eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: korsaring, Chris, AliS S0fT, SDK (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 32 . 33 . >>
Посл.ответ Сообщение

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 3 октября 2007 23:55 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

{ Атач доступен только для участников форума } - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 16 октября 2007 03:07 New!
Цитата · Личное сообщение · #2

Djeck
ссылка со * жива. убери еще пробел после "1"

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 16 октября 2007 04:13 New!
Цитата · Личное сообщение · #3

gegter пишет:
ссылка со * жива. убери еще пробел после "1"

Всё gegter спасибо за разъяснения.Всё прекрасно качается


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 16 октября 2007 08:14 New!
Цитата · Личное сообщение · #4

билд то приватный но ключа то там все равно нет

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 16 октября 2007 09:01 New!
Цитата · Личное сообщение · #5

depler пишет:
билд то приватный но ключа то там все равно нет


+ без ключа теперь не упакуешь даже со стандартными опциями.


Ранг: 500.5 (!)
Статус: Участник

Создано: 16 октября 2007 09:13 New!
Цитата · Личное сообщение · #6

Если в демке пошифрована только часть кода (антиотладка и т.п.), то в этой по всей видимости всё - Relayer & KO теперь перестраховываются


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 16 октября 2007 10:22 New!
Цитата · Личное сообщение · #7

Там походу консоль надо ковырять
Начало в дампе, в принципе можно дописать,как и в оболочке,
процедура инит доступна.
Но вот в лоб,табличку не отдерёшь
//Аттач и плуг для импрека не катит.
У мну палево и шварц(терминатиться) в итоге.
//Сучонок процесс крекатит,а проверка отладки позже.Вроде так.


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 16 октября 2007 11:30 · Поправил: kioresk New!
Цитата · Личное сообщение · #8

Bronco,

не пойму до конца о чем ты пишешь, но если о распаковке нового криптора, то терминатится он потому что «улучшенный антидебаг» находит фантом.

В 2.4.1 при обнаружении отладчика вызывается Sleep с средним интервалом, а затем ExitProcess.

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 16 октября 2007 11:44 New!
Цитата · Личное сообщение · #9

Bronco пишет:
Там походу консоль надо ковырять


kioresk, похоже Bronco затеял расковырять сам private build
Или я не так понял


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 16 октября 2007 12:51 New!
Цитата · Личное сообщение · #10

консольный иат
PE-kill рулит


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 16 октября 2007 12:52 · Поправил: r99 New!
Цитата · Личное сообщение · #11

не аттачится - да и хрен с ним

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 16 октября 2007 16:07 New!
Цитата · Личное сообщение · #12

Bronco
Может поможет:

1) Для консоли

Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 3 (Private)
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Temp\EXECryptor.V2.4.1.Private\EXECrypt.exe

Create Process... PID = 0xD58 ... Done

Finding signature function unpacking... Done

This is EC version >= 2.4.1.0

Set breakpoint in function... Done

Unpacking section "CODE" - YES

Unpacking section "fkmbntzm" - YES

Unpacking section "4co5q4bc" - YES

Unpacking section "mutn0oel" - YES

Unpacking section "2n4cy1vw" - YES

Set memory breakpoint for Extra code section... Done

Fix Memory CRC at [46BC8D]... Done

Fix File CRC at [745023]... Done

Fix File CRC at [78184C]... Done

Saving Dump... Done

Clear memory breakpoint for Extra code section... Done

Correct TLS...

TLS Directory: 2E7000

Remove trash from PE Header... Done

Find position GetModuleHandleA:

Address GetModuleHandle [47EB56].

Not Found pointers

Patch message <Debugger Detected> (Method 1):

[701E6E] = Write 0xC3

IAT Start: 0x6E2104

IAT End: 0x6E2740

Check Import table for emulate API...Done -> Nothing

Finding Compiler: Borland Delphi

RVA OEP: 87330

Fix IAT in Dump... Success!

Exit Process... Done

2) Для гуи

Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 3 (Private)
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Temp\EXECryptor.V2.4.1.Private\EXECryptor.exe

Create Process... PID = 0xCC8 ... Done

Finding signature function unpacking... Done

This is EC version >= 2.4.1.0

Set breakpoint in function... Done

Unpacking section "CODE" - YES

Unpacking section "atl412iy" - YES

Unpacking section "zoy63r7k" - YES

Unpacking section "a8jm5bt9" - YES

Unpacking section "zfylhg7y" - YES

Set memory breakpoint for Extra code section... Done

Fix File CRC at [535438]... Done

Fix Memory CRC at [56DD39]... Done

Fix File CRC at [570FEE]... Done

Saving Dump... Done

Clear memory breakpoint for Extra code section... Done

Correct TLS...

TLS Directory: E2000

Remove trash from PE Header... Done

Find position GetModuleHandleA:

Address GetModuleHandle [4B5DBB].

Not Found pointers

Patch message <Debugger Detected> (Method 1):

[532864] = Write 0xC3

[5745C0] = Write 0xC3

IAT Start: 0x4DD168

IAT End: 0x4DD988

Check Import table for emulate API...Done -> Nothing

Finding Compiler: Borland Delphi

RVA OEP: D2AB8

Fix IAT in Dump... Success!

Exit Process... Done

P.S. Попозже потесчу поиск OEP от TrueLies и тогда дам заюзать некоторым "хорошим" людям ;)

Ранг: 63.1 (постоянный)
Статус: Участник

Создано: 16 октября 2007 18:14 New!
Цитата · Личное сообщение · #13

То есть решил распространять через ПМ? Гарно.


Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 16 октября 2007 20:52 New!
Цитата · Личное сообщение · #14

Хехе.. получается как и со стриппером, пишешь в личку и тебе дают приватную версию анпакера?
это так, чисто чтобы знать...


