Русский / Russian English / Английский

Сейчас на форуме: parfetka, _MBK_ (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x.
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 32 . 33 . >>
Посл.ответ Сообщение

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 3 октября 2007 23:55 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

{ Атач доступен только для участников форума } - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 10 января 2008 22:58 New!
Цитата · Личное сообщение · #2

Okay, if it works - what Olly are you using? It has to be my Olly then..


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 11 января 2008 00:27 · Поправил: kioresk New!
Цитата · Личное сообщение · #3

SunBeam,

don't know if you saw earlier post about API functions/hashs or not. If not — then take a look and grab list of functions/hashs there:

Understanding what API-functions are used in EXECryptor http://kioresk.wordpress.com/2007/10/20/execryptor_api_hashs/


regarding Olly, i'm using:

1. Windows XP SP2 (usually under VMware)
2. original OllyDbg patched with Hellspawn's patch http://hellspawn.nm.ru/works/patch_for_olly.zip (Zip, 3,5 kB)
3. modified PhantOm 1.0.4 plugin http://www.box.net/shared/8eabhv5sre (7-Zip, 42 kB)

Patch not needed with new version of PhantOm, because it hides OllyDbg window.
Sometimes programs don't run under debugger with SHIFT + F9, but they run normally with F9.

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 11 января 2008 07:33 New!
Цитата · Личное сообщение · #4

@kioresk: Good one ;) Runs in any Olly, it's just I got used with Shift+F9. And for this application it doesn't want to work :P I used F9 as you said, did the trick.. Cheers


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 11 января 2008 10:04 · Поправил: Maximus New!
Цитата · Личное сообщение · #5

SunBeam
I have not seen the message about clock manipulation.
My variant + patch RSI
rapidshare.com/files/82890124/FrameShow_1.rar.html
screenshot (date=2009 year)


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 11 января 2008 10:23 · Поправил: Maximus New!
Цитата · Личное сообщение · #6

Anyplace-Control 4.3 under debugging
img168.imageshack.us/img168/9270/qq3fh9.jpg

Мде, мутный какой то буржуйчег (((

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 11 января 2008 10:33 New!
Цитата · Личное сообщение · #7

Maximus
Вот че-то и у меня такое мнение сложилось

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 11 января 2008 10:37 · Поправил: SunBeam New!
Цитата · Личное сообщение · #8

LOL. Maximus, I tested your file. I get same error (am on XP SP2). Weird!! Also, you don't need all Phant0m options enabled, just the ones I mentioned:



EDIT: My DNS is crazy. Couldn't see your imageshack picture.. Now I managed to (the one that says Mr. Rex in About window). I managed to do that already with RSI's patch. I'm not looking for ways to register the application. I'm more interested in figuring a way to patch the clock manipulation error If you register the program, then it won't pass through that section of code, thus no clock manipulation errors..


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 11 января 2008 11:02 New!
Цитата · Личное сообщение · #9

SunBeam i tested this file on 2 systems with XP SP2 and have not seen errors.
Все, чувствую я вряд ли ему помогу))...

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 11 января 2008 11:04 · Поправил: SunBeam New!
Цитата · Личное сообщение · #10

Heh. You've helped me alright ;) Don't say that. If you register the application as RSI posted, the error NEVER appears, if you change clock! That's why you don't have any errors. Try not to register it (clean key with TrialReset) and change clock. You'll see error appears. I want to patch only the error (hoping to learn something about eC) and not register the app. My goal is learning, not cracking this soft

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 11 января 2008 14:34 · Поправил: SunBeam New!
Цитата · Личное сообщение · #11

Had to introduce you guys to my team

Our Russian friends have pretty good skills In fact, they are like the best in EXECryptor. ev1l^4 from tPORt is Russian and he's done mostly inlines. r99 and pavka are also good at this, as well at ASProtect. I know Maximus (Mr. Rex) from his Anyplace Control crusades (old days). Now he's gotten addicted to EC aswell smile.gif I've met RSI just recently (3-4 months ago) when stumbling upon his unpacker. Given he's implemented most of the tricks in his unpacker, I take it he's a good EC reverser as well as the others

Little intro of our friends Cheers


Props !

Ранг: 2.0 (гость)
Статус: Участник

Создано: 21 января 2008 02:51 · Поправил: BaksoGen2 New!
Цитата · Личное сообщение · #12

Сразу хочется сказать - Огроменное спасибо RSI за его труды.

А теперь о моей проблеме:
Есть прога завернутая в ExeCryptor 2.4.1
rapidshare.com/files/85296164/hrefer.zip.html

При попытках ее распаковать с помощью Unpacker ExeCryptor 2.x.x. version 1.0 RC1
стабильно получаю ошибку



- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: D:\x4\Hack\Hrefer\hrefer.exe
Create Process... PID = 0x21C ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Exit Process... Done

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 21 января 2008 03:12 · Поправил: Assass1n New!
Цитата · Личное сообщение · #13

BaksoGen2
Убери галку Reconstruct Dynamic Import.

Ранг: 2.0 (гость)
Статус: Участник

Создано: 21 января 2008 03:21 New!
Цитата · Личное сообщение · #14

Assass1n Перепробовал включение/выключение почти всех галок
Результат прежний Тот что на скрине.

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 21 января 2008 04:00 New!
Цитата · Личное сообщение · #15

Assass1n пишет:
Убери галку Reconstruct Dynamic Import.

там импорт динамический..
BaksoGen2
распаковать хрефер нет проблем, но тебе врятли кто может, ибо софт такого рода фтопку..

p.s. мой iat rebuilder в очередной раз порвал импорт у криптора..

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 21 января 2008 04:33 New!
Цитата · Личное сообщение · #16

sniperZ пишет:
распаковать хрефер нет проблем, но тебе врятли кто может, ибо софт такого рода фтопку..

Засунул в анпакер, вот делов то...
BaksoGen2
Понятия не имею, что ты там с галками мутил, но у меня всё нормально распаковывается и запускается.
В атаче распаковынный и лог

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 21 января 2008 04:35 · Поправил: Assass1n New!
Цитата · Личное сообщение · #17

Атачи объявили революцию в очередной раз, поэтому залил на дамп
Файл успешно закачан: dump.ru/files/n/n0556709487/
Номер файла: n0556709487

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 21 января 2008 04:57 New!
Цитата · Личное сообщение · #18

Assass1n пишет:
Понятия не имею, что ты там с галками мутил, но у меня всё нормально распаковывается и запускается.

хаха, если ты не перестроил импорт, работать будет только у тебя..

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 21 января 2008 05:19 New!
Цитата · Личное сообщение · #19

sniperZ
Не хочу, да и не буду с тобой выяснять отношения кто прав, а кто виноват. Человек попросил посмотреть - я посмотрел и сделал в меру своих возможностей, ты его мягко, но послал. Если ты считаешь, что файл не запустится - значит он не запустится. А кому надо - те скачают и проверят кто прав, а кто виноват.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 21 января 2008 10:49 New!
Цитата · Личное сообщение · #20

BaksoGen2
У тебя случаем на Win 2K стоит, а то как-то пару раз на ней видел в анпакере такую же картину.

Попробовал у себя на XP, вот результат ( как и говорил Assass1n )

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Downloads\hrefer\hrefer.exe
Create Process... PID = 0xBDC ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "yoyjztuv" - YES
Unpacking section "widi8pa." - YES
Unpacking section "78xk.6b7" - YES
Set memory breakpoint for Extra code section... Done
Wait...
Not Found File CRC
Not Found Memory CRC
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: 95D000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [5328B7].
Not Found pointers
Patch message <Debugger Detected> (Method 3): OK
IAT Start: 0xD591CC
IAT End: 0xD599F8
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... Success!
Finding Compiler: Borland Delphi
RVA OEP: 153C0C
Exit Process... Done

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 21 января 2008 10:54 New!
Цитата · Личное сообщение · #21

Да вот еще что! счас почти доделал алго "создания вечного триала" ( т.е. это когда юзается защита криптра с его окном регистрации ), но нужно побольше таких прог, для проверки.

