچ فايده اي نداره ....نقل قول:
نوشته شده توسط ali ahwaz top
برنامه ي شما به راحتي در Olly بارگذاري ميشه ... ( از اولش هم بهتر :قهقهه: )
تصوير زير رو هم نگاه كنيد بدك نيست ... !
نقل قول:
نوشته شده توسط bardia_dst
من که ترفند خاصی ندیدم...
DebugBreak که اصلا" مشکلی ایجاد نمیکنه. برای اینکه برنامه خودش رو دوباره اجرا نکنه هم کافیه رو CreateProcess بریک پوینت بذارید و ببینید که برای عدم اجرای فایل توسط خودش باید مسیر همین فایل رو بعنوان پارامتر ارسال کرد.
دوستان عزیز:
کدی رو که داده بودم فقط از Attach کردن ollydbg و دیگر برنامه ها جلوگیری میکنه.
بدین معنا که اگه شما این کد رو در FormCreate برنامه قرار دادید و برنامه در حال اجرا رو بخواهید
با Ollydbg از منوی File و Attach بهش یورش ببرید با خطا مواجه میشید.
امتحانش مجانی میباشد.
اين روش در كنار يك پروتكشن قدرتمند جالب خواهد بود ولي بعد از انپك راحت ميشه اين تيكه كد رو پيدا كرد و اون رو از بين برد ... در كل براي پيچوندن كركرهاي تازه كار روش مناسبي خواهد بود .نقل قول:
نوشته شده توسط ali ahwaz top
خداحافظ کرک:
یه سری به این سایت بزنید.
http://www.antidebuglib.com
آقا Mehran :
من یک پروتکتور تووووووووووووپ دارم که اصلا" Unpack نمیشه و تا بحال هیچ جایی واسش
Unpacker پیدا نکردم.
این فایل یک نمونه از اونه که باهاش پروتکت شده.
اگه میتونید اونو چک کنید.
اين چرا همه چيش چيني ژاپني هست ؟؟
من كه اصلا نفهميدم موضوع از چه قراره !!! ( اگه پروتكشن خوبي باشه بدم نمياد منم ازش استفاده كنم )
اقا اين خيلي به vprotector 1.3 شباهت داره !!؟ درسته ؟
با تشکرنقل قول:
نوشته شده توسط ali ahwaz top
ممنون سورس خوبی بود ،
همون فایل شما با این تفاوت که از منوی فایل و اتچ هم ناپدید میشه :شیطان:
فقط نمیدونم روی کامپیوتر من اینطوریه (یه چیزائی نصبه که بعضی وقتا یه چیزائی میگم و بعدش آبروم میره :) )، یا نه ، اگه ممکنه شما هم تست کنید :)
بله دوست عزيز درست كار ميكنه ...
اگه مقدوره سورس رو هم براي استفاده ي عموم قرار بدين ...
Vprotect پروتکتور قوی هست ولی ..................!نقل قول:
نوشته شده توسط ali ahwaz top
سلام و خسته نباشید خدمت جوکر جان
اگر امکان دارد کد را جهت استفاده عموم قرار دهید
جوكر جان من برنامه شما را يك مقداري رديابي كردم شما همان كدهاي دوستمان ahwaz را نوشته ايد ولي يك خط اضافه كرده ايد به صورت پايين درست حدث زدم يا نه:
procedure Anti_Dump();
begin
asm
mov eax, fs:[$30]
mov eax, [eax+$C]
mov eax, [eax+$C]
mov dword ptr [eax+$20], $FFFFFFFF // image size
mov dword ptr [eax+$1C], $FFFFFFFF // Entry Point
mov dword ptr [eax+$18], $FFFFFFFF // image Base
mov dword ptr [eax+$0A], $FFFFFFFF // ????
end;
end;
همچنين اين خط در آدرس 44D97A قرار دارد Nop ===> BOMBنقل قول:
mov dword ptr [eax+$0A], $FFFFFFFF // ????
دوست عزیز ; Joker :
با اضافه کردن این خط کد به سورس من برنامه روی Vista دچار اشکال میشه و مدام سیستم
پیغام خطا مبنی بر اینکه ntdll نمیتونه یه آدرسی رو بخونی میده.
دوست عزیز ; Bardia_dst :
فایلی که گذاشتید کار نمیکنه لطفا" بررسیش کنید.
