Russian Qt Forum
Ноябрь 23, 2024, 19:46 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
 
  Начало   Форум  WIKI (Вики)FAQ Помощь Поиск Войти Регистрация  

Страниц: 1 2 3 [4] 5   Вниз
  Печать  
Автор Тема: Обфускатор  (Прочитано 41230 раз)
cya-st
Гость
« Ответ #45 : Март 01, 2010, 11:58 »

Цитировать
+100
И антивирусы действительно ругаются - и эвристический анализ как раз сбиваться может т.к. фактически запускаемый файл модифицирует себя, или создает другой EXE который потом запускает и т.д. - короче похоже на алгоритм вируса!
Почему на TheBat не ругается?
Записан
cya-st
Гость
« Ответ #46 : Март 01, 2010, 12:05 »

Цитировать
для популярнорй программы - время будет совсем малое, для непопулярной и ненужной можно вообще тупую проверку вставить и никто ее никогда не будет ломать...
в этом топике я заметил, что вы сильно озабочены качеством какой то виртуальной ненаписанной программы, "..какашка..., ..ломать никто не будет..." Улыбающийся, вы студент и у вас параноя за несданную курсовую Улыбающийся.
Записан
SABROG
Гость
« Ответ #47 : Март 01, 2010, 13:57 »

Почему на TheBat не ругается?
Наверно подпись существует.

Некоторые ругаются:
http://www.sunbeltsecurity.com/threatdisplay.aspx?name=Win32.Themida_Packed!Eldorado&tid=4680648&cs=6AFD9E13E61CE987FF007C14F2FEF673
http://www.pc1news.com/virus/alias-w32-themida-packed-eldorado-141997.html
« Последнее редактирование: Март 01, 2010, 14:16 от SABROG » Записан
0rm
Гость
« Ответ #48 : Март 01, 2010, 14:39 »

cya-st, прежде всего давайте не будем переходить на личности и бросаться оскорблениями, я не высказывал свое мнение о вас и делать это не собираюсь, топик не о том.
Давайте разберемся по пунктам:
Цитировать
На краклаб и васм зарегистрирован где-то 5 лет, еще на tuts4you.
Продолжительность регистрации на краклабе сути дела не меняет. Если бы вы действительно активно занимались взломом, то у вас бы не возникали такие вопросы по поводу защиты от дизассемблирования и темы этой скорее всего тоже не было бы, как и обсуждения взломоустойчивости протекторов.

Цитировать
Немного занимался сломом. 0rm - вы наверное полный дилетант в этой сфере. Пакеры ломаются, но годичной давности, программы накрытые новыми версиями пакеров не каждый сломает, посмотрите цены за слом на краклаб.
То что вы немного занимались сломом это заметно, вы элементарно путаетесь в терминологии. Пакеры применяются для уменьшения размеров бинарников и никакой защиты они не предоставляют. Вы наверное хотели сказать протекторы или крипторы  Подмигивающий По поводу того что новую версию протектора не каждый сломает это верно, но каждому её ломать и не надо. Достаточно одного.
Я имею неплохой опыт в реверсинге, около четырех лет был фаундером одной релизной группы и во время этой деятельности сталкивался с разными видами защит и могу сказать что если приходилось отказываться от взлома какой-то программы то было это чаще всего из за продуманной защиты и грамотного применения криптографии. Новые же версии протекторов наоборот встречались с азартом(что-то вроде "Интересно что новенького в этой версии").

Цитировать
Конечно все ломается, с этим я согласен.
Именно это я и хотел сказать в предыдущем сообщении, только более развернуто. Протекторы это массовое явление, и люди которые набили руку на их снятии врядли испугаются новой версии. В то время как оригинальная защита с которой взломщик ещё не сталкивался заметно снизит скорость взлома.


