Русский / Russian English / Английский

Сейчас на форуме: rustavelli7, morgot (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 2 октября 2007 21:59 New!
Цитата · Личное сообщение · #2

flair пишет:
создает неудаляемые скрытые ключи в реестре?

Да удалить из реестра можно,способы разные.
В какую ветку реестра записи идут?

Ранг: 195.8 (ветеран)
Статус: Участник

Создано: 2 октября 2007 22:45 New!
Цитата · Личное сообщение · #3

NIKOLA пишет:
А вы не думали что, не криптор ключик создал, а может и файлик

Думали.И регмоном и файлмоном и всякой другой хернёй проверял,но такое чувство что файл девственно чистый,без разрешения в реестр не чего не пишет,файлы не трогает и вообще на нашем компе не установлен.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 3 октября 2007 01:03 New!
Цитата · Личное сообщение · #4

Djeck пишет:
И регмоном и файлмоном

И в лучшие времена,от них особого толку не было....
Шнырять по системе,по ходу бесполезно,параноей пахнет...
Надо сам криптор ковырять куды и чо он креатит,сцуко...


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 3 октября 2007 01:42 New!
Цитата · Личное сообщение · #5

flair пишет:
Вы что не знали что он создает неудаляемые скрытые ключи в реестре?Что то не помню что бы их удалял
Trial-Reset.


Удаляет. И TrashReg тоже

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 октября 2007 03:44 New!
Цитата · Личное сообщение · #6

Bronco пишет:
Шнырять по системе,по ходу бесполезно,параноей пахнет...
Надо сам криптор ковырять куды и чо он креатит,сцуко...

Отмониторьте КАМ ом все функи для работы с реестром

Ранг: -52.7 (нарушитель)
Статус: Участник

Создано: 3 октября 2007 06:45 New!
Цитата · Личное сообщение · #7

BroncoЧто бы конкретно ветку не помню.В этом разделе HKEY_USERS
Сейчас как раз нет этого пакера под рукой.Я стараюсь просто не использовать проги с этим пакером

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 3 октября 2007 15:45 New!
Цитата · Личное сообщение · #8

Bronco пишет:
Вообще с утилей RCI,намного легче стало реверсить криптор.


Посмотрел я более внимательно на работу утилиты RSI, и заметил следующее. Утилита снимает дамп памяти после распаковки всего кода в память машины. При этом, непереадресованные API в таблице IAT, эта утилита заменяет порядковыми номерами, и сохраняет только переадресованные API. Это не позволяет полностью восстановить таблицу IAT.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 октября 2007 17:05 New!
Цитата · Личное сообщение · #9

vnekrilov пишет:
Посмотрел я более внимательно на работу утилиты RSI

Увы видимо не очень внимательно ) Стоит еще раз посмотреть! Это практический уже автоанпакер ;) и снять некогда грозный криптор может пракический любой олух без особых хлопот


Ранг: 500.5 (!)
Статус: Участник

Создано: 3 октября 2007 17:48 New!
Цитата · Личное сообщение · #10

pavka пишет:
Стоит еще раз посмотреть! Это практический уже автоанпакер

+1

Посмотрел только что, попробовал на 2.3.9 Demo - распаковал без особых проблем, импорт в принципе можно и не восстанавливать, RSI мегареспект, первая паблик тулза для снятия криптора


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 3 октября 2007 19:57 New!
Цитата · Личное сообщение · #11

pavka пишет:
Это практический уже автоанпакер

Да пока с натяжкой,триал самого криптора он не лечит,добивать надо вручнуюно всё равно присоеденяюсь к:
Smon пишет:
RSI мегареспект

+1


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 3 октября 2007 22:54 New!
Цитата · Личное сообщение · #12

RSI - молодец !!! Когда то я создавал топик и мне помогали распаковать кое какую программку. Там нужно было восстанавливать часть спёртого кода. Утилита справилась на пять с плюсом. Ну а file corrupted можно добить вручную. Ещё бы кто разбор полиморфа написал...