тип Family2007 про которую PE_Kill как-то статью писал.

поэтому если кто видел такие проги, то кидайте ссылки ( сюда наверное не надо, чтобы не захломлять, поэтому в ЛС или на мыло ( rs1@tut.by ) ).


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 21 января 2008 19:18 New!
Цитата · Личное сообщение · #22

RSI мож я немного не в теме, а зачем для:
RSI пишет: когда юзается защита криптра с его окном регистрации
нужен вечный триал, анпак + восстановление нескольких байт с ОЕП и все...

Ранг: 2.0 (гость)
Статус: Участник

Создано: 21 января 2008 23:00 New!
Цитата · Личное сообщение · #23

RSIУ меня Win2K3 SP2... Да и распаковывать я пытался в RC1.
Спасибо общеизвесному товарищу с этого форума, помогающему в распаковке EXECrypt и Asprot
По логам приложенным к распакованным файлам вижу что он использовал туже версию анпакера что и я... Может действительно есть ньюансы работы анпакера в различных системах?

Ранг: 39.7 (посетитель)
Статус: Участник

Создано: 22 января 2008 03:49 New!
Цитата · Личное сообщение · #24

Может и мне кто подскажет...
Patch file crc check - вылетает
Reconstruct Dynamic Imports - вылетает

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Copy / Past original IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Program Files\Data Realms\Cortex Command\Cortex Command.exe
Create Process... PID = 0xFB0 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "7ft69nrw" - YES
Unpacking section "i86cva.h" - YES
Fix Memory CRC... Done
Saving Dump... Done
RVA IAT: 72E2C
New TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [472EE0].
Not Found pointers
*Copy / Past Original IAT... Done
Patch message <Debugger Detected> (Method 1): OK
Finding Compiler: Not found
RVA OEP: Not Found
*New OEP: 0729E3
Exit Process... Done
дальше вылетает R6034
cant load msvcp80.dll - file corrupt

если руками:
OEP: 000729E3
IATRVA: 00123020
IATSize: 00000598
вылетает R6034 и всё.




{ Атач доступен только для участников форума } - iat.rar


Ранг: 1121.4 (!!!!)
Статус: Участник

Создано: 22 января 2008 04:11 New!
Цитата · Личное сообщение · #25

BaksoGen2 пишет:
Может действительно есть ньюансы работы анпакера в различных системах?


Есть. Удали всё проактивное, типа аутпоста и прочих хипсов

Ранг: 617.3 (!)
Статус: Участник

Создано: 22 января 2008 04:33 New!
Цитата · Личное сообщение · #26

s2003r пишет:
R6034

А ты попробуй переименовать оригинальный файл и увидишь такую же табличку. Это болезнь компилятора сишного.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 22 января 2008 10:36 New!
Цитата · Личное сообщение · #27

s2003r
А где ссылка а файл?

Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 января 2008 11:59 New!
Цитата · Личное сообщение · #28

RSIДве проги ( т.е. это когда юзается защита криптра с его окном регистрации )
link_deleted_by_forum_engine/files/3183159 и link_deleted_by_forum_engine/files/3183195 две версии FastSatFinder.

Ранг: 39.7 (посетитель)
Статус: Участник

Создано: 22 января 2008 12:18 New!
Цитата · Личное сообщение · #29

RSI пишет:
А где ссылка а файл?

не думал что заинтересует
www.datarealms.com/downloads/ccsetup.exe

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 22 января 2008 12:32 New!
Цитата · Личное сообщение · #30

mszeus
Спасибо конечно, но это не совсем то. там юзаются АПИ криптора, а окно рисуется самой прогой и там не триал, а ограничение на время ( вроде бы 59 мин. )

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 22 января 2008 14:59 New!
Цитата · Личное сообщение · #31

RSI
У китайцев была тема по триалу криптора от шу И вроде как в последней версии после выхода уже сделали фикс
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 32 . 33 . >>
 eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x.
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