eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: zds, krasniy85 (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 19 октября 2007 06:58 New!
Цитата · Личное сообщение · #2

На SnD свежий тутор по инлайну от T-Rex TEAM ICU
Because I've write this notes to show how inline ExeCryptor I'll don't cover the target cracking stage, paper aim is to show how we can defeat some ExeCryptor protection system, all the stuff will be cover in great detail and from a general approach to give some general detail and make the info usable also for other target.
tuts4you.com/download.php?view.1984

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 19 октября 2007 17:19 New!
Цитата · Личное сообщение · #3

Какой-то геморный инлайн и кода дохрена, ИМХО можно сделать намного проще.


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 19 октября 2007 18:31 New!
Цитата · Личное сообщение · #4

RSI
Ждём статью от тебя?

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 19 октября 2007 18:40 New!
Цитата · Личное сообщение · #5

Bit-hack
Я бы написал, тока думаю как и после beta2 лавочку быстро прикроют


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 19 октября 2007 18:42 New!
Цитата · Личное сообщение · #6

ггг.. а интересно лавочку от статьи NIKOLA прикрыли, или тот метод еще работает?


Ранг: 199.4 (ветеран)
Статус: Участник

Создано: 19 октября 2007 18:47 New!
Цитата · Личное сообщение · #7

RSI
Не нужно на паблик таких статей. Кому сильно надо - все необходимые решения на форуме найдут.

Maximus
А там, кроме прибития тридов, ничего более по сути и нет ;)


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 19 октября 2007 20:13 · Поправил: r99 New!
Цитата · Личное сообщение · #8

RSI
ты посмотри на инлайны от Digerati - крыша сразу уедет

например к Givemetoo


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 19 октября 2007 20:21 New!
Цитата · Личное сообщение · #9

gui-patch
slil.ru/25000651


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 20 октября 2007 01:49 New!
Цитата · Личное сообщение · #10

r99 пишет:
gui-patch


а это для чего?


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 20 октября 2007 02:16 · Поправил: Bronco New!
Цитата · Личное сообщение · #11

Немножко родных инструкций из ОЕР, для консоли криптора:
PUSH EBP
MOV EBP,ESP
MOV ECX,4
@zhopa:
PUSH 0
PUSH 0
DEC ECX
JNZ @zhopa
MOV EAX,004870DC
CALL 00406640
JMP 00763BBC


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 20 октября 2007 15:00 · Поправил: kioresk New!
Цитата · Личное сообщение · #12

Выложил список функций и их хешей, которым пользуюсь при анализе криптора. Возможно, кому-нибудь пригодится.

В этом списке перечислены функции следующих библиотек:

— advapi32.dll
— gdi32.dll
— kernell2.dll
— ntdll.dll
— shell32.dll
— user32.dll

Небольшой пример, чем этот список может быть полезен:

http://kioresk.wordpress.com/2007/10/20/EXECryptor_API_hashs/ http://kioresk.wordpress.com/2007/10/20/EXECryptor_API_hashs/ (на английском языке, 150 кбайт)


Сам список (EXECryptor 2.x - 2.4.1 API Hashs):

http://www.box.net/shared/pnqxu5nvq6 http://www.box.net/shared/pnqxu5nvq6 (7-Zip, 50 кбайт)

Ранг: -52.7 (нарушитель)
Статус: Участник

Создано: 20 октября 2007 18:08 New!
Цитата · Личное сообщение · #13

kioresk WordPress`овский двигун.Но в целом - хороший будет блог по реверсингу.Только не надо про криптор! автор - халявщик и бестолочь...и еще безкультурный человек!
Хотя, он в друзьях .... у некоторых, бывших реверсеров.Ему много народу здесь помогают.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 21 октября 2007 12:04 New!
Цитата · Личное сообщение · #14

Свежий скрипт Execryptor_2xx_OEP_Finder by VolX

{ Атач доступен только для участников форума } - ExeCryptor 2.0.x - 2.3.x OEP by VolX.txt


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 21 октября 2007 14:16 New!
Цитата · Личное сообщение · #15

kioresk
Грамотная статистика....
Порядковые номера - стабильны?
pavka
Потестим...


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 21 октября 2007 18:01 · Поправил: kioresk New!
Цитата · Личное сообщение · #16

Bronco,

Спасибо, не обратил внимания. Ординалы вроде верны для всех библиотек кроме shell32.dll. Хотя в принципе, они не нужны.

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 21 октября 2007 20:59 New!
Цитата · Личное сообщение · #17

pavka
неплохой скрипт имхо, но руками проще и лучше...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 22 октября 2007 03:55 New!
Цитата · Личное сообщение · #18

sniperZ пишет:
но руками проще и лучше...

Согласен , сам скрипт интересен, похоже VolX будет делать скрипт по типу аспра

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 22 октября 2007 05:05 New!
Цитата · Личное сообщение · #19

pavka пишет:
Согласен , сам скрипт интересен, похоже VolX будет делать скрипт по типу аспра

Только лучше бы ему кто-нибудь подсказал,что лучше написать анпакер,чем строчить столько строк как в скрипте для аспра

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 22 октября 2007 10:28 New!
Цитата · Личное сообщение · #20

Djeck, лучше вообще ничего не писать на паблик, т.к. жидоаффтар быстро прикрывает баги. кто анпакает криптор, тот анпакает, а то не умеет - пусть учится. а всякие стрипперы только проблемы создают. имхо.

Ранг: 63.1 (постоянный)
Статус: Участник

Создано: 22 октября 2007 11:02 New!
Цитата · Личное сообщение · #21

Djeck пишет:
Только лучше бы ему кто-нибудь подсказал,что лучше написать анпакер


Не согласен. Скрипт весчь архиполезная хотя бы в силу своей наглядности и простоты переработки , а про стриппер sniperZ все сказал.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 22 октября 2007 13:35 · Поправил: RSI New!
Цитата · Личное сообщение · #22

Кста ти неужели никто не обратил внимания на то, что в GUI EC 2.4.1.0 появилась новая фишка в потоках с антиотладкой. Теперь функции которая запускается в потоке передается указатель на число = hThread затем вызывается WFSO, функция прибавляет это число к адресу в стеке и формирует правльный адресс возврата. иначе выходим в гавно.

Т.е. теперь просто так не влепишь ( 0xC3 или любую другую заглушку, т.к. прога будет падать )


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 22 октября 2007 14:14 New!
Цитата · Личное сообщение · #23

RSI пишет:
просто так не влепишь

Странно...у мну после заглушек, гуи не падает,да и консоль тоже в норме.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 22 октября 2007 14:24 · Поправил: RSI New!
Цитата · Личное сообщение · #24

я решил проблему следующим способом.

для EC GUI 2.4.1.0

начало функции EXECrypt.005A38C0 -> вписываем 0xC3

00551BFE 6A FF PUSH -1 -> это параметр INFINITE для WFSO -> меняем на push 0

А вот тут я сделал кусок эмулирующий работу функции в потоке для восстановления адреса возврата.

005C57E6 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
005C57EA 314424 08 XOR DWORD PTR SS:[ESP+8],EAX
005C57EE 58 POP EAX
005C57EF 890424 MOV DWORD PTR SS:[ESP],EAX
005C57F2 C3 RETN

Теперь все работает.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 22 октября 2007 14:29 New!
Цитата · Личное сообщение · #25

Bronco пишет:
у мну после заглушек, гуи не падает


Странно! пусть еще кто-нить напишет, мож эт тока у меня такая проблема.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 22 октября 2007 16:55 New!
Цитата · Личное сообщение · #26

RSI
У меня тож не падал

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 22 октября 2007 20:13 New!
Цитата · Личное сообщение · #27

RSI
у меня тоже не падал

Ранг: 7.3 (гость)
Статус: Участник

Создано: 23 октября 2007 02:57 New!
Цитата · Личное сообщение · #28

Работает! Спасибо!

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 23 октября 2007 12:06 New!
Цитата · Личное сообщение · #29

ясно! значит эт тока у меня...


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 23 октября 2007 20:54 · Поправил: kioresk New!
Цитата · Личное сообщение · #30

Выложил измененную версию фантома 1.0.4, который не обнаруживается новым криптором.

От оригинала отличается названиями драйверов и их чексуммами.

PhantOm 1.0.4 for EXECryptor 2.4.1 http://www.box.net/shared/8eabhv5sre (7-Zip, 42 кбайт)


RSI,

Может retn 4 вместо retn спасет отца русской демократии?


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 23 октября 2007 22:50 New!
Цитата · Личное сообщение · #31

kioresk
Скромненько подождём авторский релиз...
главное вкурить как вычислить вариант
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS