eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rmn (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 32 . 33 . >>
Посл.ответ Сообщение

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 3 октября 2007 23:55 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

{ Атач доступен только для участников форума } - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 6 октября 2007 13:47 New!
Цитата · Личное сообщение · #2

Гуру, так кто сможет поиметь это: Satfinder http://www.satcore.info/files/FSF2.2.9_Setup.exe
Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 октября 2007 14:10 New!
Цитата · Личное сообщение · #3

Djeck пишет:
RSI первый облом
Прога Direct WAV MP3 Splitter


Читай внимательно readme.txt, я ее распаковывал, все ОК, и не надо импорт восстанавливать. Там таблица ваще не спертая и даже не динамическая, поэтому надо просто снять галку Reconstruct Dinamic Import и все бут сразу ОК.

Bronco
Спасиб! попробую разобраться, если бут работать то прикручу


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 6 октября 2007 20:08 New!
Цитата · Личное сообщение · #4

RSI
Решил протестить твой анпакер...
на игрушке Magic Tetcolor.

При распакрвке убрал галочки:
"Patch message "Debugger Detected"
"Cut last sections"
"Reconstruct Dynamic Import"
"Disabled Dynamic Import"
"Find VM OEP"
"Fix Dump -> ImpREC.dll"

вот лог.
Create Process...
PID = 0x348 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "8c1htc21" - YES
Unpacking section "2fpxr2pl" - YES
Unpacking section "vzc0etn5" - YES
Set memory breakpoint for Extra code section... Done
Find and Correct CRC... Done
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
Correct TLS... TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA: Not Found
Restore Original IAT... Done
Exit Process... Done

Также пробовал другие варианты включения/выключены галочек..
Распакованный файл не запускается и не выдает никакой ошибки
(при двойном щелчке на него). Он даже в процессах не появляется...
Могу прикрепить...весит около 900 кб..

P.S. у меня windows 2000 + SP4

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 6 октября 2007 20:30 New!
Цитата · Личное сообщение · #5

Mavlyudov пишет:
Могу прикрепить...весит около 900 кб..

не "могу",а прикрепляй. ща онпакнем...=)

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 октября 2007 21:24 New!
Цитата · Личное сообщение · #6

Mavlyudov
Выкладывай. но все равно возникает вопрос, так на всякий случай, ты внимательно читал readme.txt

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 октября 2007 23:13 New!
Цитата · Личное сообщение · #7

MilitaryMan пишет:
Гуру, так кто сможет поиметь это: Satfinder
Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44


Итак все там ок анпакается.

Значит:
1) В анпакере выставляй все галки кроме: Disabled Dynamic Import, Find VN OEP, Fix Dump...
2) Жми Unpack, когда появится сообщение, не закрывая его - бери ImpREC 1.4.x и вводи туда:
RVA OEP: 36483
RVA IAT: 4C000
SIZE IAT: 378
После прикручивай полученный импорт к дампу. на этом распаковка закончена.

3) Чтобы обойти внутреннюю защиту проги ( тип когда вылетает ошибка при запуске ),
открой распакованный вариант в любом хекс редакторе, можно и ольке и вбей в эти ячейки

адреса:

MOV EAX,FastSatf.0043A332
MOV DWORD PTR DS:[46CA00],EAX
MOV DWORD PTR DS:[46CA04],FastSatf.00439A2E
MOV DWORD PTR DS:[46CA08],FastSatf.004399EC
MOV DWORD PTR DS:[46CA0C],FastSatf.00439A20
MOV DWORD PTR DS:[46CA10],FastSatf.00439996
MOV DWORD PTR DS:[46CA14],EAX
MOV DWORD PTR DS:[46CA18],FastSatf.0043A2AC
MOV DWORD PTR DS:[46CA1C],FastSatf.004399AC
MOV DWORD PTR DS:[46CA20],FastSatf.00439916
MOV DWORD PTR DS:[46CA24],FastSatf.004398A5

После этого все будет работать без проблем.

4) Если мешают треды с антиотладкой, то впиши:

[63bd6e] = 0xC3
[6bd301] = 0x00

Все! анпакер тут не причем, т.к. эт собственная защита проги ;)

З.Ы. А ломай уже сам!

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 6 октября 2007 23:30 New!
Цитата · Личное сообщение · #8

RSI может и не в тему,но со временем вот это:
RSI пишет:
В анпакере выставляй все галки кроме

Надо как то автоматизировать.Ибо немного заёбывает ставить\снимать галки.Я имею ввиду оставить самый урезанный минимум.Например как в стрипере к аспру и армадилло.Я понимаю,что это только первый релиз,но ИМХО к этому надо стремиться.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 октября 2007 23:35 New!
Цитата · Личное сообщение · #9

Djeck
Ну ввобще-то опции специально выносились отдельно чтобы можно было отключать то че не надо или то че плохо работает. Я итак оставил нужный набор, если ты запустишь бету и посмотришь что там из того что я выбрал отличаетс, то увидишь тока 2 частные опции. Как в этом говне можно что-то автоматизировать, эт тебе и ни аспр и ни арма, где код остается нормальный.

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 6 октября 2007 23:52 New!
Цитата · Личное сообщение · #10

RSI пишет:
Как в этом говне можно что-то автоматизировать, эт тебе и ни аспр и ни арма, где код остается нормальный.

Впринципе я с тобой согласен и тоже думал об этом.Конечно понажимать галку не вызывает ни какой проблемы,тем более в любом случае это быстрее чем вручную распаковывать.Просто я анпакнул распаковщиком десяток прог и опции у меня впринципе не сильно меняются.Вот например опция Cut last section у меня вообще не пашет,поэтому постоянно в отключке.Вообщем направление у тебя правильное,но только умаляю сделай в следующем релизе drag-drop.Я тебе за это 2 раза спасибо скажу


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 7 октября 2007 01:06 · Поправил: Mavlyudov New!
Цитата · Личное сообщение · #11

sniperZ пишет:
не "могу",а прикрепляй. ща онпакнем...=)

вот
Сам файл http://www.zerowaitingtime.com/28529-download-TetcolorSetup.rar
Зеркала:
1 http://cocoshare.cc/1096919505/TetcolorSetup.rar
2 http://meetfile.com/files/37718/TetcolorSetup.rar.html
3 http://slil.ru/24945276
4 http://ifolder.ru/3626638
последняя сылка это установочный exe файл..До этого были rar. На всякий случай..мало ли, будет битый архив..
RSI пишет:
но все равно возникает вопрос, так на всякий случай, ты внимательно читал readme.txt

Читал несколько раз...правда у меня болела голова...


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 7 октября 2007 02:30 New!
Цитата · Личное сообщение · #12

Mavlyudov пишет:
Читал несколько раз

Хоть читай,хоть не читай,легче не станет..
Тулза конечно облегчила жИтуху,но на широкого пользователя всё таки не расчитана.


Ранг: 72.2 (постоянный)
Статус: Участник

Создано: 7 октября 2007 02:43 New!
Цитата · Личное сообщение · #13

Bronco ты верно сказал, а так её ещё надо тестировать и тестировать да плюс дорабатывать . А так тулза прикольная. И ещё чем дискусии разводить давайте лучше поможем чем сможем чел старается как может . И как говориться в пословице одна голова хорошо, а больше голдов ещё лучше. а для RSI если нужна какая-либо помощь напиши чем смогу помогу.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 7 октября 2007 05:52 New!
Цитата · Личное сообщение · #14

RSI пишет:
MilitaryMan пишет:
Гуру, так кто сможет поиметь это: Satfinder
Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44

Итак все там ок анпакается.

Респект и уважуха!!! У меня чей-то с поиском оеп большие проблемы были )) Еще раз сэнкс

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 7 октября 2007 13:26 New!
Цитата · Личное сообщение · #15

Bronco
Еще раз спасиб за SDK ap0x, прикрутил восстановление импорта - работает как часы.

З.Ы. Знал бы раньше, было б в разы легче писать...


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 7 октября 2007 16:38 New!
Цитата · Личное сообщение · #16

Mavlyudov пишет:
Решил протестить твой анпакер...
на игрушке Magic Tetcolor.


анпакер тут совсем не катит
и CRC чекает не там где надо (если по сигнатуре ищется - то надо искать новую)

Правда тут и CRC memory вмешивается - на которую анпакер еще вроде не заточен


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 7 октября 2007 16:50 · Поправил: YDS New!
Цитата · Личное сообщение · #17

Mavlyudov
r99
Такой тип проверки CRC ловится на побайтном чтении секции кода и убивается джампом с этого места на инлайн с кодом убития этого треда. Результат такой проверки выражается в тихом схлопывании проги без всяких "File corrupted". Поймать такую проверку статически, вряд ли получится, т.к. типовой и одновременно специфичной сигнатуры тут нет, т.е. в анпакере можно это реализовать только в режиме дебага, что, понятно, будет непросто.

P.S. Кстати, может я и не прав, но такой тип проверки встречается только на прогах, покрытых старыми (до 2.2.4 включительно) версиях прота. На последних версиях, а что-то ее не встречал.


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 7 октября 2007 17:38 · Поправил: Mavlyudov New!
Цитата · Личное сообщение · #18

YDS
немного не понял как ловить.
Ну так я же прогу выложил..неужели ее анпакнуть не получается? и у меня, кстати, тоже...
не запускакется файл и всё.
RSI
снятик галочки пропатчивания CRC тоже не помогла...Буду пад если подскажешь, какие опции выставить...
Хотя вручную анпакать тоже не получается....


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 7 октября 2007 17:54 New!
Цитата · Личное сообщение · #19

Mavlyudov
Бряком на чтение секции кода. Будет что-то вроде такого: MOVZX EAX,BYTE PTR DS:[EAX]. Делаем с этого места джамп на инлайн, где делаем TherminateThread.
Может также прокатить вариант, если сразу поставить бряк на CreateThread, отследить при появлении какого трида прога схлопывается, и по адресу ThreadFunction (см.в окне стэка) положить ret (C3).


