Русский / Russian English / Английский

Сейчас на форуме: Storage, rustavelli7, morgot (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 января 2007 23:24 New!
Цитата · Личное сообщение · #1

Небольшая подборка свежих анпакми от немцев . В основном пакеры в несколько слоев ну и больше на сообразительность может кому интересно будет!
rapidshare.com/files/13897034/Unpackmee.rar


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 23 февраля 2007 08:12 New!
Цитата · Личное сообщение · #2

Deroko только первый левый, второй не распаковал.. тож херь какая-то дохожу в Оле до определенного места а там db 7h и все она кричит про недопустимую инструкцию..
W[4Fh]LF, не поможешь?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 18 марта 2007 15:57 New!
Цитата · Личное сообщение · #3

ap0x выложил анпакми , видимо такой будет новая версия RLPack 1.18
files-upload.com/133251/dELPHI.zip.html


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 18 марта 2007 16:22 New!
Цитата · Личное сообщение · #4

pavka пишет:
ap0x выложил анпакми , видимо такой будет новая версия RLPack 1.18

это и есть файл пожатый новой версией


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 18 марта 2007 16:32 New!
Цитата · Личное сообщение · #5

lord_Phoenix пишет:
это и есть файл пожатый новой версией


угу, на хеуристике задетектило этот файл ща не много сигну поправлю, стоб как 1.18
распозновалось

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 18 марта 2007 16:49 New!
Цитата · Личное сообщение · #6

lord_Phoenix пишет:
это и есть файл пожатый новой версией

Насколько я понял в релизе будет все много круче


Ранг: 500.5 (!)
Статус: Участник

Создано: 30 апреля 2007 17:26 New!
Цитата · Личное сообщение · #7

Вот анпакми стабильно от новичков и середнячков ))) try it


{ Атач доступен только для участников форума } - UnPackMe.exe

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 30 апреля 2007 19:03 New!
Цитата · Личное сообщение · #8

Smon
Чет у меня на XP SP2 не запускается

Ранг: 37.8 (посетитель)
Статус: Участник

Создано: 30 апреля 2007 21:20 New!
Цитата · Личное сообщение · #9

pavka пишет:
Чет у меня на XP SP2 не запускается


У меня все запускается на XP SP2 , но мне не под силу.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 1 мая 2007 08:21 New!
Цитата · Личное сообщение · #10

На XPSP 1 запустил похоже на Sp 2 падает при заполнении внутреней таблицы импорта
Так бегло посмотрел импорт в принципе восстановить будет не сложно
00A30002 01CD add ebp,ecx
00A30004 68 77E79E34 push 349EE777 <------
00A30009 EB 01 jmp short 00A3000C
00A3000B - 72 87 jb short 00A2FF94
00A3000D 04 24 add al,24
00A3000F EB 01 jmp short 00A30012
00A30011 24 0F and al,0F
00A30013 C8 EB016A enter 1EB,6A
00A30017 870424 xchg dword ptr ss:[esp],eax
00A3001A EB 00 jmp short 00A3001C
00A3001C C3 retn
00A3001D 00EB add bl,ch
00A3001F 0100 add dword ptr ds:[eax],eax
00A30021 68 77E7980A push 0A98E777 <--------------------
00A30026 EB 01 jmp short 00A30029
00A30028 B3 87 mov bl,87
00A3002A 04 24 add al,24
00A3002C EB 01 jmp short 00A3002F
00A3002E 3C 0F cmp al,0F
00A30030 C8 EB016A enter 1EB,6A
00A30034 870424 xchg dword ptr ss:[esp],eax
00A30037 EB 00 jmp short 00A30039
00A30039 C3 retn
00A3003A 00EB add bl,ch
00A3003C 01E2 add edx,esp
00A3003E 68 77E7A5FD push FDA5E777 <------------
00A30043 EB 01 jmp short 00A30046
Написать дельфи стаб то же без особых проблем..
1Call
00406294 53 push ebx
00406295 8BD8 mov ebx,eax
00406297 33C0 xor eax,eax
00406299 A3 9C304500 mov dword ptr ds:[45309C],eax
0040629E 6A 00 push 0
004062A0 E8 2BFFFFFF call UnPackMe.004061D0
004062A5 A3 64564500 mov dword ptr ds:[455664],eax
-----
2.Call
0044F4DE 8BC0 mov eax,eax
0044F4E0 53 push ebx ; UnPackMe.00455BB0
0044F4E1 A1 683F4500 mov eax,dword ptr ds:[453F68]
0044F4E6 8338 00 cmp dword ptr ds:[eax],0
0044F4E9 74 0A je short UnPackMe.0044F4F5
-------
3 call
0044F4F7 90 nop
0044F4F8 - E9 BE236100 jmp 00A618BB
0044F4FD 56 push esi возврат
0044F4FE 57 push edi
0044F4FF 894D FC mov dword ptr ss:[ebp-4],ecx
0044F502 8BDA mov ebx,edx
0044F504 8BF0 mov esi,eax
и т.д


Ранг: 500.5 (!)
Статус: Участник

Создано: 1 мая 2007 11:03 New!
Цитата · Личное сообщение · #11

pavka пишет:
похоже на Sp 2 падает при заполнении внутреней таблицы импорта

Странно конечно, тестил на разных компах с SP2 - траблов не было.

pavka пишет:
Так бегло посмотрел импорт в принципе восстановить будет не сложно

Импорт там далеко не основное

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 1 мая 2007 17:06 New!
Цитата · Личное сообщение · #12

Smon пишет:
Импорт там далеко не основное

Я так особо не ковырял но обратил внимание в коде несколько странных келов
а в Sp2 падает вот тут
008E2952 > 881A MOV BYTE PTR DS:[EDX],BL
008E2954 EB 01 JMP SHORT 008E2957


Ранг: 500.5 (!)
Статус: Участник

Создано: 1 мая 2007 17:22 New!
Цитата · Личное сообщение · #13

pavka пишет:
а в Sp2 падает вот тут
008E2952 > 881A MOV BYTE PTR DS:[EDX],BL

Видимо система не смогла выделить RWE память , адресуемую регистром edx, почему - непонятно...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 мая 2007 17:54 New!
Цитата · Личное сообщение · #14

Стаб написал
00452550 55 PUSH EBP
00452551 8BEC MOV EBP,ESP
00452553 83C4 F0 ADD ESP,-10
00452556 E8 393DFBFF CALL dump.00406294
0045255B 8B1D 0C404500 MOV EBX,DWORD PTR DS:[45400C] ; dump.00455BB0
00452561 8B03 MOV EAX,DWORD PTR DS:[EBX]
00452563 E8 78CFFFFF CALL dump.0044F4E0
00452568 8B0D EC404500 MOV ECX,DWORD PTR DS:[4540EC] ; dump.00455BD0
0045256E 8B03 MOV EAX,DWORD PTR DS:[EBX]
00452570 8B15 440D4500 MOV EDX,DWORD PTR DS:[450D44] ; dump.00450BA0
00452576 E8 7DCFFFFF CALL dump.0044F4F8
0045257B 8B0D 24414500 MOV ECX,DWORD PTR DS:[454124] ; dump.00455C14
00452581 8B03 MOV EAX,DWORD PTR DS:[EBX]
00452583 8B15 681D4500 MOV EDX,DWORD PTR DS:[451D68] ; dump.00451C60
00452589 E8 6ACFFFFF CALL dump.0044F4F8
0045258E 8B0D C43F4500 MOV ECX,DWORD PTR DS:[453FC4] ; dump.00455C1C
00452594 8B03 MOV EAX,DWORD PTR DS:[EBX]
00452596 8B15 081F4500 MOV EDX,DWORD PTR DS:[451F08] ; dump.00451E00
0045259C E8 57CFFFFF CALL dump.0044F4F8
004525A1 8B0D BC3E4500 MOV ECX,DWORD PTR DS:[453EBC] ; dump.00455C24
004525A7 8B03 MOV EAX,DWORD PTR DS:[EBX]
004525A9 8B15 A8204500 MOV EDX,DWORD PTR DS:[4520A8] ; dump.00451FA0
004525AF E8 44CFFFFF CALL dump.0044F4F8
004525B4 8B0D 78404500 MOV ECX,DWORD PTR DS:[454078] ; dump.00455C2C
004525BA 8B03 MOV EAX,DWORD PTR DS:[EBX]
004525BC 8B15 48224500 MOV EDX,DWORD PTR DS:[452248] ; dump.00452140
004525C2 E8 31CFFFFF CALL dump.0044F4F8
004525C7 8B03 MOV EAX,DWORD PTR DS:[EBX]
004525C9 E8 AACFFFFF CALL dump.0044F578
004525CE 5B POP EBX
004525CF E8 201BFBFF CALL dump.004040F4
импорт восстановил но прозевал прямые jmp
00401330 - E9 F1ECFEFF jmp 003F0026 kernel32.LocalAlloc
надо будет переделать, сплайс вроде то же убрал