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 3 октября 2007 23:03 New!
Цитата · Личное сообщение · #13

ToBad пишет:
Ещё бы кто разбор полиморфа написал...

Дык..куски кода то не маленькие,прыгает сцуко тудой-сюдой,
Кабы знать чо стырил,мож проще было бы востановить.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 3 октября 2007 23:49 New!
Цитата · Личное сообщение · #14

vnekrilov пишет:
При этом, непереадресованные API в таблице IAT, эта утилита заменяет порядковыми номерами, и сохраняет только переадресованные API.


Эт не моя тулза делала эт криптор так сначала распаковывает секции, затем он достает из внутреннего массива хеши и доп. инфу и на основании них вместо порядковых номеров заполняет IAT валидными ( не эмулируемыми ) адресами.

А насчет автоанпакера, то счас выложу...

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 6 октября 2007 17:25 New!
Цитата · Личное сообщение · #15

MilitaryMan
гы, у мну эта прога ваще не запускаеццо...=(
попробуй сам. оеп там вроже не сперто. держи:
OEP=00436483
IAT_START=0044C000 (RVA=4C000)
IAT_END=0044C378
IAT_SIZE=378

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 6 октября 2007 22:58 New!
Цитата · Личное сообщение · #16

На обменнике webfile.ru/1549109 я выложил статью "ExeCryptor v2.3.9 - Распаковка по vnekrilov (PrevedSMS v5.1)". В ней я подробно описал процесс ручной распаковки программы PrevedSMS v5.1, получение рабочего дампа памяти программы, который может работать на разных операционных системах, а также разобрал механизм работы криптора при выполнении украденных инструкций. Буду очень признателен за замечания, пожелания и критику.

К сожалению, я опять не могу отправить статью в раздел RAR-статьи, у меня опять обрывает связь. Если кто-то сможет, убедительная просьба отправить ее в раздел RAR-статьи. Весь необходимый материал для заполнения формы я приложил в файле readmy.txt.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 7 октября 2007 02:22 New!
Цитата · Личное сообщение · #17

vnekrilov пишет:
Буду очень признателен за замечания, пожелания и критику.

НормалЁк!!!
Хотя для поиска "рабочего ОЕР" дампить не обязательно.Хватает поскролить в секции кода,или в окне дампа саму табличку(Long->Address with ascii dump),и в запущенном под Ольгой оригинале.А если через "поиск инструкции",поискать вызов(call) на процедуру инит,то пару абзацев можно кильнуть.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 7 октября 2007 04:36 New!
Цитата · Личное сообщение · #18

vnekrilov пишет:
ExeCryptor v2.3.9 - Распаковка по vnekrilov (PrevedSMS v5.1)


Читаю. Bronco, я ужаснулся - зачем использовать такое кол-во хайдящих плагинов?


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 7 октября 2007 04:47 New!
Цитата · Личное сообщение · #19

Gideon Vi
Вообще-то я для хайда юзаю только ХайдеТулз.
А для хуков HideOD.dll и PhantOm.dll.
Остальные либы поленился кильнуть.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 7 октября 2007 05:23 New!
Цитата · Личное сообщение · #20

vnekrilov-у респекты, как всегда. Статья понравилась - в копилку.

Bronco пишет:
А для хуков HideOD.dll и PhantOm.dll


Самого плага под рукой нет - глянул на скрин. Разве фантом не перекрывает его по хукам?

Bronco пишет:
Остальные либы поленился кильнуть.


Лень - великая сила

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 7 октября 2007 05:46 New!
Цитата · Личное сообщение · #21

Bronco пишет:
Хотя для поиска "рабочего ОЕР" дампить не обязательно


Да, конечно, можно программу и не дампить. Но, намного удобнее работать с дампом запущенной программы. Хотя это моя личная точка зрения.

И, еще я хотел обратить внимание на следующее. В крипторе имеется инструкция (в программе PrevedSMS - это инструкция MOV BYTE PTR DS:[EAX+B28B80],0), которая является волшебной для восстановления украденных инструкций. Если найти эту инструкцию, а она выполняется после восстановления значений всех регистров, то, посмотрев на восстановленные регистры и код в дампе, очень легко определить, какую инструкцию украл пакер. Мне показалось, что я не сильно акцентировал внимание в статье на эту инструкцию. По большому счету, все остальные инструкции по сохранению значений регистров и их последующему восстановлению не столь важны, как эта инструкция. Эта инструкция завершает каждый цикл работы пакера по выполнению эмуляции украденной инструкции.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 7 октября 2007 05:55 · Поправил: Bronco New!
Цитата · Личное сообщение · #22

vnekrilov
Ну на самом деле это лишнее,способ поиска процедуры инит прокатывает на многих протах,кроме аспра и обсида.Главное запустить сабж под дебугером.Ставь на начало процедуры железяку,перезагружай,стартуй,прервёшься,ctrl+f9 (или alt+f9),и вылезешь к спёртым или реальному оер программы.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 7 октября 2007 06:08 New!
Цитата · Личное сообщение · #23

Gideon Vi пишет:
Разве фантом не перекрывает его по хукам?

Многие хуки конечно грамотней и "ровней" у Хела&Арчер.
Будет новый релиз фантома,наверно на него соскочу.Этот немного капризен...
А вообще...нужно для себя определить,какой прот чо юзает по антидебугу,и тогда картинка шире будет

Ранг: 195.8 (ветеран)
Статус: Участник

Создано: 8 октября 2007 00:26 New!
Цитата · Личное сообщение · #24

vnekrilov подскажи,а как ты сделал пиктограмки основных тулз у себя в Olly

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 8 октября 2007 03:23 New!
Цитата · Личное сообщение · #25

Djeck пишет:
подскажи,а как ты сделал пиктограмки основных тулз у себя в Olly


Использую plugin Olly TBar Manager v0.3. Он позволяет вынести значки самых нужных программ на свою панель.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 8 октября 2007 03:50 New!
Цитата · Личное сообщение · #26

vnekrilov пишет:
Мне показалось, что я не сильно акцентировал внимание в статье на эту инструкцию

Имхо зря! лучще вообще было сделать акцент на восстановлении кода , имхо конечно!
vnekrilov пишет:
Использую plugin Olly TBar Manager v0.3. Он позволяет вынести значки самых нужных программ на свою панель

У SnD есть маленькая прожка Snd bar имхо удобней

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 8 октября 2007 04:06 New!
Цитата · Личное сообщение · #27

pavka пишет:
У SnD есть маленькая прожка Snd bar имхо удобней


Где можно ее взять?

Ранг: 195.8 (ветеран)
Статус: Участник

Создано: 8 октября 2007 04:35 New!
Цитата · Личное сообщение · #28

pavka пишет:
У SnD есть маленькая прожка Snd bar имхо удобней

pavka если у тебя есть скинь плиз

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 8 октября 2007 05:11 New!
Цитата · Личное сообщение · #29

rapidshare.com/files/61024494/SND_BAR.rar

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 8 октября 2007 09:06 New!
Цитата · Личное сообщение · #30

pavka

Спасибо

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 9 октября 2007 22:14 · Поправил: sniperZ New!
Цитата · Личное сообщение · #31

сегодня встретил в крипторе (прога написана на сях):

push edi ; /lParam=0
push dump_.00424D7D ; |pDlgProc = dump_.00424D7D
push eax ; |hOwner=NULL
push esi ; |pTemplate=00A87238 <------секция криптора!
push dword ptr ss:[ebp+10] ; |hInst=400000
call dword ptr ds:[<&user32.Crea>; \CreateDialogIndirectParamA

причем апи вызывается из секции кода,а дальше апи в какой-то момент передаёт управление в секцию криптора, где он и творит всякую херню. йа так понял нужно восстановить pTemplate. кто-нибудь знает как???
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Видеокурс ВЗЛОМ