Записан
0rm
Гость
« Ответ #49 : Март 01, 2010, 14:45 »

для популярнорй программы - время будет совсем малое, для непопулярной и ненужной можно вообще тупую проверку вставить и никто ее никогда не будет ломать...
Точно, это самый взломоустойчивый протектор, называется "Неуловимый Джо"  Смеющийся
Записан
cya-st
Гость
« Ответ #50 : Март 01, 2010, 15:28 »

Цитировать
То что вы немного занимались сломом это заметно, вы элементарно путаетесь в терминологии. Пакеры применяются для уменьшения размеров бинарников и никакой защиты они не предоставляют.
Мда, кто путается в терминологиях? Может старый UPX и уменьшает размер, современные пакеры с динамическим распаковыванием (чем не защита, попробуйте дизассемблировать запакованый екзешник) размер увеличивают. Не хочу вас обидеть, прошу меня простить, но вы есть дилетант в этой сфере. Я не говорю что я продвинутый крэкер и даже не дотягиваю к середнячкам, но такие вещи надо знать.
Еще одно хочу сказать, я согласен, все проги ломаются, для профессионала не составляет большого труда, но вы посмотрите цены на краклаб за взлом. Просто я хочу выбрать оптимальный вариант защиты программы.
И я не очень согласен с тем, что лучше реализовать свою защиту чем пакер, протектор и т.д., слишком много надо сделать: AntiDebug, AntiFileMon, упаковать и т.д.
Записан
0rm
Гость
« Ответ #51 : Март 01, 2010, 16:22 »

... современные пакеры с динамическим распаковыванием (чем не защита, попробуйте дизассемблировать запакованый екзешник) размер увеличивают. Не хочу вас обидеть, прошу меня простить, но вы есть дилетант в этой сфере.
Смеющийся Смеющийся Смеющийся Ну вы даете, никто ведь не дизассемблирует упакованные ехе'шники(это все равно что rar архив в ворде открывать) , достаточно подождать пока упаковщик распакует всю программу в память, затем снять дамп и восстановить IAT. Дамп уже и дизассмится.
Можете не извинятся, дилетант я по вашему мнению или нет, но положение вещей это не меняет.

P.S. Прекращаю флейм, ато начинает напоминать одно из соревнований Специальной Олимпиады.
Записан
cya-st
Гость
« Ответ #52 : Март 01, 2010, 17:04 »

У меня просто нет слов, давайте я запакую екзешник фемидой (без других наворотов, просто упаковать), так я уверен вы этот rar-файл Улыбающийся до конца этого года не распакуете.
Цитировать
достаточно подождать пока упаковщик распакует всю программу в память
протектор никогда не распаковывает всю прогу в память (динамическая упаковка), распаковывает по частям. Вашым способом дампили проги лет десять назад.
Советую почитать http://www.wasm.ru/publist.php?list=23
Записан
SABROG
Гость
« Ответ #53 : Март 01, 2010, 23:12 »

Возвращаясь к первоначальной теме. Мне всё-таки удалось настроить cobf под тестовый example от Qt, все собралось и работает. Аттач прилагается.

Проблемы с которыми я столкнулся. Во первых нужно создавать минимум 3 файла, в одном перечислить все исходники и хедеры (хедеры Qt и хедеры которые будут обрабатываться moc'ом категорически не включать в список), в другом перечислять все токены (имена встречающиеся во всех твоих исходниках кроме Qt, в том числе ключевые слова), если один токен забудешь, то компилиться не будет. К счастью есть возможность вывести все токены из исходников. Макросы и moc-зависимые ключевые слова вынести в отдельный файл - макросы (т.е. из файла токенов удалить и добавить в файл макросов). Например SIGNAL, SLOT и ВСЕ названия сигналов и слотов с типами, которые упоминаются в connect(), иначе соединения не будет. Если у сигнала параметр int, то всё пипец, уже как токен его не применишь и этот int будет "светиться" по всем исходникам. Можно конечно сделать рефакторинг, чтобы всё Qt'шное оставалось в других файлах, а стратегические "защитить".