در ضمن این پروتکتور اسمش VprotectCompile 1.3 هستش و فایلی رو که من گذاشته بودم
با Shell استندارد خودش پک شده بود.
حالا یه سئوال با چی آنپک میشه؟
اون کدی که داده بودم یک خطش رو از یه سایت گرفته بودم البته 5 سال پیش و
دوخطی رو که بهش اضافه کردم خودم با دیباگر OllyDBG پیدا کردم البته هنوزهم به دنبال کدهای دیگه هم هستم.
به یاری خدا چند روز دیگه چند خط کد ضد Trace واسطون میزارم.
راستی دوستان نظرتون درباره DCU Protector چیه؟
من تا به حال باهش كار نكردم .نقل قول:
راستی دوستان نظرتون درباره DCU Protector چیه؟
يك ايده براي بچه هاي مشتاق در ضمينه ي امنيت دارم ... از جايي كه يك مدت هست اين بحث داغ شده فكر ميكنم دوستان از اين ايده بدشون نياد ...
اگر بچه ها مايل باشن با دانسته هاي خودمون يك پروتكشن كوچولو بنويسيم به صورت گروهي ... دليل اينكه ميگم به صورت گروهي باشه اينه كه بدون شك اگه همه ي اطلاعاتمون رو بزاريم روي هم ميتونيم يه چيز جم و جور با هم بنويسيم ... ( لطفا افرادي كه حاظر هستند همكاري كنند اعلام كنن )
شرايط همكاري :
1: اشنايي با اسمبلي .
2: اشنايي سطحي با كركينگ
3: اشنايي با مباحث امنيتي .
در ضمن : اعلام كنيد كه با چه زباني بنويسيمش . نوع زبان بر اساس بيشترين راي توسط همكاران انتخاب ميشه ..
من قبلا" یک Cryptor کوچولو درست کرده بودم که بد نبود اگه خواستید واستون میزارم.
البته سورسش با دلفی نوشته شده.
اين طور كه معلومه شما هم در ضمينه ي امنيت تجربه ي لازم رو داريد .نقل قول:
نوشته شده توسط ali ahwaz top
خوشحال ميشم در اين پرژه شركت كنيد . ( سورس رو هم اگر مايل هستين بزاريد )
بله حتما" این کارو میکنم.
به یاری خدا فردا اینو واستون میزارم.:قلب:
با سلام ...
تا اونجايي كه من تا حالا توي اين چند مدت ديدم بيشتر افرادي كه توي اين مباحث در اين سايت شركت كردن خدمت Delphi ارادت دارن .
من فكر ميكنم اگه قراره گروهي كار كنيم همين delphi گزينه ي مناسبي هست . اگر احيانا كسي مايل بود با VC++ نوشته بشه من مايلم با يك نفر ديگه هر بار كه روي پرژه كار ميكنيم كدها رو از Delphi به C++ ترجمه كنم . در اين صورت در پايان كار يك پروتكشن در اختيار داريم به دو زبان مختلف كه جفتشون از قدرت بالايي برخوردار هستن . :لبخندساده:
اگر تعداد همكاراني كه شرايط لازم رو دارن به 3 الي 4 نفر رسيد كار رو از 24 خرداد ( بعد از امتحانات ترم ) شروع ميكنيم .
يك تاپيك جدا براي اين پرژه ايجاد خواهد شد ... از مديران ميخوام كه همكاري لازم رو با دوستان بكنن :چشمک:
من کماکان منتظر نتیجه گیری و توضیح در مورد این تاپیک هستم!نقل قول:
يك تاپيك جدا براي اين پرژه ايجاد خواهد شد ... از مديران ميخوام كه همكاري لازم رو با دوستان بكنن
در صورتی که این تاپیک به نتیجه نرسد ،تاپیک های مشابه قفل یا حذف خواهند شد
لطفا بر اساس تاپیک "Crack Me" عمل کنید، بدیهی است که در تاپیک های مفید مدیران همکاری لازم را با شما خواهند داشت
با تشکر
واقعا بهتون حق ميدم .نقل قول:
نوشته شده توسط whitehat
هدف اين تاپيك در واقع Crack ME بوده ولي تقريبا منحرف شده ...
لطفا تا بعد از نتييجه ي راي گيري در مورد پرژه ي ذكر شده صبر كنيد و بعد تاپيك رو قفل كنيد .
علت اينكه ميگم قفل كنيد اين است كه شايد افرادي بعد ها خواستن مطالبش رو مطالعه كنن و شايد براشون مفيد واقع شد .
يا حق ...
بله همون یک خطی که دنیای دلفی گفت فقط اضافه کردم ، که اثر جالبی روی این دیباگر داشت !!!نقل قول:
نوشته شده توسط ali ahwaz top
ظاهرا پروسه را از نوع سیستمی تشخیص میده و دیگه توی لیستش نمیاره
درهرحال له نظرم جالب اومد :چشمک:
اما اینکه چرا روی ویستا مشکل داره ، نی دو نم ،ویستا تاحالا نصب نکردم ببینم،
میشه پیغامشو کامل اینجا بزارید ؟
خير...دليلش اينه كه با اين كار شما PEB* رو به هم ميريزين و توابعي كه از اون براي گرفتن اطلاعات در مورد پروسه ها استفاده ميكنن به اشتباه ميفتن و مقادير اشتباه برميگردونن. اين كار بيشتر روي توابع كتابخانه PSAPI اثر ميذاره و برنامه هايي كه از اين كتابخانه استفاده ميكنن نيز طبعا دچار مشكل ميشن. نمونش ديباگر ollydbg هست كه چون براي بدست آوردن ليست پروسه هاي در حال اجرا از تابع EnumeProcess از كتابخانه PSAPI استفاده ميكنه به مشكل بر ميخوره. در حالي كه اگر نگاهي به ليست پروسه ها در TaskManager خود ويندوز بندازين نام پروسه رو خواهيد ديد به اين دليل كه اين برنامه از توابع Kernel براي ليست گرفتن استفاده ميكنه.نقل قول:
نوشته شده توسط joker
اين روش جالب و كارآمد هست ولي در ويندوز 98 و ويستا به مشكل بر ميخوره البته جلوي اجراي برنامه رو نميگيره ولي سيستم عامل مرتب پيغام ميده كه نميتونه مكاني از حافظه رو بخونه كه در اينجا FFFFFFFF هست.
PEB : Process Environment Block
در زمينه امنيت من هم پايه هستم . به يك سري كدهاي خفن ( انحرافي ) رسيدم كه به موقعه در تاپيك آموزشي خودم اعلام مي كنم .
فايلي كه Bardia_dst آنپك كرده تقريبا درست آنپك شده البته ايمپورت تيبل چند مشكل جزيي داره و همينطور OEP اصلي بازسازي نشده به هر حال در صورت درست كردن IAT به خوبي كار ميكنه.نقل قول:
نوشته شده توسط ali ahwaz top
فايل رو چك كردم به نظر مياد كه از پروتكشن كامل استفاده نكرده. به صورت دستي قابل آنپك هست و درجه سختي هم آسان انتخاب ميكنم. من به اين پروتكتور علاقه دارم بخاطر روالهاي آنتي ديباگ حرفه ايش و سرعت بالاش و درجه سختي اون هم در حالت پروتكشن كامل متوسط هست.
Fh_prg سلام
شما به SVKP 1.44 چه نمره اي مي دهيد
یه سوال از دوستان دارم شاید زیاد به موضوع شما ربط نداشته باشه شما پروتکت کردن رو در مرحله کد نویسی انجام دادید حال فرض کنید در asp.net بعد از ترجمه کدها به dll تبدیل میشن و در مرحله کد نوسیی دستمون در asp.net باز نیست حال با فایلهای dll میشه چطور پروتکت کرد (البته نرم افزار هایی هم برای این کار وجود داره اما عمومی بودنشون شاید باعث شده ضدشون راحت تولید بشه آیا میشه کاری کرد؟!)
به نظر من SVKP در حد متوسط هستنقل قول:
نوشته شده توسط دنیای دلفی
نقل قول:
نوشته شده توسط دنیای دلفی
صفر! البته اگه از SDK و كد فعال سازي خودش استفاده كني امنيتش تا وقتي كه كركر كد فعال سازي معتبر نداشته باشه خوبه (كه البته اين موضوع در مورد همه پروتكشنها چه قوي چه ضعيف صدق ميكنه) ولي با داشتن كد، باز هم صفر...
ممنون از راهنمايي
Fh_prg جان مي شه بگيد (نظر شخصي خودتون) بهترين protector تجاري كه شما مي شناسيد چه نام دارد
طي سالهايي كه از جنگ بين كركرها و سازندگان پروتكشنها گذشته تنها پروتكشنهايي كه از روش سردرگمي و خسته كردن كركرها استفاده كردن تونستن تا حدي موفق باشند. اين به اين معني است كه تمام پروتكشنهايي كه اساس كار اونها و قدرتشون به روالهاي آنتي ديباگ هر چند قوي وابسته است محكوم به نابودي هستند. طي چند سال اخير روش جديد و پيچيده اي رونق پيدا كرده كه البته به دليل پيچيدگي زياد كمتر كساني موفق به پياده سازي بدون نقص آن شده اند و آن تكنولوژي ماشين مجازي Virtual Machine يا VM ميباشد. اولين پروتكشني كه از اين تكنيك استفاده كرد همان ASProtect با سابقه و قديمي بود و بعد از آن پروتكشنهاي ديگري به آن مجهز شدن. اساس كار VM همونطور كه از اسمش پيداست شبيه سازي يك ماشين يا يك پردازنده يا پروسسور در پروتكشن ميباشد كه آپكدهاي مخصوص به خود را دارد و وظيفه آن اين است كه آپكد هاي پيچيده و رمز گذاري شده را دريافت كرده و بعد از تجزيه و تحليل و رمزگشايي آنها را به كد اصلي ماشين تبديل كرده و اجرا ميكند. حالا اين پيچيدگي بسته به نويسنده پروتكشن ميتواند ساده تا بسيار پيچيده باشد. وجود VM باعث ميشه كه كركر بعد از توفيق در آنپك كردن فايل با يك مشت كد درهم و بي معني روبرو بشه كه ترجمه و اجراي اونها توسط ماشين مجازي امكانپذير است. به عنوان مثال طرز كار اين ماشين مجازي در پروتكشن ASProtect توسط كركرهاي زيادي بررسي شده و اكنون به راحتي قابل حذف شدن ميباشد ولي زمان زيادي براي حذف كردن آن نياز است كه در بيشتر مواقع باعث خسته شدن كركر ميشود. بهترين پروتكشنهايي كه از اين تكنولوژي استفاده ميكنند و من امتياز متوسط بهشون ميدم :نقل قول:
نوشته شده توسط دنیای دلفی
Themida
ASProtect
ExeCryptor
از ميان ديگر پروتكشنهاي تجاري :
Armadillo
Obsidium
هم گرچه از تكنيك فوق به طور كامل استفاده نميكنن ولي امتياز متوسط ميگيرن.
در ميان پروتكشنهاي مجاني و غير تجاري كه اكثرا توسط خود كركرها توليد ميشه هم موارد خوبي پيدا ميشه از جمله :
VProtector
PeSpin البته ورژن آخرش كه قابليت Debug Blocker داره.
lARP كه آخرين نسخش تا اين لحظه 2.0 ultra هست كه توسط يك كركر زن ! نوشته شده و داراي روالهاي آنتي ديباگ فوق العاده قوي هست و من امتياز بالاتر از متوسط يا خوب رو بهش ميدم البته اين پروتكشن به صورت عمومي عرضه نشده و فعلا توسط افراد خاص كه بيشتر از دوستان اين فرد هستند استفاده ميشه و مطمئنا در صورت عمومي شدن اين پروتكشن هم محكوم به نابودي خواهد بود.
بنده با استفاده از روشهاي خاص و غير معمول موفق به حذف كردنش شدم ولي اين پروتكشن هم از تكنيك گيج كردن و خسته كردن كركر استفاده كرده...
اگه دنبال امتياز خيلي خوب يا عالي هستين بايد بگم فعلا همچين چيزي وجود نداره !
براي همه پروتكشنهاي موجود روش حذف كردن يا دور زدن وجود داره پس دلتون رو به تبليغاتشون خوش نكنين گرچه يك برنامه نويس حرفه اي مسلما ميدونه كه اگه نرم افزارش بتونه چرخه حيات خودش رو طي كنه معمولا حدود 6 ماه و در اين مدت كرك نشه برنده بازي خواهد بود پس به طولاني كردن اين مدت فكر كنين به هر طريقي كه ممكنه و نكته مهم ديگه اينه كه استفاده از اين پروتكشنها باعث كم شدن سرعت برنامه و ناسازگاريهاي مختلف ميشه كه كيفيت نرم افزارتون رو پايين مياره....