Ранг: 500.5 (!)
Статус: Участник

Создано: 3 мая 2007 20:40 · Поправил: Smon New!
Цитата · Личное сообщение · #15

pavka
Практически правильный стаб
А кроме стаба, импорта и сплитинга еще что нибудь есть ? )
Да, кстати, оцени плс примерную степень сложности\муторности распаковки.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 4 мая 2007 03:36 New!
Цитата · Личное сообщение · #16

Smon
Основная сложность для меня в том что ковыряю не на своей системе Но вообще в принципе интересно все раскидано по разным кускам памяти и есть несколько моментов не совсем разобрал имхо не плохой прот получился

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 5 мая 2007 12:19 New!
Цитата · Личное сообщение · #17

Smon пишет:
Практически правильный стаб

Я не стал пихать в еах дворд хотел восстановить таблицу ну чет накосячил ;) пришлось цеплять куски памяти
003B001D 68 7662B340 push 40B36276
003B0022 810424 86FE8CBF add dword ptr ss:[esp],BF8CFE86
003B0029 C3 retn
003B0071 68 80EB159A push 9A15EB80
003B0076 810424 34842A66 add dword ptr ss:[esp],662A8434
003B007D C3 retn


Ранг: 500.5 (!)
Статус: Участник

Создано: 10 июля 2007 13:57 New!
Цитата · Личное сообщение · #18

Тут два защищенных файла - на сях и на дельфах, второй защищен лучше.
www.rapidshare.ru/339650
Для любителей сложноснимаемых вещей, существенно улучшенная версия предыдущей

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 июля 2007 03:19 New!
Цитата · Личное сообщение · #19

Smon пишет:
существенно улучшенная версия предыдущей

Жаль у меня опять не запускаются

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 11 июля 2007 07:23 New!
Цитата · Личное сообщение · #20

Keygen.exe - если остановиться на System breakpoint, убрать брак с EP и поставить бряк на секцию кода, то может и запуститься…

Smon
Спасибо за первый(!) была проблема у меня в плуге, вешал систему в варе при анализе циклов, твой тест помог пофиксить багу…
Эти два, когда будет свободное время, посмотрю обязательно, вообщем класс(!) продолжай дальше и успехов…

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 июля 2007 08:26 New!
Цитата · Личное сообщение · #21

Demon666 пишет:
Keygen.exe - если остановиться на System breakpoint, убрать брак с EP и поставить бряк на секцию кода, то может и запуститься…

Нет там косяк с выделением памяти как и в первом так и не могу понять почему у меня в системе такая фигня происходит!

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 11 июля 2007 12:16 New!
Цитата · Личное сообщение · #22

pavka
Ну не знаю, могу тебе посоветовать поставить VM (у меня лично стоит две, хочу еще третью поставить видел о ней положительные отзывы, все время не найду поставить)
Там можно разные Win`ды поставить и не только, мы так делаем для тестинга прог…
Ну-но только памяти побольше, будешь запускать разные системы как обычные проги и сравнивать почему падает, вообщем я даже не представляю как без VM сейчас обойтись можно, возможности "неограниченные" и защита от всякой дряни, короче одни только плюсы…
Думаю, после этого ты навсегда избавишься от проблем с несовместимостью…


Ранг: 500.5 (!)
Статус: Участник

Создано: 11 июля 2007 12:59 New!
Цитата · Личное сообщение · #23

pavka
Попробуй www.rapidshare.ru/340627, я там кой чё изменил, терь должно работать...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 июля 2007 13:26 · Поправил: pavka New!
Цитата · Личное сообщение · #24

Demon666 пишет:
Ну не знаю, могу тебе посоветовать поставить VM

Я бы поставил Только боливар не выдержит двоих ! Тошка древняя надо менять!
Demon666 пишет:
Думаю, после этого ты навсегда избавишься от проблем с несовместимостью…

Фиг его знает вчера скачал у Тедди роджерса анпакми у всех бсоды либо ошибки у меня нормально запустилось ;)
Smon пишет:
там кой чё изменил, терь должно работать...

Спасибо попробую!

Не не хочет ни один ни другой Rascet.exe подольше висит но не запускается !

Ранг: 35.1 (посетитель)
Статус: Участник

Создано: 11 июля 2007 16:13 · Поправил: Amok New!
Цитата · Личное сообщение · #25

Фаил, который на сях постоянно уходит в бесконечный цикл, если нажать на паузу и потрейсить F7, то бегать будем между условным и безусловным переходом. А вот если проскролить вверх до адреса 0042С64А, то на глазах FF превращается в 16 и вылетает окно, что "обнаружена ошибка. приложение будет закрыто." Smon это что заюзан какой-то баг оли?

Demon666 пишет:
была проблема у меня в плуге, вешал систему в варе при анализе циклов

Ты ещё не передумал вылажить на паблик свой плагин?

Добавлено:
Взял занопил условный переход, стал трейсить, ушел в системную библу, поставил бряк на секцию кода, F9. Брякнулся, ИМХО это ОЕР. С импортом не понятно что делать, каллов не вижу.

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 11 июля 2007 18:45 New!
Цитата · Личное сообщение · #26

Amok
Ну дык, а смысл(?) народу там отписывалось очень мало (значит НАХ никому не надо было)
Тем более лордик его флудотопиком назвал, так что смысла не вижу…
И я ту версию тогда сразу с исходниками и описание как с ним в ExeCryptor морф снимать удалил, так что у меня ее(паблик версии) НЕТ


Ранг: 500.5 (!)
Статус: Участник

Создано: 11 июля 2007 22:21 New!
Цитата · Личное сообщение · #27

pavka пишет:
Не не хочет ни один ни другой Rascet.exe подольше висит но не запускается !

Да... жесть, слов нет, жаль...

Amok пишет:
это что заюзан какой-то баг оли

Да, есть немного...

Amok пишет:
поставил бряк на секцию кода, F9. Брякнулся, ИМХО это ОЕР.

а имхо нет )))

Amok пишет:
С импортом не понятно что делать, каллов не вижу

Импорт не только каллами можно вызывать

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 12 июля 2007 01:43 New!
Цитата · Личное сообщение · #28

Amok
Ладно, уговорил(и)… когда время будет свободное сделаю новую версию, выложу у ньюбов чтобы глаза тема не мозолила, примерно через месяц, может раньше (через личку я уже давно ни с кем не общаюсь, времени нет…)

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 июля 2007 05:29 New!
Цитата · Личное сообщение · #29

Посмотрел делфи на работе побыстрому импорт скрипт надо переписывать Стаб востановить не трудно ну а остальное это на долго
---------------1 call-------
004060FC 53 PUSH EBX
004060FD 8BD8 MOV EBX,EAX
004060FF 33C0 XOR EAX,EAX
00406101 A3 9C704500 MOV DWORD PTR DS:[45709C],EAX
00406106 6A 00 PUSH 0
00406108 E8 2BFFFFFF CALL Rascetu.00406038
0040610D A3 64964500 MOV DWORD PTR DS:[459664],EAX
00406112 A1 64964500 MOV EAX,DWORD PTR DS:[459664]
00406117 A3 A8704500 MOV DWORD PTR DS:[4570A8],EAX
0040611C 33C0 XOR EAX,EAX
0040611E A3 AC704500 MOV DWORD PTR DS:[4570AC],EAX
00406123 33C0 XOR EAX,EAX
00406125 A3 B0704500 MOV DWORD PTR DS:[4570B0],EAX
0040612A E8 C1FFFFFF CALL Rascetu.004060F0
0040612F BA A4704500 MOV EDX,Rascetu.004570A4
00406134 8BC3 MOV EAX,EBX
00406136 E8 21DEFFFF CALL Rascetu.00403F5C
0040613B 5B POP EBX
0040613C C3 RETN

-------2cal----
004544A4 53 PUSH EBX
004544A5 A1 B47F4500 MOV EAX,DWORD PTR DS:[457FB4]
004544AA 8338 00 CMP DWORD PTR DS:[EAX],0
004544AD 74 0A JE SHORT Rascetu.004544B9
004544AF 8B1D B47F4500 MOV EBX,DWORD PTR DS:[457FB4] ; Rascetu.00459040
004544B5 8B1B MOV EBX,DWORD PTR DS:[EBX]
004544B7 FFD3 CALL EBX
004544B9 5B POP EBX
004544BA C3 RETN

--------in call ---
004544BC - E9 A0DD5E00 JMP 00A42261
004544C1 56 PUSH ESI
004544C2 57 PUSH EDI
004544C3 894D FC MOV DWORD PTR SS:[EBP-4],ECX
004544C6 8BDA MOV EBX,EDX
004544C8 8BF0 MOV ESI,EAX
004544CA 8BC3 MOV EAX,EBX
004544CC FF50 F4 CALL DWORD PTR DS:[EAX-C]
004544CF 8BD8 MOV EBX,EAX
004544D1 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
004544D4 8918 MOV DWORD PTR DS:[EAX],EBX
004544D6 33C0 XOR EAX,EAX
004544D8 55 PUSH EBP
004544D9 68 FA444500 PUSH Rascetu.004544FA
004544DE 64:FF30 PUSH DWORD PTR FS:[EAX]
004544E1 64:8920 MOV DWORD PTR FS:[EAX],ESP
004544E4 8BCE MOV ECX,ESI
004544E6 83CA FF OR EDX,FFFFFFFF
004544E9 8BC3 MOV EAX,EBX
004544EB 8B38 MOV EDI,DWORD PTR DS:[EAX]
004544ED FF57 2C CALL DWORD PTR DS:[EDI+2C]

Amok пишет:
С импортом не понятно что делать, каллов не вижу.

Там адресация всеми возможными способами ;) и call b push & etc..

Ранг: 35.1 (посетитель)
Статус: Участник

Создано: 12 июля 2007 16:34 New!
Цитата · Личное сообщение · #30

Demon666 пишет:
сделаю новую версию, выложу у ньюбов

ЗдОрово! Жду релиза!

pavka
Я так понимаю ты ковыряешь проги не под олей, ибо у меня оля палится, на которой я запускаю проги накрытые EXECryptorом.


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 24 августа 2007 23:09 New!
Цитата · Личное сообщение · #31

Выкладываю еще один анпакми. для новичков)))))
ifolder.ru/3101318
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми

Видеокурс ВЗЛОМ