В общем когда всё в итоге собралось и заработало я проанализировал полученный "доширак" и пришел к неутешительному выводу: есть возможность написать uncobf, достаточно взять хедер где создаются макросы и подставить в .cpp код значения. Перевести все строковые переменные в человеческий вид (unhex), потом пройтись beautifier'ом и voila.

cobf больше НИЧЕГО не делает! Как заключение. Убить выравнивание и дать не членораздельные имена и человек сможет. Эта защита от дурака или просто ленивого человека.
Записан
cya-st
Гость
« Ответ #54 : Март 01, 2010, 23:33 »

Цитировать
Возвращаясь к первоначальной теме. Мне всё-таки удалось настроить cobf под тестовый example от Qt, все собралось и работает.
Уже кое-что...
Записан
break
Гипер активный житель
*****
Offline Offline

Сообщений: 846


Просмотр профиля
« Ответ #55 : Март 02, 2010, 01:03 »

Цитировать
в этом топике я заметил, что вы сильно озабочены качеством какой то виртуальной ненаписанной программы, "..какашка..., ..ломать никто не будет..." ,

Да ну? Я озабочен? - я ничего не защищаю, и темы про обфускаторы на форуме открытой библиотеки не создавал! и не пытаюсь скрыть исходники проекта распространяемого под GPL. Уж если хочется распространять проект без исходников чтобы зарабатывать на этом свой хлеб - есть для этого LGPL. А это все "Жлобовские замашки". Да и уверен на 90% ваш проект проиграет по ценности кода существующим проектам с открытыми исходниками.

Я уже видел не раз такие вещи - пример платные драйвера софтовых модемов для ноутбуков под линукс. И их цена сравнимая со стоимостью внешнего модема - натуральная "жлобовская выходка"!
« Последнее редактирование: Март 02, 2010, 07:11 от Пантер » Записан
cya-st
Гость
« Ответ #56 : Март 02, 2010, 11:37 »

Цитировать
и не пытаюсь скрыть исходники проекта распространяемого под GPL
Кстати я тоже Улыбающийся. Даже неупотребил гнусного слова GPL Улыбающийся Смеющийся Улыбающийся
Записан
cya-st
Гость
« Ответ #57 : Март 02, 2010, 11:46 »

Цитировать
Да и уверен на 90% ваш проект проиграет по ценности кода существующим проектам с открытыми исходниками.
Слабонервным защитникам опенсоурс дальше не читать Смеющийся. Чем бесплатный линукс лучше платной винды, а если он лучше, то почему у вас установлена винда. Только не надо расказывать, что вы пользуетесь сугубо опенсоурсным софтом Улыбающийся.
Записан
SABROG
Гость
« Ответ #58 : Март 02, 2010, 12:23 »

Цитировать
Да и уверен на 90% ваш проект проиграет по ценности кода существующим проектам с открытыми исходниками.
Слабонервным защитникам опенсоурс дальше не читать Смеющийся. Чем бесплатный линукс лучше платной винды, а если он лучше, то почему у вас установлена винда. Только не надо расказывать, что вы пользуетесь сугубо опенсоурсным софтом Улыбающийся.

У многих по 2-3 ОС стоят на компах. Я от винды не могу отказаться из-за того, что невозможно полностью перейти на linux, так как большинство людей используют Windows. Например файлы Office, которые используют кодировку Arial Cyr. В Linux есть Arial, но не Arial Cyr, в винде это всего-лишь алиас (синоним) того же Arial, но OpenOffice выбирает шрифт по-умолчанию. Проблема с ссылками типа mailto, в винде они закодированы в cp1251, а в Linux при попытке нажать на такую ссылку идет попытка загрузить почтовый клиент с параметром, текст в которой в cp1251 кодировке, естественно такое не прокатывает. В общем замкнутый круг.
Ну и игры конечно. Wine нужно настраивать, а играть хочется сейчас. Мне например лень перезагружать компьютер, чтобы войти в Linux полазить по сайтам, посмотреть фильмы или скачать что-нибудь, так как я могу всё тоже самое сделать и сейчас.
Пока есть только одна причина - valgrind. Бесплатных аналогов для Windows нет. Правда и это решает virtualbox. Я пробовал работать на линуксе, где стоит virtualbox с виндой. В принципе нормально, но вот про игры и 3D можно забыть.
Записан
ритт
Гость
« Ответ #59 : Март 02, 2010, 14:10 »

закрывать тему пока не буду, но впредь воздержитесь от взаимных оскорблений.
не забывайте завет кота Леопольда )
Записан
Страниц: 1 2 3 [4] 5   Вверх
  Печать  
 
Перейти в:  


Страница сгенерирована за 0.152 секунд. Запросов: 23.