فراموش نكنين كليه پروتكشنها اگه به صورت اصولي و طبق راهنماي خودشون مورد استفاده قرار بگيرن ميتونن امنيت نسبتا خوبي ايجاد كنن با كمترين ايجاد اختلال در كار نرم افزار. خواندن راهنما و استفاده از SDK و حداكثر امكانات پروتكشنها رو فراموش نكنين هر چند استفاده از آنها راحت نباشد.
يك نمونه از Unpack كردن lARP-2.0-ULTRA
http://www.file-upload.net/download-...y-of-Unpackme-lARP-2.0-ULTRA.rar.html
دوستان سلام :
چند تا مطلب توووووووپ واسه Anti-Debug پیدا کردم که فکر میکنم بدردمون بخوره.
توی این فایله هستن اینو بگیرید و نظر بدید.:قلب:
قرار بود اون نمونه ي پكر رو هم كه نوشته بودين بزاريد :لبخند:
واسه اون دسته از دوستان که تا بحال به دنبال پیدا کردن نرم افزاری واسه
Trial کردن Component هاشون میگشتن.
این برنامه رو دانلود کنید.
خود برنامه + کرکش.
Mehran جان من اگه یه قولی میدم زیرش نمیزنم.
بیا بگیر:
خيلي اقايي علي جان ... واقعا ممنون .
جالب كد نويسي شده ... افرين :تشویق:
آقایون بهتر از فکر ساختن پروتکتور بیاییم بیرون.
این بحث رو من چند سال پیش پیگیر شدم دیدم که اصلا نوشتن پروتکتور یه کاری
بیخودیه.
کلا" دلفی یک ضعف بزرگ داره اونم اینکه با DEDE یا برنامه های Delphi Decompiler ها راحت
میشه اجزای Form رو تشخیص داد و حتی روالهاشون رو هم پیدا کرد.
من دارم روی یک کد امنیتی برای تخریب این قسمت کار میکنم تا دیگه با Decompile شدن
EXE ها نتونن کرکش کنن.
دوستان اگه کسی در این موضوع میتونه کمک کنه بسم الله...
سلامنقل قول:
کلا" دلفی یک ضعف بزرگ داره اونم اینکه با DEDE یا برنامه های Delphi Decompiler ها راحت
میشه اجزای Form رو تشخیص داد و حتی روالهاشون رو هم پیدا کرد.
من دارم روی یک کد امنیتی برای تخریب این قسمت کار میکنم تا دیگه با Decompile شدن
EXE ها نتونن کرکش کنن.
دوستان اگه کسی در این موضوع میتونه کمک کنه بسم الله...
اگر به صورت صحيح از اشيا و توليدشان استفاده كنيد امكان پيدا كردن روالها را از برنامه هاي DEDE مي گيريد به نمونه كدهايي كه در بخش آموزش حفاظت در مقابل DEDE گذاشتم يك نگاهي بندازيد .
اين نكته اي را كه گفتيد براي دلفي خوبه برنامه هاي .NET فورمهايشان نيز اگر درست برنامه نويسي نكنند نشان داده مي شه
تا بعد . . .
لینکش رو بزارید آقای دنیای دلفی.
يك نرم افزار ديدم به نام سامانه (مربوط به آموزشگاههاي رانندگي) اين نرم افزار وقتي با يك ديباگر مثل Olly باز مي شه قبل از اينكه به مرحله تريس برسه پيام عدم وجود قفل رو ميده و از برنامه خارج مي شه .
مگر نه مكان آغاز شروع برنامه EntryPoint است و ما از اين نقطه برنامه را شروع به تريس مي كنيم . اين برنامه يك مرحله قبل از EntryPoint كد نويسي قفلش را كرده يعني باعث مي شود كه ديباگرها ابتدا ضربه را ببينند سپس خواه يا ناخواه ديباگر عملا از كار مي افتد .نكته مهم اين است كه با هيچي هم پروتكت نشده است .
سوال : آيا مي شه قبل از EntryPoint برنامه نويسي كرد يا تو اين مايه ها