Русский / Russian English / Английский

Сейчас на форуме: _MBK_, bixen (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 января 2007 23:24 New!
Цитата · Личное сообщение · #1

Небольшая подборка свежих анпакми от немцев . В основном пакеры в несколько слоев ну и больше на сообразительность может кому интересно будет!
rapidshare.com/files/13897034/Unpackmee.rar


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 24 августа 2007 23:27 New!
Цитата · Личное сообщение · #2

Mavlyudov
Ваше файло не работает: "Ошибка при инициализации приложения (0хс0000005). Для выхода из приложения нажмите кнопку ОК"
Или это так и надо?


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 24 августа 2007 23:31 New!
Цитата · Личное сообщение · #3

Mavlyudov пишет:
Выкладываю еще один анпакми. для новичков)))))

Это что, шутка? Как его распаковать-то, если он даже не запускается!?
Может ты не то что-то выложил? Или это тольуо у меня такой трабл...


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 24 августа 2007 23:36 New!
Цитата · Личное сообщение · #4

FrenFolio, неа у всех... может это уже результат попытки распаковать)))


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 24 августа 2007 23:44 New!
Цитата · Личное сообщение · #5

overwriter пишет:
может это уже результат попытки распаковать)))

По ходу дела да. Автор, возможно, чем-то упаковал и уже снял дамп, потому как сообщение "Ошибка при инициализации приложения (0хс0000005). Для выхода из приложения нажмите кнопку ОК" возникает обычно при неприкрепленном импорте.


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 25 августа 2007 01:17 New!
Цитата · Личное сообщение · #6

FrenFolio
не знаю почему, но ноутпад не захотел пакаться..
попробовал на дельфийской проге. Вроде работает.
ifolder.ru/3102306


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 25 августа 2007 01:42 · Поправил: FrenFolio New!
Цитата · Личное сообщение · #7

Mavlyudov
О, этот нормально пашет. Анпакнул уже.
OEP = 004539C8
Его, кстати, и QuickUnpack берет.

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 1 сентября 2007 00:14 New!
Цитата · Личное сообщение · #8

Новый UnPackMe 7кб ifolder.ru/3185922

Ранг: 219.6 (наставник)
Статус: Участник

Создано: 1 сентября 2007 01:17 New!
Цитата · Личное сообщение · #9

DIMAIN пишет:
Новый UnPackMe 7кб

Снимаецо элементарно.
ОЕП=402480
С ОЕП сперт один байт, так же надо занопеть call по адресу 4023c2.


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 1 сентября 2007 02:32 New!
Цитата · Личное сообщение · #10

DIMAIN пишет:
Новый UnPackMe

Я тоже анпакнул.
v0id2k пишет:
Снимаецо элементарно.

Ну это как сказать. Там какой-то непонятный криптор висит...
v0id2k пишет:
С ОЕП сперт один байт, так же надо занопеть call по адресу 4023c2.

На ОЕР висит инструкция CDQ - заменить ее на PUSH EBP. Ну и кол этот занопить. Хотя по-варварски как-то это. Правда, я тоже ничего другого не придумал, чтобы запустилась прога.

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 1 сентября 2007 02:42 · Поправил: DIMAIN New!
Цитата · Личное сообщение · #11

FrenFolio пишет:
Хотя по-варварски как-то это.

Ты прав, этож не CrackMe...

FrenFolio пишет:
Правда, я тоже ничего другого не придумал, чтобы запустилась прога.

В том то и прикол, что распакованная прога не пашет, и без всяких проверок, здесь просто некоторые фишки реализованы слишком примитивно, да и 7кило всего, думаю на реальном софте все это смотрелось бы интереснее...


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 1 сентября 2007 09:37 New!
Цитата · Личное сообщение · #12

DIMAIN
Сейчас попробовал распаковать при помощи QuckUnpack, - справилась! Единственно, если вбить неправильный ОЕР, то появится сообщение об ошибке. А с ОЕР = 402480 все ОК!
DIMAIN пишет:
В том то и прикол, что распакованная прога не пашет, и без всяких проверок

В смысле, не пашет? Возможно, распаковал неправильно. Просто после распаковки еще пропатчить нужно. Иначе работать не будет.
DIMAIN пишет:
здесь просто некоторые фишки реализованы слишком примитивно, да и 7кило всего, думаю на реальном софте все это смотрелось бы интереснее...

Тут ты прав. Выкинув из проги функцию, вполне возможно что она будет работать неправильно. Это вообще проблема всех искусственных CrackMe - они как правило небольшого размера и бывает что сложно определить, работает ли прога после распаковки должным образом или нет. И вдобавок например, на сайте Тедди Роджерса все его UnpackMe имеют OEP = 4271B0 (из тех, которые мне попадались), что само по себе расслабляет.
Так что в случае с реальной прогой поинтереснее будет...

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 1 сентября 2007 12:27 · Поправил: DIMAIN New!
Цитата · Личное сообщение · #13

FrenFolio пишет:
Просто после распаковки еще пропатчить нужно.

Нет я имел ввиду без патча не будет, а на реальном софте к примеру можно црц32 (и не только) напихать в разные места... и правкой пары байт там не обойтись...
интересно без правки кто-нить распакует? да и есть еще варианты, не только этот call нопить...
Кста есть версия 1.1 этого унпакми, если кому интересно, могу выложить попозжа, сразу не стал выкладывать потому что было бы не интересно... да и разница не большая там, но просто занопить call не спасает...

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 1 сентября 2007 20:51 · Поправил: UsAr New!
Цитата · Личное сообщение · #14

[deleted]

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 1 сентября 2007 22:17 New!
Цитата · Личное сообщение · #15

UsAr пишет:
Новый мой анпакми

Незнаю что ты там намутил, но 50% цп это жестоко, да и такая надпись тоже не радует "Системе сушественно нехватает памяти...", у тя создаются непрерывно потоки, но походу не корректно убиваются, сдампил файл, получился 1.5м, дальше из за косяка не хочется ковырять...
з.ы. ковырял под VMware


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 1 сентября 2007 22:37 New!
Цитата · Личное сообщение · #16

UsAr
Да, чего ты явно перемудрил. У меня сразу же сжирается вся память. В итоге комп зависает...
Плюс понапихано куча анти-отладки + защита от дампа и т. д. Что там за прот у тебя?

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 1 сентября 2007 22:55 · Поправил: UsAr New!
Цитата · Личное сообщение · #17

[deleted]

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 2 сентября 2007 17:09 New!
Цитата · Личное сообщение · #18

чтобы подогреть интерес
Первые 5 распаковавших получат yzpack3, а первый кто напишет нормальную статью по распаковке исходники пакера.


Ранг: 500.5 (!)
Статус: Участник

Создано: 2 сентября 2007 17:33 New!
Цитата · Личное сообщение · #19

UsAr пишет:
Первые 5 распаковавших получат yzpack3

На тех же условиях, только вместо yzpack3 - Elemental Protector



{ Атач доступен только для участников форума } - Heavy.exe


Ранг: 500.5 (!)
Статус: Участник

Создано: 2 сентября 2007 17:42 New!
Цитата · Личное сообщение · #20

Smon пишет:
Heavy.exe

Да, почему то у последнего паблик Quick Unpack'а от Archer забавная реакция на мой анпакми

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 2 сентября 2007 18:20 New!
Цитата · Личное сообщение · #21

Smon пишет:
На тех же условиях, только вместо yzpack3 - Elemental Protector

не запускается
UsAr пишет:
чтобы подогреть интерес

Да там особо и ни чего сложного нет по сравнению с предыдущими ;) Запуск как svchost реально посмешил ;)


Ранг: 2006.0 (!!!!)
Статус: Модератор
retired

Создано: 2 сентября 2007 18:42 New!
Цитата · Личное сообщение · #22

Smon
Последний QU (не паблик, самый последний) просто запускает, но анпакми сам завершаеццо. Так что если что-то плохое было, больше нету. Хотя и не анпачит, по крайней мере без скриптов.


Ранг: 500.5 (!)
Статус: Участник

Создано: 2 сентября 2007 19:07 · Поправил: Smon New!
Цитата · Личное сообщение · #23

pavka пишет:
не запускается

К сожалению я так и не разобрался, в чём состоит та проблема с выделением памяти . На чистом (да и не очень) XP (SP1,SP2) работает, на 2000 тоже, на 2003 - аналогично (проверено более чем на десяти разных компах с Intel и AMD CPU), на висте - хз, скорей всего вряд ли, но точно не проверял...
Archer пишет:
Так что если что-то плохое было, больше нету.

Там был просто жесткий ребут, даже без бсода, практически через полсекунды после нажатия Full unpack, независимо от остальных опций


Ранг: 260.9 (наставник)
Статус: Участник
John Smith

Создано: 2 сентября 2007 21:04 New!
Цитата · Личное сообщение · #24

симпатично =) время было бы, покопался глубже. потом на досуге поковыряюсь =)

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 сентября 2007 06:56 New!
Цитата · Личное сообщение · #25

unpackme5 распакованое + скрипт для импорта
var iat_start
var iat_end
var eax_D
var eax_s
var check
var fp


ask "Enter start IAT"
cmp $RESULT,0
je quit
mov iat_start,$RESULT
ask "Enter end IAT"
cmp $RESULT,0
je quit
mov iat_end,$RESULT
loop:
cmp iat_start,iat_end
je quit
cmp [iat_start],0
je nextf
mov fp,[iat_start]
mov eax_d,[fp+1]
mov eax_s,[fp+6]
mov check,[fp+5]
and check,000000FF
cmp check,05
je a_d
cmp check,35
je x_r
sub eax_d,eax_s
mov [iat_start],eax_d
add iat_start,4
jmp loop
a_d:
add eax_d,eax_s
mov [iat_start],eax_d
add iat_start,4
jmp loop
x_r:
xor eax_d,eax_s
mov [iat_start],eax_d
add iat_start,4
jmp loop
nextf:
add iat_start,4
jmp loop
quit:
ret

{ Атач доступен только для участников форума } - dump_.rar

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 3 сентября 2007 16:14 New!
Цитата · Личное сообщение · #26

pavka, один импорт забыл восстановить, а так респект)

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 сентября 2007 16:22 New!
Цитата · Личное сообщение · #27

UsAr пишет:
один импорт забыл восстановить

Ага прозевал ;) Переделывать лень было ;)


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 30 сентября 2007 13:11 · Поправил: Flint New!
Цитата · Личное сообщение · #28

UsAr пять часов уже над ним сижу, че там в этих адресах происходит не вкурю
00850913 RDTSC
00850915 OR EAX,EAX
00850917 JE SHORT 0085097D
00850919 JMP SHORT 00850937
0085091B POP ESI
0085091C MOV ECX,ESI
0085091E ADD ESI,90C
00850924 CMP ESI,ECX
00850926 JB SHORT 0085093F ; Выходим из цикла на ксореный код (там получается мусор )
00850928 XCHG DWORD PTR DS:[ESI],EAX
0085092A XOR EAX,DWORD PTR SS:[EBP+24]
0085092D ADD EAX,DWORD PTR SS:[EBP+28]
00850930 XCHG DWORD PTR DS:[ESI],EAX
00850932 SUB ESI,4
00850935 JMP SHORT 00850924

Как правильно оно ксорится?

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 30 сентября 2007 13:18 New!
Цитата · Личное сообщение · #29

Flint
мусор может получаться потому что антиотладку неправильно обходишь, либо наоборот не обходишь совсем)


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 30 сентября 2007 13:26 New!
Цитата · Личное сообщение · #30

это я и сам знал )
В Olly Advanced есть такая фича "Anti-RDTSC (Driver-based)" но она чето не рулит.

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 30 сентября 2007 13:36 New!
Цитата · Личное сообщение · #31

Там глючный какой-то. В phantom'e должен быть более нормальный
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми

Видеокурс ВЗЛОМ