а ещё там написано
"Исследование некоторого устройства или программы, а также документации на них с целью понять принцип его работы и, чаще всего, воспроизвести устройство, программу или иной объект с аналогичными функциями, но без копирования как такового."
Применяется в антивирусных лабораториях точно.

UFO just landed and posted this here

Inskin Aug 5 2010 at 16:58

Ещё иногда применяется, когда есть некий старый софт под старое железо, и когда железо сдыхает, и воспроизвести его нет возможности, а производитель софта тоже давно уже умер, и надо переточить старый софт под новое железо. По-моему, в промышленности такое бывает — станки с ЧПУ те же, которые лет 15 отработали, и будут работать ещё, только комп промышленный померший старый надо поменять, соответственно, и новый с переписанным софтом воткнуть.

MARDEN Aug 5 2010 at 14:29

Исследование программ.
Реверс-инженеринг активно используют в компаниях, которые выпускают антивирусы. Препарируют вирусы, чтобы понять их логику работы.
Также реверсингом занимаются для взломать программу, но это уже нелегально :)

UFO just landed and posted this here

ryadzori Aug 5 2010 at 14:21

я учту ваши пожелания.

MARDEN Aug 5 2010 at 14:33

Про ручной анпак современных протекторов очень мало толковых статей. Часто знания не выходят за пределы 0-day сцены. Но некоторые товарищи охотно делятся информацией с интересующимися — например, на форумах cracklab и exetools :)

ryadzori Aug 5 2010 at 15:21

Ок. Я постараюсь написать о ручной распаковке VMProtect, но мне нужно время на исследование, чтобы написать хороший туториал, иначе не имеет смысла.

drVano Aug 5 2010 at 15:32

Вы действительно думаете, что написав пару статей о крякмиксах, уже способны на полноценный тутор по одному из самых сложных протекторов???

MARDEN Aug 5 2010 at 16:59

Самая сложная часть — это реверсинг виртуальной машины протектора, точнее, её команд.
Имея должную квалификацию и усидчивость можно написать интерпретатор этих команд, дальше — дело техники.

drVano Aug 5 2010 at 17:19

Никто не спорит что это нельзя написать, вопрос только в том — а хватит ли практики топикстартеру, что после 2-х крякмиксов сразу засесть за VMProtect? После 2-х топиков с крякмиксами ИМХО надо переходить на UPX, ASProtect и уже после этого на Themida/VMProtect. Хотя если хочецца сразу — никто отговаривать не станет :))

MARDEN Aug 5 2010 at 14:26

ставить бряк на все вызовы функции GetDlgItemTextA

Обычно еще ставят бряки и на GetDlgItemTextW (юникод-аналоги)
Кстати, это актуально только для программ, написанных на С++. В дельфи такими бряками ввод текста в поле уже не перехватить.

UFO just landed and posted this here

MARDEN Aug 5 2010 at 17:02

Нет, для дельфийских контролов там свои функции.
Попробуйте подебажить, поймете.

UFO just landed and posted this here

MARDEN Aug 5 2010 at 17:05

Опять же, в С++ прогах большая вероятность словить сообщение, поставив бряк на API ф-цию MessageBox. В дельфи вы его так никогда не поймаете :)

infi Aug 5 2010 at 17:16

Дельфы нужно закидывать в декомпиль и сразу станет ясно где бряки ставить.

ValdikSS Aug 6 2010 at 11:52

В DeDe, всегда им пользовался

LoveSan Aug 6 2010 at 00:39

Зато в дельфи можно поймать ShowWindow))) и от него плясать)

aceventura Aug 5 2010 at 15:33

Недавно вы мне писали:

Так вот хотел спросить. Вас, видимо, как талантливого автора уговорили не удалять аккаунт, а остаться?

-1

UFO just landed and posted this here

ryadzori Aug 5 2010 at 16:02

Нет. Я это делаю лишь исходя из собственного интереса.

-2

ryadzori Aug 5 2010 at 16:04

Я таки письмо написал к администрации.До сих пор не деактивировали.

-1

Lobey Aug 5 2010 at 19:08

Вы грязное бельё будете в каждый топик автора вываливать? Автор за две недели на хабре заработал больше плюсов, чем Вы за год, хватит гадить.

aceventura Aug 5 2010 at 22:50

Эта переписка не содержит личной информации, а только саморазоблачение автора. Привет я это здесь, потому что страна должна знать своих героев. Потому что мое обостренное чувство справедливости говорит, что нельзя спокойно, как ни в чем не бывало пользоваться плодами обмана. А ваши советы оставьте при себе.

-2

Lobey Aug 5 2010 at 23:07

Это нытьё — исключительно Ваша _личная_ обида. А разоблачение — да, это именно то, чего и не хватало в топике с крякмисами, спасибо большое. Советов больше не будет, уже понятно, что гадить Вы продолжите и дальше.

-1

aceventura Aug 5 2010 at 23:15

У вас, как у хабраюзера есть возможность плюсовать то, что нравится и минусовать то, что не нравится. Мне нет дела до того, чего вам хватает, а чего нет. Не надо лезть ко мне с речами «а мне не нравится твой коммент». Не нравится — поставил минус в коммент, в карму и пошел дальше по свои делам.

-1

askarmuk Aug 5 2010 at 23:39

Что было на картинке «прямиком из пэйта»?

aceventura Aug 6 2010 at 00:05

Изображение профиля на сайте, где регистрация только по инвайтам. И там как бы показано, что у юзера есть инвайт.

-1

infi Aug 5 2010 at 17:14

Если кто следит за сценой, не так давно один наш реверсер и группа TRiViUM закейгейнело кучу игр (все которые были) с онлайн активацией StarForce 5.70, вот это было бы круто почитать… тривиум еще до этого анпакали (скорее кильнули антидамп, чем декомпилили ВМ) SF, а потом бац… и кейгейны. Так что на данный момент StarForce чуть более чем полностью раздербанен.

-1

Fly3110 Aug 6 2010 at 02:44

А как быть с crackme (единственнй, который я в DOSовсское время не смог сломать), который полученным паролем xor'ит свой же следующий код в памяти и выполняет его?

cdbrk Aug 6 2010 at 11:19

Анализировать, анализировать и предполагать, например как здесь crackmes.de/users/sharpe/unlockme_crackme_7_by_sharpe/
Crackme решаем, странно только что никто не запостил решение.

Show the best of all time