Русский / Russian English / Английский

Сейчас на форуме: ajax, HaRpY (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 13 октября 2007 23:41 New!
Цитата · Личное сообщение · #2

sniperZ пишет:
почему он падает на CreateDialogIndirectParamA

rf-cheats.ru/forum/showthread.php?t=1144&page=1


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 15 октября 2007 14:37 New!
Цитата · Личное сообщение · #3

Было бы интересно пообщаться с людьми с опытом разбора полиморфа. В частности, на данный момент интересует восстановление кода, имеющего ветвления (циклы, условные переходы и т.д.).

Просьба знающим людям связаться со мной с помощью пм.

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 16 октября 2007 00:08 · Поправил: sniperZ New!
Цитата · Личное сообщение · #4

Bronco
вот онпукнул гуи. посмотрите работу на разных осях.
htt_p://dump.ru/files/n/n5436321856/
но мну кажется, что аффтар перестал выставлять фсе галки на прот, т.к. нах ему показывать всю мощь?

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 16 октября 2007 00:32 · Поправил: tempread New!
Цитата · Личное сообщение · #5

sniperZ
Не заработала анпакнутая версия.
Windows Xp Sp2 без обновлений

При включеных ексепшенах в ольке тормозим вот тут:

00518307 00E9 ADD CL,CH
00518309 C019 07 RCR BYTE PTR DS:[ECX],7
0051830C 00F3 ADD BL,DH
0051830E CC INT3
0051830F - E9 E8D4FCFF JMP execrypt.004E57FC --------------------->
00518314 0BD8 OR EBX,EAX
00518316 890424 MOV DWORD PTR SS:[ESP],EAX
00518319 E8 174F0300 CALL execrypt.0054D235

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 16 октября 2007 09:05 · Поправил: RSI New!
Цитата · Личное сообщение · #6

tempread
Мля! ставь не нужные в игнор, у тяж он брякнулся на 0051830E CC INT3
Обычно нужно пропускать:

1) 0x80000003
2) 0x80000004
3) 0xC000001E
4) 0xC0000005


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 16 октября 2007 11:37 New!
Цитата · Личное сообщение · #7

sniperZ,

это как это ты умудрился сделать дамп для всех осей, если внутренний импорт криптора заполнен адресами?

Ранг: 16.4 (новичок)
Статус: Участник

Создано: 16 октября 2007 12:27 · Поправил: troya New!
Цитата · Личное сообщение · #8

r99 пишет:
единственный резон - почему не выкладывать анпакер к последнему криптору - проги еще не появились
им покрытые

Соло на клавиатуре 9.0 например, анпакер не берет, запрос отправлен в соответствующую ветку

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 16 октября 2007 13:27 · Поправил: tempread New!
Цитата · Личное сообщение · #9

RSI
В игнор ексепшены конечто же ставил - при старте в MessageBox'е Оля говорит,что заоблачный EIP
Неужели разпакованный вариант у всех работает?


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 16 октября 2007 13:30 New!
Цитата · Личное сообщение · #10

tempread мне не понятно, ты хочешь в отладчике открыть, или запустить гуи.
если первое то sniperZ вроде не обещал что прога откроется в отладчике без проблем

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 16 октября 2007 13:56 · Поправил: tempread New!
Цитата · Личное сообщение · #11

Maximus
Я попробовал запустить просто в Винде - прога вылетела. Тогда я попробовал запустить в отладчике, и выдал инфу, мож кто нибудь что нибудь посоветует мне или sniperZ'у

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 16 октября 2007 14:30 · Поправил: sniperZ New!
Цитата · Личное сообщение · #12

tempread
у меня все запускается и под ольгой и под виндой...
kioresk пишет:
это как это ты умудрился сделать дамп для всех осей, если внутренний импорт криптора заполнен адресами?

мля, вроде дампил после распаковки секций, хз щас гляну...

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 16 октября 2007 16:27 New!
Цитата · Личное сообщение · #13

вот, пофиксеный дамп. потестите на разных осях...
dump.ru/files/n/n9554011202/
kioresk
мну дампил на таком интересном месте:
006DD74B C605 DE5A6E00 50 mov byte ptr ds:[6E5ADE],50
006DD752 C605 DF5A6E00 68 mov byte ptr ds:[6E5ADF],68
006DD759 C605 E45A6E00 E9 mov byte ptr ds:[6E5AE4],0E9
006DD760 C605 73E26D00 E8 mov byte ptr ds:[6DE273],0E8
006DD767 C605 487E6E00 87 mov byte ptr ds:[6E7E48],87
006DD76E C605 E0096E00 57 mov byte ptr ds:[6E09E0],57
006DD775 C605 E1096E00 9C mov byte ptr ds:[6E09E1],9C
006DD77C C605 E2096E00 68 mov byte ptr ds:[6E09E2],68
006DD783 C605 E7096E00 E8 mov byte ptr ds:[6E09E7],0E8
006DD78A C605 EB176E00 67 mov byte ptr ds:[6E17EB],67
006DD791 C3 retn <<<------------------------------дампим тут

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 16 октября 2007 16:58 New!
Цитата · Личное сообщение · #14

на вин 2000

rapidshare.com/files/62962564/1.JPG.html

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 16 октября 2007 18:27 New!
Цитата · Личное сообщение · #15

sER, мля значит ещё раньше надо дампить...

Ранг: 63.1 (постоянный)
Статус: Участник

Создано: 16 октября 2007 19:02 New!
Цитата · Личное сообщение · #16

Как опрокодывалсz, так и опрокидывается (XP SP2)


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 16 октября 2007 22:03 New!
Цитата · Личное сообщение · #17

Мну дампил тута:
00406EBC /$ 50 PUSH EAX<------самое оно
00406EBD |. 6A 00 PUSH 0 ; /pModule = NULL
00406EBF |. E8 F8FEFFFF CALL <JMP.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
00406EC4 |. BA 08414D00 MOV EDX,dumped.004D4108
00406EC9 |. 52 PUSH EDX
00406ECA |. 8905 DC744D00 MOV DWORD PTR DS:[4D74DC],EAX
00406ED0 |. 8942 04 MOV DWORD PTR DS:[EDX+4],EAX
00406ED3 |. C742 08 00000000 MOV DWORD PTR DS:[EDX+8],0
00406EDA |. C742 0C 00000000 MOV DWORD PTR DS:[EDX+C],0
00406EE1 |. E8 8AFFFFFF CALL dumped.00406E70
00406EE6 |. 5A POP EDX
00406EE7 |. 58 POP EAX
00406EE8 |. E8 3FCBFFFF CALL dumped.00403A2C
00406EED \. C3 RETN

,и не парился с поиском ОЕР,тупо дописал 4-5 инструкций

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 17 октября 2007 17:45 New!
Цитата · Личное сообщение · #18

Bronco
гг, а надо дампить тут:
005CD176 AC lods byte ptr ds:[esi]
005CD177 D0E8 shr al,1
005CD179 80F8 74 cmp al,74
005CD17C 75 0E jnz short EXECrypt.005CD18C
005CD17E 8B06 mov eax,dword ptr ds:[esi]
005CD180 0FC8 bswap eax
005CD182 01C8 add eax,ecx
005CD184 8906 mov dword ptr ds:[esi],eax
005CD186 83C6 04 add esi,4
005CD189 83E9 04 sub ecx,4
005CD18C 49 dec ecx
005CD18D ^ 7F E7 jg short EXECrypt.005CD176
005CD18F 59 pop ecx <=================дампим
005CD190 5E pop esi
005CD191 C3 retn


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 17 октября 2007 20:13 New!
Цитата · Личное сообщение · #19

sniperZ
Ну во первых,ты его ещё не крякнул по полной,а только вскрыл...
Толку то от пустой болванки,стартущей на разных осях?
Во вторых,сами себе приключнения ищем,распространяя эту гадость!!!!
По консоли глянул,действительно на Фантомку замахнулись:
0046BF94 MOV EAX,EXECrypt.0048B79C ASCII "\.\SICE"
0046BFA5 MOV EAX,EXECrypt.0048B7A8 ASCII "\.\NTICE"
0046BFB6 MOV EAX,EXECrypt.0048B7B4 ASCII "\.\TRW"
0046BFC7 MOV EAX,EXECrypt.0048B7BC ASCII "\.\STRACE"
0046BFD8 MOV EAX,EXECrypt.0048B7E0 ASCII "\.\SYSERBOOT"
0046C3B4 PUSH EXECrypt.00400000 ASCII "MZP"
0046CA9A MOV EAX,EXECrypt.0048B7F0 ASCII "\.\OLLYBONE"
0046CAAB MOV EAX,EXECrypt.0048B800 ASCII "\.\FRDTSC"
0046CABC MOV EAX,EXECrypt.0048B80C ASCII "\.\FRDTSC0"
0046CACD MOV EAX,EXECrypt.0048B818 ASCII "\.\EXTREMEHIDE"
0046CCC0 MOV EAX,EXECrypt.0048B7C8 ASCII "\.\REGMON"
0046CCD1 MOV EAX,EXECrypt.0048B7D4 ASCII "\.\FILEMON"
0046CCE2 MOV EAX,EXECrypt.0048B828 ASCII "\.\KSECDD"
0046DB42 MOV EAX,EXECrypt.0048B834 ASCII "HARDWARE\DESCRIPTION\System"
0046DB84 MOV EAX,EXECrypt.0048B850 ASCII "SystemBiosDate"
0046DC00 MOV EAX,EXECrypt.0048B860 ASCII "SystemBiosVersion"
0046DE6A MOV EAX,EXECrypt.0048B77C ASCII "Clock manipulation detected!"
Не разбирал тока что это сервисы,или чо то другое?


Ранг: 500.6 (!)
Статус: Участник

Создано: 17 октября 2007 21:21 New!
Цитата · Личное сообщение · #20

Bronco пишет:
0046BF94 MOV EAX,EXECrypt.0048B79C ASCII "\.\SICE"
0046BFA5 MOV EAX,EXECrypt.0048B7A8 ASCII "\.\NTICE"
0046BFB6 MOV EAX,EXECrypt.0048B7B4 ASCII "\.\TRW"
0046BFC7 MOV EAX,EXECrypt.0048B7BC ASCII "\.\STRACE"
0046BFD8 MOV EAX,EXECrypt.0048B7E0 ASCII "\.\SYSERBOOT"
0046C3B4 PUSH EXECrypt.00400000 ASCII "MZP"
0046CA9A MOV EAX,EXECrypt.0048B7F0 ASCII "\.\OLLYBONE"
0046CAAB MOV EAX,EXECrypt.0048B800 ASCII "\.\FRDTSC"
0046CABC MOV EAX,EXECrypt.0048B80C ASCII "\.\FRDTSC0"
0046CACD MOV EAX,EXECrypt.0048B818 ASCII "\.\EXTREMEHIDE"
0046CCC0 MOV EAX,EXECrypt.0048B7C8 ASCII "\.\REGMON"
0046CCD1 MOV EAX,EXECrypt.0048B7D4 ASCII "\.\FILEMON"
0046CCE2 MOV EAX,EXECrypt.0048B828 ASCII "\.\KSECDD"


Это дровишки.

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 17 октября 2007 21:26 · Поправил: sniperZ New!
Цитата · Личное сообщение · #21

Bronco
ога, ещё проверки после CreateFileA в открытым виде валяются...типа:
cmp eax,-1
jne label

Bronco пишет:
Ну во первых,ты его ещё не крякнул по полной,а только вскрыл...

а ты хочешь рег. алго раскопать?


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 18 октября 2007 00:49 New!
Цитата · Личное сообщение · #22

Во блин,как малые дети,всё в рот тянем.
Качнул вроде с этой темы,эту( [webfile.ru]_crack.rar )херню,запустил,и чуть в аут не ушёл.
"Комп заблокирован,отправте SMS"
Удалили что ли пост уже?
Оперативно однако...
Кто нить отправлял ему смс-ку?
В принципе не страшная херня,с ВынПЕ и ASWREGED вопрос решаем.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 18 октября 2007 01:01 New!
Цитата · Личное сообщение · #23

NIKOLA пишет:
Это дровишки.

То что дровишки понятно
Я имел ввиду что криптор записи сервисов в реестре сканирует по ходу.
sniperZ
А что нужно?


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 18 октября 2007 02:12 New!
Цитата · Личное сообщение · #24

Bronco пишет:
Я имел ввиду что криптор записи сервисов в реестре сканирует по ходу.


угу

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 18 октября 2007 04:10 New!
Цитата · Личное сообщение · #25

sniperZ пишет:
гг, а надо дампить тут:
005CD176 AC lods byte ptr ds:[esi]
005CD177 D0E8 shr al,1
005CD179 80F8 74 cmp al,74
005CD17C 75 0E jnz short EXECrypt.005CD18C
005CD17E 8B06 mov eax,dword ptr ds:[esi]
005CD180 0FC8 bswap eax
005CD182 01C8 add eax,ecx
005CD184 8906 mov dword ptr ds:[esi],eax
005CD186 83C6 04 add esi,4
005CD189 83E9 04 sub ecx,4
005CD18C 49 dec ecx
005CD18D ^ 7F E7 jg short EXECrypt.005CD176
005CD18F 59 pop ecx <=================дампим
005CD190 5E pop esi
005CD191 C3 retn

Хм.. какие основания именно тут

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 18 октября 2007 09:45 · Поправил: sniperZ New!
Цитата · Личное сообщение · #26

pavka
потрейсь, посмотри, тут секции ещё не инициализированы....

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 18 октября 2007 11:28 · Поправил: sniperZ New!
Цитата · Личное сообщение · #27

вот, например, смотри, что следует после этого цикла:

0058665B mov byte ptr ds:[eax],0C3 //eax=005745C0
00523361 mov byte ptr ds:[eax],0C3 //eax=00532864
004EC1AF mov dword ptr ds:[58748C],eax // eax=kernel32.GetModuleHandleA
004E0FD2 mov dword ptr ds:[58749C],eax //eax=kernel32.7C800000
0052E2C0 mov dword ptr ds:[587460],eax //eax=ntdll.7C900000

там ещё много чего интерестного делается, поставь бряку на секцию кода проги и криптора и потрейсь...


Ранг: 102.8 (ветеран)
Статус: Участник

Создано: 18 октября 2007 15:26 New!
Цитата · Личное сообщение · #28

r99 пишет:
единственный резон - почему не выкладывать анпакер к последнему криптору - проги еще не появились
им покрытые


уже появились.

_http://www.stvsoft.com/download.php?file=SensorsViewPro31Setup.exe
1,9 мб

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 18 октября 2007 16:51 New!
Цитата · Личное сообщение · #29

ManHunter ну и фиг с ними, тем кто снимал ЕС анпакер и так не нужен...

Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 3 (Private)

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Program Files\SensorsViewPro31\sviewpro.exe
Create Process... PID = 0x3E8 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "zxnxgmr8" - YES
Unpacking section "bxayx683" - YES
Unpacking section "h7mboe38" - YES
Unpacking section "5m14vcdt" - YES
Set memory breakpoint for Extra code section... Done
Fix File CRC at [625C10]... Done
Not Find Memory CRC
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
Correct TLS...
TLS Directory: 154000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [5024AD].
Not Found pointers
Patch message <Debugger Detected> (Method 1):
[6411B7] = Write 0xC3
IAT Start: 0x54F1E0
IAT End: 0x54FA54
Check Import table for emulate API...Done -> Nothing
Finding Compiler: Borland Delphi
RVA OEP: 12F498
Fix IAT in Dump... Success!
Exit Process... Done

ManHunter пишет:
уже появились.


И довольно много уже народа обновило свои продукты!


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 18 октября 2007 19:59 New!
Цитата · Личное сообщение · #30

RSI пишет:
И довольно много уже народа обновило

Надо с аффтара процент снимать за продвижение обновы...

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 18 октября 2007 21:11 · Поправил: sniperZ New!
Цитата · Личное сообщение · #31

гы, щас relayer заходил на форум...
йа его в списке видел, наверно смотрел новости с поя боя...
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Видеокурс ВЗЛОМ