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 16 октября 2007 21:41 · Поправил: Bronco New!
Цитата · Личное сообщение · #15

kioresk
По самому криптору всё окей,фантом пока рулит,детекта нет,злыдень у мну, под Олькой летает
Терминатиться тока частично,при востановлении таблички,и то если с оер,а не с атача брать.
Консоль увы,с аттача не возьмёшь....
Пе_киловский скрипт грамотный и с коментами,но мну больше скрипт KaGra прикалует,но они с ОЕР табличку чо то не грызут.Кажись где-то железяки вроде не срабатывают(by KaGra),надо пошагово погонять.
RSI
За лог спасибо,но лучше tree_iat.txt слей для консоли.
Насчёт унпакера сам решай,главное чтоб потом не жалел....


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 16 октября 2007 22:50 New!
Цитата · Личное сообщение · #16

Bronco,

интересно что он у тебя фантом не детектит, надо будет поиграться ради интереса...

А таблицы для консоли и гуи 2.4.1 лови:

www.box.net/shared/erbm1gyfg6 (7-Zip, 10 Кбайт)


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 17 октября 2007 08:49 New!
Цитата · Личное сообщение · #17

slil.ru/24989147 - консольный иат
есть разница с предыд постом


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 17 октября 2007 09:29 · Поправил: kioresk New!
Цитата · Личное сообщение · #18

r99,

да, разница есть.

6E2518 — RegisterWindowMessageA
6E268C — DestroyIcon


6E2518 — RegisterClipboardFormatA
6E268C — DestroyCursor


Только это из-за того что ImpRec неправильно определяет функции (у тебя не вызывают подозрения идущие подряд две одинаковые функции DestroyCursor?).

Если в ImpRec'е нажмешь «Show Suspect», то он выделит эти функции. А если посмотришь в отладчике адреса куда указывают эти ячейки, то убедишься что там как раз RegisterWindowMessageA и DestroyIcon.

Хотя в принципе это мелочь и не влияет на работу дампа, т.е. если оставить RegisterClipboardFormatA/DestroyCursor, то ничего страшного не будет. Пишу просто для сведений, доверяй, но проверяй, как говорится.


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 2 ноября 2007 16:07 New!
Цитата · Личное сообщение · #19

Китайцы-таки заломали криптор

EXECryptor.V2.4.1.CracKed.By.[CUG]



Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 2 ноября 2007 16:09 · Поправил: Maximus New!
Цитата · Личное сообщение · #20

bloom писали про это. Они его с ключиком заломили. А с ключиком, да еще при наличии знаний как его использовать что бы не засветить ломали и наши люди проги (пример интернетаксесмонитор от санки и пекила)

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 2 ноября 2007 16:24 New!
Цитата · Личное сообщение · #21

Ну мля китайцы молодцы! теперь ждем пока у нас появится.

Ранг: -52.7 (нарушитель)
Статус: Участник

Создано: 2 ноября 2007 16:33 New!
Цитата · Личное сообщение · #22

Maximus А кто нам мешал?Заломать с ключиком?


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 2 ноября 2007 16:50 · Поправил: Maximus New!
Цитата · Личное сообщение · #23

flair никто, но только за ключик надо заплатить кучу уев, а спонсоров нету...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 2 ноября 2007 20:36 New!
Цитата · Личное сообщение · #24

Unpacker EXECryptor v2.x.x beta4 Private by RSI - [Reading Access 140] overwriter
2007-11-2
прикольно шутка что ли?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 2 ноября 2007 20:52 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #25

pavka пишет:
прикольно шутка что ли?


почему? кто то из наших давно туда всё сливает))) мне такой доступ и не снился

з.ы. хотя по-моему кому-то давали 4-ую бетку...


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 2 ноября 2007 21:05 New!
Цитата · Личное сообщение · #26

pavka пишет:
Unpacker EXECryptor v2.x.x beta4 Private by RSI - [Reading Access 140]

overwriter жжжот
он сам хоть может в свою тему зайти ?


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 2 ноября 2007 21:21 New!
Цитата · Личное сообщение · #27

Hellspawn пишет:
кому-то давали 4-ую бетку

Релиза 4 бетки вроде же не было,то наверно что-то попутали.

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 2 ноября 2007 22:03 · Поправил: Assass1n New!
Цитата · Личное сообщение · #28

Bronco пишет:
Релиза 4 бетки вроде же не было

Была... За разьяснениями по поводу поста у китайцев лучше заинтересованным лицам спросить у RSI


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 2 ноября 2007 22:27 · Поправил: overwriter New!
Цитата · Личное сообщение · #29

bloom, ага жгу))) я постил с ридингом 70 как с РСИ договорились) акцесс был поднят администратором, дабы не читали всякие .
Assass1n, мемберы могут получить прямо сейчас на мило
Bronco, неа не попутали, придет РСИ и разрулит кому дать, а кому не дать


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 2 ноября 2007 22:34 New!
Цитата · Личное сообщение · #30

overwriter
Мну и третья пока устраивает
Треды/секции покилять,табличку перенести,спёртые дописать- этот марафет не впадлу и вручную до ума довести...


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 2 ноября 2007 22:39 New!
Цитата · Личное сообщение · #31

Bronco,
Что нового в beta 4:

- Пофиксены баги в поиске OEP на VC++, Delphi.
- Добавлены сигнатуры для VB и MASM/TASM.
- Добавлены 2 метода удаления "[305]", работают в ситуации когда импорт динамичкский, но чистый.

Известные баги:

- Бага в длл от ap0x, для восстановления импорта (не определяет только функцию InitCommonControlsEx из comctl32.dll)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 32 . 33 . >>
 eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x.
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS