Русский / Russian English / Английский

Сейчас на форуме: Storage (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми
. 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 января 2007 23:24 New!
Цитата · Личное сообщение · #1

Небольшая подборка свежих анпакми от немцев . В основном пакеры в несколько слоев ну и больше на сообразительность может кому интересно будет!
rapidshare.com/files/13897034/Unpackmee.rar


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 29 января 2007 02:36 New!
Цитата · Личное сообщение · #2

MupMe2 херь какая-то, не запускается.. че с ним делать нада? сделать чтобы запустился.. Винда говорит, что мало виртуальной памяти и не запускает ево..


Ранг: 222.3 (наставник)
Статус: Участник

Создано: 29 января 2007 02:51 New!
Цитата · Личное сообщение · #3

У меня просто он "скушал" 1,32 Гб файла подкачки и всё - никаких действий, ни мессаджбоксов ни диалоговых окон .... ни ответа ни привета

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 29 января 2007 03:50 New!
Цитата · Личное сообщение · #4

У меня запустился нормально, попробуйте такой

{ Атач доступен только для участников форума } - MupMe2.exe

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 29 января 2007 04:27 New!
Цитата · Личное сообщение · #5

UsAr
Для тебя они слабенькие!


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 29 января 2007 05:23 New!
Цитата · Личное сообщение · #6

Обсуждать в этом топике можно или создать новый?
к примеру из всех этих я взял unpackme_.exe
сразу мессага о том, что пакован MoleBox 2 в эбауте чел говорит, вы удивитесь тому как много я сюда навесил.. я понял, что анпакмис пакован-перепакован.. кто-небудь начал его распаковывать?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 29 января 2007 05:43 New!
Цитата · Личное сообщение · #7

overwriter
Там в общем то ничего особо сложного нет извлечь 1 длл ! И вариантов распаковки очень много! Можещь поробовать по слоям а можно и сразу выдернуть!


Ранг: 120.9 (ветеран)
Статус: Участник
Programmer and reverser

Создано: 29 января 2007 06:24 New!
Цитата · Личное сообщение · #8

у меня MupMe2.exe запускается через раз) иногда нормально, а иногда вылетает GPF 0xC0000005


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 29 января 2007 13:40 New!
Цитата · Личное сообщение · #9

pavka, пожалуйста
/ Подскажи какую-небудь литературу.. по ручной распаковке,
но ток не такую где описываются переходы на ОЕП для разных пакеров и протекторов, а больше теории и общей.. ну тоесть я не знаю чем паковано но найду ОЕП не зная как выглядит переход.
/ И еще какую-небудь по написанию дампера.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 29 января 2007 17:45 New!
Цитата · Личное сообщение · #10

overwriter
У Мыщха есть статьи по этой теме посмотри у него на сайте! У Нарвахи есть но там все на испанском!


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 29 января 2007 21:10 New!
Цитата · Личное сообщение · #11

читай упаковщиков - две части.. и думаю в них ты найдешь все ответы =)


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 29 января 2007 22:56 New!
Цитата · Личное сообщение · #12

Спасибо..
pavka помнится недавно искал сайт этого Нарвавахи.. в гугле.. "Richardo Narvaja " и ниче не нашел, дай плз линк.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 29 января 2007 23:10 New!
Цитата · Личное сообщение · #13

overwriter
storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 30 января 2007 14:30 New!
Цитата · Личное сообщение · #14

lord_Phoenix
Все, что хотел не нашел, ибо первая часть теория я ее прочитал ниче по тому, что нада не нашел.. вторая часть нашел еще один способ нахождения ОЕП:
прыжок после распаковки всегда будет происходить из области больших адресов в область меньших адресов
и того с этим уже три:
1 искать попад, 2 hr esp-4 что-небудь еще подскажите..
как-то нудно искать CreateProcessA и пытаться понимать как он это распаковывает.. тада уж и понимать где ОЕП не трудно
Неужели нада учить как выглядят переходы на всех пакерах и протах.. :::?


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 30 января 2007 14:40 New!
Цитата · Личное сообщение · #15

Да и прыжок будет происходить так если весь распаковщик в последней секции лоханулся немножко
а анпакмис немецкий стоит.. сколько раз думал, что нашел ОЕП.. дампил а оно се равно не пашет

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 30 января 2007 18:01 New!
Цитата · Личное сообщение · #16

overwriter пишет:
1 искать попад, 2 hr esp-4 что-небудь еще подскажите..
как-то нудно искать CreateProcessA и пытаться понимать как он это распаковывает.. тада уж и понимать где ОЕП не трудно
Неужели нада учить как выглядят переходы на всех пакерах и протах.. :::?

Не нужно понимать все вот так буквально как руководство к действию! Вообще всегда лучше определить компилятор и действать по ситуации основываясь на особенностях компилятора
В случае анпакми с молебоксом там со 100% вероятностью можно назвать оеп даже не заглядывая в распакованый файл так как автор гордо сообшает что написано на чистом ассемблере ;)

Ранг: 20.8 (новичок)
Статус: Участник

Создано: 31 января 2007 02:01 New!
Цитата · Личное сообщение · #17

К слову сказать, не все файлы в архиве чистые unpackme. Два из них у меня вообще не запустились на чистой (без crack tools) винде. Походу тут надо еще заголовки править, а это никакой нормальный пакер юзера делать не заставит.


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 31 января 2007 02:14 New!
Цитата · Личное сообщение · #18

Странно это всё! Сначала у усамого не запускались, а теперь начали!
Незнаю чё за косяк, но ImpRec зависает, когда натравливаеш его на жертву Зависает на unpackme_.exe и dEFEAT.mE.eXe
OEP 100% правилное!


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 31 января 2007 03:44 New!
Цитата · Личное сообщение · #19

daFix
Cам два раза дампил.. не получается.. не знаю правильно ли я нашел ОЕП.. как ты искал..
я из предположения что начальная верхушка стека после распаковки должна остаться верхушкой.. очень похоже на то, что распаковано вже.. но ниче не получилось..

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 31 января 2007 04:03 New!
Цитата · Личное сообщение · #20

daFix
Совет ты выдерни их сначала в запакованом виде и все будет ок!


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 31 января 2007 04:10 New!
Цитата · Личное сообщение · #21

Что делаю : беру адрес вершины стека, и перехожу на этот адрес в дампе (Ctrl+G) и ставлю
на на дворд бряк на acess.. жму F9, и вываливается окошко о том, что все паковано
МолиБоксом жму Да. Дальше вваливаюсь в Ольку:
00448700 61 POPAD
00448701 58 POP EAX
00448702 58 POP EAX
00448703 FFD0 CALL EAX
00448705 E8 C9C40000 CALL unpack_1.00454BD3
0044870A CC INT3
0044870B CC INT3
0044870C CC INT3
0044870D CC INT3
0044870E CC INT3
0044870F CC INT3
00448710 0000 ADD BYTE PTR DS:[EAX],AL
00448712 0000 ADD BYTE PTR DS:[EAX],AL
00448714 90 NOP
00448715 1E PUSH DS

Смотрим на то, что пишет Олька..unpack_1.xxxxxxxx что же это может быть ? тобишь где
то должно это закончится и мы поймем где ОЕП..
но нет вот здесь блин уже вылезло окно чертово:
00401022 E8 9F000000 CALL unpack_1.004010C6 ; JMP to USER32.DialogBoxParamA
Тоесть оно еще динамически распаковывается во время работы вже?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 31 января 2007 04:19 New!
Цитата · Личное сообщение · #22

overwriter
ОЕП 401000
Поставь бряк на VirtualAlloc сработает
005912C8 85C0 TEST EAX,EAX
005912CA 0F84 4D020000 JE unpackme.0059151D
005912D0 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX
005912D3 89C7 MOV EDI,EAX
005912D5 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
005912D8 56 PUSH ESI
005912D9 89F1 MOV ECX,ESI
005912DB 034E 3C ADD ECX,DWORD PTR DS:[ESI+3C]
005912DE 8B49 54 MOV ECX,DWORD PTR DS:[ECX+54]
005912E1 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[> Б<-----------


ECX=00001000 (decimal 4096.)
DS:[ESI]=[005919BB]=4D ('M')
ES:[EDI]=[00400000]=00
Сдампи регион 005919BB размер 8D000 Получишь пакованый молей файл


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 31 января 2007 05:41 New!
Цитата · Личное сообщение · #23

pavka
Надеюсь не сильно тебе заНАДОЕЛ.. что значит сдампить регион.. только участок процесса?
а почему не весь?


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 31 января 2007 06:34 New!
Цитата · Личное сообщение · #24

>Погодите.. я ведь хочу разобрать его по слоям, а не сразу 401000 это наверна ОЕП для самого первого пакера/или протектора.. а ОЕП для Молибокса походу именно он последний навешан, где?

>Делаю все как вы сказали, pavka, ставлю бряк на VirtualAlloc (bp VirtualAlloc), запускаю -
брякаюсь здесь:
7C809A51 > 8BFF MOV EDI,EDI
это в стеке :

0012FD6C 005912B8 /CALL to VirtualAlloc
0012FD70 00400000 |Address = 00400000
0012FD74 0008D000 |Size = 8D000 (577536.)
0012FD78 00003000 |AllocationType = MEM_COMMIT|MEM_RESERVE
0012FD7C 00000040 Protect = PAGE_EXECUTE_READWRITE


дальше жму еще раз F9, вылетает:
Error: Bad or unknown format 32-bit executable file: ''
жму еще три раза вылетает окошко об исполнении файла (которое от Молибокса), говорит, что пакован незарегистрированной версией исполнять его? жму ДА.. останавливается
7C809A51 > 8BFF MOV EDI,EDI
жму дойти до Ret потом выхожу из этой процедуры и остаюсь в библиотечных адресах

Что-небудь еще может мне следует прочитать?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 31 января 2007 08:18 New!
Цитата · Личное сообщение · #25

overwriter пишет:
дальше жму еще раз F9, вылетает

не нужно жать F 9 Нужно выйти из функции в прогу у тебя 005912B8 /CALL to VirtualAlloc потом потреиси и увидишь потом любым дампером сдампь участок памяти и получишь чистый файл упакованый молей
Ну и потом раздевай его ;)
А 401000 это ОЕП неупакованой проги

Ранг: 5.7 (гость)
Статус: Участник

Создано: 31 января 2007 22:59 New!
Цитата · Личное сообщение · #26

недумал я, что моля такая популярная


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 31 января 2007 23:32 New!
Цитата · Личное сообщение · #27

Кто те сказал, что Моля популярная.. просто наверна другие пакеры поверх остального вешаться не хотели.. кстати первый слой что ? самопальное чтоли?

Ранг: 146.7 (ветеран)
Статус: Участник

Создано: 1 февраля 2007 03:38 New!
Цитата · Личное сообщение · #28

добавка к подборке...
блокнот накрытый StarForce (судя по версии dll-ки - 4.50.7.0)...
_hxxp://rapidshare.com/files/14379603/NotePad_StarForce_3.xx.rar
(весит чуть больше 5 метров)

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 1 февраля 2007 08:50 New!
Цитата · Личное сообщение · #29

s0cpy пишет:
блокнот накрытый StarForce (судя по версии dll-ки - 4.50.7.0)...

gegter
Хороший повод устройть нам мастер класс ;) Если как ты пишешь в одном из топов "я свободно гулял по старику, доходил до oep, дампил, крутил код.." Может и тутор наваяешь


Ранг: 116.9 (ветеран)
Статус: Участник

Создано: 1 февраля 2007 14:24 · Поправил: Viktoro New!
Цитата · Личное сообщение · #30

s0cpy пишет:
блокнот накрытый StarForce

чёта я не могу понять, может кто знает каким образом получилось на блокнот стар навесить ? )) для изучения самое оно

П.С.: размер получившегося блокнота впечатляет
. 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми

Видеокурс ВЗЛОМ