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 7 октября 2007 17:58 New!
Цитата · Личное сообщение · #20

YDS
попробую.
а если нить всего одна?

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 7 октября 2007 18:07 New!
Цитата · Личное сообщение · #21

Mavlyudov
Спасиб за файл! пофиксил несколько неприятных ошибок...
эта бета пока его не распакует, скажу сразу что импорт чистый...

Если хочешь распаковать бери мой дампер beta2, снимай им дамп затем бери PE Tools и правь в дампе

RVA IAT: 38578
RVA OEP: 11580

А чтобы файл запускался надо в [50E6BD] вписать 0xC3.
После этого надо бут пофискить проверку CRC которая в потоках...

YDS
Ты что мне предлагаешь отладчик для криптора писать??? пока это и не будет фиксится
я видел на 2.2.4, 2.2.6 и 2.3.9. такую проверку.


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 7 октября 2007 18:27 · Поправил: YDS New!
Цитата · Личное сообщение · #22

RSI пишет:
Ты что мне предлагаешь отладчик для криптора писать??? пока это и не будет фиксится

Да нет, конечно ;) Просто попытался объяснить, как это дело можно пофиксить ручками.

Mavlyudov
а если нить всего одна?

Это в проге покрытой криптором? ;) Сильно сомневаюсь, что там только одна нить.


Ранг: 500.6 (!)
Статус: Участник

Создано: 7 октября 2007 19:45 New!
Цитата · Личное сообщение · #23

Mavlyudov пишет:
а если нить всего одна?


Минимум две.


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 7 октября 2007 20:50 New!
Цитата · Личное сообщение · #24

YDS
NIKOLA
ну так несложно проверить, прогу я выложил...
нити же создаются после распковки определенной секции кода..
а при загрузке проги в Олли, нить всего одна...да и при запуске тоже...


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 8 октября 2007 00:28 New!
Цитата · Личное сообщение · #25

RSI пишет:
прикрутил восстановление импорта

В конец дампа,или типа в родное место?
Нало ещё поглядеть чо он шинковать не желает...


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 8 октября 2007 00:50 New!
Цитата · Личное сообщение · #26

Чего-то вы странное про CRC говорите, посмотрел файл, криптор 2.4, проверка стандартная, отключается заменой по адресу 517129 команды cmp [ebp-1C], -1 (837DE4FF) на cmp eax, eax и пару nop'ов (3BC09090)

Mavlyudov,

лови распакованный модуль:

www.box.net/shared/l2z4tuqvn2 (7-Zip, 560 Кбайт)


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 8 октября 2007 07:00 New!
Цитата · Личное сообщение · #27

kioresk
спасибо. Расскажи плиз, какие галочки убрал в анпакере при распаковке? или ты вручную анпакал?
Я еще не смотрел подробно, но в распакованном файле новая секция .poly...вечерком еще гляну...


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 8 октября 2007 08:59 New!
Цитата · Личное сообщение · #28

Mavlyudov,

вручную, секция poly — это 2 секции криптора объединенные в 1. Еще подправь размер таблицы IAT, а то я забыл, с 110 на C8.

Кстати, если сравнить сколько в этой программе занимает секция кода и сколько секция криптора, то получается забавная картина: 188 и 487 Кбайт. Даешь клиент-серверного пакмана с ватермарками, онлайновой активацией и 100% виртуализацией кода на пару десятков мегабайт! Совсем люди с ума посходили…

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 9 октября 2007 17:14 New!
Цитата · Личное сообщение · #29

Unpacker ExeCryptor 2.x.x. version 1.0 beta2

Что нового:
- поправил небольшие баги с поиском и восстановлением динамического импорта.
- немного изменил название опций, чтобы не так путались.
- прикрутил ap0x unpack engine, а в частности запись импорта в дамп, но пишет импорт только в отдельную секцию.
- сделал авто поиск опции импорта ( т.е. если не найден импорт, то анпакер сам рестартует с др. настройками ).
- поправил поиск OEP в Delphi, т.к. на некоторых консольных версиях криптора не работал.
- добавил возможность ввода ОEP вручную, если файндер не нашел.
- сделал вывод включенных опций в лог.
- добавил поддержку drag'n'drop.

P.S. за OEP можно всегда брать EP криптора, работает в 95% случаев.

На этом пока все...

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 9 октября 2007 17:15 · Поправил: RSI New!
Цитата · Личное сообщение · #30

че-то с аттачем, задолбался

rapidshare.com/files/61357936/Unpacker_ExeCryptor_2.x.x._beta_2.rar.html


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 9 октября 2007 18:08 · Поправил: YDS New!
Цитата · Личное сообщение · #31

RSI
М-да, Экзекриптору похоже действительно смерть пришла. Без ручного вмешательства теперь у меня распаковались и те проги, что раньше сабж не брал. Молодца!!!
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 32 . 33 . >>
 eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x.
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS