eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 18 сентября 2007 20:01 New!
Цитата · Личное сообщение · #2

LazyCat пишет:
2. kioresk - молодец, именно эти статьи меня толкнули на написание деморфера(кстати, принцип
там очень прозрачен, но я натолкнулся на 2 маленьких проблемы, по поводу которых и хотел в
дальнейшем посоветоваться)

гм, не стоит так все категорично воспринимать...пиши, спрашивай...


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 18 сентября 2007 20:16 New!
Цитата · Личное сообщение · #3

LazyCat
Надо же сколько пафоса!!!!
Ещё раз без обид,но то что ты пишешь - это театр одного актёра.
К чему эти репризы с монологами?
Пункт третий,явно протеворичить первым двум,и больше смахивает на повод соскочить,а не на вывод от местного обьщения.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 18 сентября 2007 20:53 New!
Цитата · Личное сообщение · #4

А где собстна сами стотьи, в постах?
И если да, то как перевести.. очень интересно что там понаписали....


Ранг: 500.6 (!)
Статус: Участник

Создано: 18 сентября 2007 23:40 New!
Цитата · Личное сообщение · #5

Взяли человека обосрали, делать нехуй чтоли ?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 18 сентября 2007 23:57 New!
Цитата · Личное сообщение · #6

NIKOLA пишет:
Взяли человека обосрали, делать нехуй чтоли ?


да чёт я тоже не въехал что это было =\
за что парня то? ну дерзок он был, дык тут половина такие же


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 19 сентября 2007 00:53 New!
Цитата · Личное сообщение · #7

Hellspawn пишет:
за что парня то?

Не выдержал экзамен на профпригодность.Говорит что имеет опыт,а азов не знает.А главное,что аргументы не свои,причём запоздалые.
К примеру автор вопроса,не знал как правильно его задать(за это его никто не винит),но через сутки тулзу написал.У мну сомнения.
Да и потом что значит авторемапинг?Хотелось бы подробней,без хлопанья дверьми.
Табличку перенести мало,надо ещё по коду call[]/jmp[] выправить в неё.Можно конечно и скриптом это сделать под Ольгой,но ArmInline в связке с дебугером,лихо эту задачу решает.Насчёт демофера по скрипту Павка прав,что это утопия.Учитывая всё предыдущеё,тож есть повод для сомнений.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 19 сентября 2007 03:28 · Поправил: pavka New!
Цитата · Личное сообщение · #8

Bronco пишет:
Да и потом что значит авторемапинг?

Тож интересно послушать ;) Вообще то свою позицию всегда доказывают делом а не пустой болтовней!
Яркий пример Еволюшн ;)
Вообще забавные ребята kioresk к к примеру
there is simpler way to make dumped file running on different OS. You need to dump EXECryptor's sections before initialization (before dword's with API/ImageBases addresses filled):

1. Place breakpoint on write on necessary section, run, you'll land in unpacking procedure
2. Remove bp, go to the end of unpacking procedure (after jcc or jmp)
3. Place new breakpoint on write on that section, run, you'll land in address fixing procedure
4. Remove bp, go to the end of procedure (after jcc or jmp)
5. Dump section(s) and paste it into dumped file

After that, if OEP is stolen and you set the beginning of stolen OEP as entry point in PE header, you need to disable CRC check and «[305] Debugger Detected…» message.

Debugger detected message is displaying because section was dumped before initialization and EXECryptor didn't paste retn at some address. You can find that address by comparing uninitialized section with initialized one. There will be some retns (C3). One of them is our retn, so find that address and paste C3 there.

CRC check can be removed by correcting jump after _lopen (when EXECryptor tests if file was successfully opened) or after _lclose, when it compare calculated hash of file with the stored constant (just follow some instructions and you'll find it).
Ну я понимаю во это нормальная работа ExeCryptor Dumper version 0.1 beta 1 by RSI

Вот дописал тулзу - это дампер для прог накрытых криптором.
---------------------------------------------------------------------- -------------------------------------------------------------------
Итак что он делает:
1) Дампит прогу, причем в дампе секции криптора остаются не инициализированными, т.е. этот дамп должен работать на других осях.
2) Ищет указатель на GetModuleHandleA и если находит, то обнуляет его ( эта фишка обсуждалась выше )
3) Фиксит TLS ( если она не нужна то обнуляет )
а у вас сплошное словоблудие


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 19 сентября 2007 06:30 · Поправил: Maximus New!
Цитата · Личное сообщение · #9

Больной приходит на прием и говорит
- Доктор, меня все игнорируют
Доктор
- Следующий

Maximus пишет:
А где собстна сами стотьи, в постах?
И если да, то как перевести.. очень интересно что там понаписали....


to pavka: Ну вот фигли ты до людей докапываешься... Есть йа, докапывайся до мну.. У меня нервная система крепкая, да и просто могу на йух послать (+ не боюсь если ты меня встретишь и попытаешься начистить репу, как ты обычно это делаешь с непохеками (бугого) )... гг, задовил человека своим "авторитетом"....

to RSI: Уже проверял работу дампера на прогах, все работает замечательно... А в чем трудность прикрутить туда восстановления импорта и убитие проверок CRC? Может всем вместе взяться за это?


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 19 сентября 2007 09:29 New!
Цитата · Личное сообщение · #10

Maximus пишет:
Ну вот фигли ты до людей докапываешься

Создаёшь впечатление,что помимо сломанного TV,ещё и подруга кинула.
Порычать не на кого?С твоим рангом,не солидно так себя позиционировать.
Фуйами кидаться просто,но с дуру можно и сломать.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 19 сентября 2007 10:26 · Поправил: Maximus New!
Цитата · Личное сообщение · #11

Bronco вот умеешь ты смысл моих постов неулавливать, а смысл был такой

Maximus пишет:
А где собстна сами стотьи, в постах?
И если да, то как перевести.. очень интересно что там понаписали....

Так не кто и не ответил...(((

Остальное было написано не для тебя....
P.S: Додо, мы уже поняли что вы с пафкой друзья до гроба, и что вы его будете защищать до упора даже если он глубоко не прав, но я буду к пафке полюбому относится плохо, и ничего вы со мной не сделаете... да и на будущее телега у меня нет, и никогда не было, подруг достаточно что бы вы позавидовали их количеству, по этому если одна уйдет, останется еще несколько, бугого...


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 19 сентября 2007 11:24 New!
Цитата · Личное сообщение · #12

Maximus
Окей!Принцип работы бумеранга знаешь?
умеешь ты смысл моих постов неулавливать
Именно этот,до сих пор не уловил,
считай ты тыкнул пальцем в небо.Это причина.
Так не кто и не ответил...(((
А это следствие причины.
мы уже поняли что вы с пафкой друзья до гроба
Вас много?Ну я ваще на форум захожу, не ИОНУ искать.
но я буду к пафке полюбому относится плохо
Дело личное,но без причины(назови хотя бы три адекватных),это признак дурачины.
и ничего вы со мной не сделаете...
А это как бы проявление дурачины.
по этому если одна уйдет,
А это как снежный ком с горы,значит есть причины,вумен трепачей не любят.
Maximus пишет:
Остальное было написано не для тебя....

Тоды пиши в ПМ.А иначе скинемся Ara на пулемёт.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 19 сентября 2007 12:04 New!
Цитата · Личное сообщение · #13

Maximus пишет:
Уже проверял работу дампера на прогах, все работает замечательно... А в чем трудность прикрутить туда восстановления импорта и убитие проверок CRC? Может всем вместе взяться за это?


Нашел небольшой баг при поиске указателя на GetModuleHandleA надо будет пофиксить,
+ на тот момент не знал про фишку с 0xC3, из-за которой вылазиет «[305] Debugger Detected…» , тож надо будет пофиксить.

и подумываю дописать функу которая будет фискить CRC, уже есть наработки в этом плане ( kioresk хорошо помогает... )

Если все возмутся трудностей не будет, а пока нужно будет еще СДЕЛАТЬ восстановление импорта...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 19 сентября 2007 13:37 New!
Цитата · Личное сообщение · #14

Bronco
Да пусть вякает! ;) Maximus пишет:
У меня нервная система крепкая,

Кроме пищеварительной ни какой другой системы у тебя нет да и та слабая потму как жрешь обьедки!
Ну покуражься раз тебе дозвольяют повеселишь хорошо так кинем тебе чего нить на бедность Казланова ты местный;) Подруг то как зовут левая ? правая?

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 20 сентября 2007 17:43 New!
Цитата · Личное сообщение · #15

ExeCryptor Dumper version 0.1 beta 2

Итак что нового:
1) Поправил кое-какие баги с поиском... и немного оптимизировал его.
2) Теперь ждет пока запишется 0xC3, чтобы не вылетал мессадж «[305] Debugger Detected…»
3) Добавил функцию убивания CRC ( пока на стадии тестирования )
она фиксит тока проверку CRC, а не убивает треды...

Одним словом будут баги пишите...

{ Атач доступен только для участников форума } - ExeCryptor_Dumper beta2.rar


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 20 сентября 2007 19:24 New!
Цитата · Личное сообщение · #16

RSI
Если это важно:
Поиск адреса GetModuleHandleA... Не найден
Поиск сигнатуры правки 0xC3... Не найден
-----------
Компиль Borland C++
-----------
Подкинул табличку к дампу,стартует,но потом вылазит мессага EAccessViolation.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 20 сентября 2007 20:29 New!
Цитата · Личное сообщение · #17

Bronco если EAccessViolation вылазит на твоей тачке, то это точно не GetModuleHandleA.
Похоже больше на CRC проверку

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 20 сентября 2007 20:53 New!
Цитата · Личное сообщение · #18

Bronco
что за прога?


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 20 сентября 2007 21:11 New!
Цитата · Личное сообщение · #19

Я так понял, в этот топик пишут три вида людей.
1. Авторы экзекриптора
2. Авторы полного унпуцкера ехекриптора
3. Кому делать нех

Причем каждый стремится убедить другого, что ОН круче

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 20 сентября 2007 21:28 New!
Цитата · Личное сообщение · #20

Ara
если вести статистику, то подобное в 80% топиков

Bronco
Это лишь показывает что, скорее всего защита без этого или старая версия криптора.
Вот если бы написало "Ошибка!", тогда...
Но хотелось бы увидеть прогу, если допустимого размера.

Заодно интересуют у кого есть какие версии криптора, особенно интересно было бы глянуть на 2.4.0 RC1

У меня пока есть тока 2.3.9.0


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 20 сентября 2007 23:15 New!
Цитата · Личное сообщение · #21

RSI пишет:
скорее всего защита без этого

Всё правильно,не самые злобные опции.
Версию не знаю,наверно где-то 2.2.4.

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 20 сентября 2007 23:32 New!
Цитата · Личное сообщение · #22

RSI молодца,чё ещё сказать.Ещё не много и будет анпакер к криптору.
Кстати так для справки:анпакал(дампил) ещё твоим первым релизом прог пять и одна...стала полностью функциональной без триала,ест-венно запускается и работает норм.Из гавна осталось токо триальное окно.Залез его убирать,а там код такой.Вообщем чёрт хер там свой сломает.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 21 сентября 2007 11:22 New!
Цитата · Личное сообщение · #23

Djeck
Да уж! если защита криптора, то код там в гавно. Счас начал писать поиск VM OEP Finder, пока для Delphi, Borland C++, Visual Basic


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 21 сентября 2007 11:32 New!
Цитата · Личное сообщение · #24

RSI пишет:
начал писать поиск

Солидно!!!!
Да и на этом этапе,уже польза огромная.


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 21 сентября 2007 13:04 New!
Цитата · Личное сообщение · #25

RSI
Возможно есть,а может и нет,но плаг для имрека рабочий.
Падает правда на GetProcAddress,остальные функи трейсит.
С миру по нитке,мож и будет унпротер.

{ Атач доступен только для участников форума } - плуг.rar

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 21 сентября 2007 14:23 New!
Цитата · Личное сообщение · #26

Bronco
Спасибо! но у меня такой уже с пол года лежит, не нравится он мне, т.к. я пару раз его пробовал и плоховато, если можно так сказать, получалось. Пока разберусь с OEP, а дальше если будет время и sniperZ не напишет восстановитель, то придется писать свой. Просто хотелось бы попробовать работу на разных версиях криптора, а вот где их взять... ( анпакми не предлагать )

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 21 сентября 2007 14:59 New!
Цитата · Личное сообщение · #27

RSI пишет:
т.к. я пару раз его пробовал и плоховато, если можно так сказать, получалось.

Плуг делал Дероко! имхо проще свяжись с ним возможно поможет


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 21 сентября 2007 15:00 · Поправил: kioresk New!
Цитата · Личное сообщение · #28

RSI,

http://www.dandan.us/Tools/index.php?dir=PACK/Protectors/EXECryptor/ http://www.dandan.us/Tools/index.php?dir=PACK/Protectors/EXECryptor/

— EXECryptor 1.5.3
— EXECryptor 2.0.34
— EXECryptor 2.1.1
— EXECryptor 2.1.4
— EXECryptor 2.1.6
— EXECryptor 2.1.9
— EXECryptor 2.1.15
— EXECryptor 2.1.17
— EXECryptor 2.1.20
— EXECryptor 2.1.21
— EXECryptor 2.2.5.1
— EXECryptor 2.2.6.Cr
— EXECryptor 2.2.6
— EXECryptor 2.3.0
— EXECryptor 2.3.4
— EXECryptor 2.3.7
— EXECryptor 2.3.9
— EXECryptor 2.4.rc1.b2

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 21 сентября 2007 15:08 New!
Цитата · Личное сообщение · #29

pavka
ну пока попробуем своими силами, а там если что так и сделаю...

kioresk
Спасибо! то что нужно...


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 21 сентября 2007 15:42 New!
Цитата · Личное сообщение · #30

RSI пишет:
не нравится он мне

Жуём то что имеем,и рады.
В качестве банального примера расмотрим на PrevedSMS.5.1
Тупо дампим,правим tls,затираем импорт,анализируем в Ольге,дописуем начало.Твоей тулзой,так вообще всё лихо.
Трейсим в Импреке оригинал,там только с четырьмя функами косячки.Догадаться не трудно.
И криптор в этом случае,со своей антиотладкой идёт лесом.
От таких фактов,от хохмы удержаться трудно.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 30 сентября 2007 09:17 New!
Цитата · Личное сообщение · #31

Вопрос для обсуждения!!!

При распаковке программ, упакованных ExeCryptor, и восстановлении таблицы IAT, имеется много переадресованных APIs. Пакер находит реальные адреса API следующим образом:

1. Сначала он находит базовый адрес нужной библиотеки, который записывает по определенному адресу.
2. Затем он находит реальные адреса APIs данной библиотеки, и хэши этих APIs пакер записывает по другим заданным адресам.
3. Когда какая-то API еще раз вызывается программой, он проверяет наличие хэша для этой API, после чего, используя этот хэш, пакер определяет реальный адрес API.

Когда мы восстанавливаем таблицу IAT с помощью скрипта, вместо переадресованных значений APIs, мы записываем их реальные адреса, применительно к конкретной OS, установленной на машине. При запуске ImpREC, для восстановления таблицы IAT, вместо реальных значений API, утилита записывает имена данных APIs, которые загрузчик программы, при распаковке программы в память машины, преобразует в реальные адреса APIs. Естественно, что когда имеется восстановленная таблица IAT, программа не будет использовать код пакера, связанного с определением реальных адресов APIs, а это означает, что записанные в дампе памяти программы базовые адреса библиотек и хэши APIs, которые были определены пакером при прохождении на OEP программы, программой больше не используются.

Возникает вопрос, почему возникают проблемы с запуском распакованных программ на машинах с другими версиями OS? Мне понятно, почему, например, нельзя запустить дамп, полученный в Windows XP, в OS Windows 98 или ME в которых не применяется библиотека ntdll.dll. Аналогичные функции из этой бибилотеки находятся в Kernel32.dll, и чтобы программа запускалась в Windows 98 или ME, нужно сделать замену таких APIs на имеющиеся APIs в данной OS.

Или имеются еще какие-то проблемы, которых я не заметил.
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS