eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: cppasm, zds, Bad_guy (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 16 ноября 2007 23:09 · Поправил: SunBeam New!
Цитата · Личное сообщение · #2

RSI writes:
Uninstall Tool 2.2.1:

OEP not stolen:


OEP = 448E9C

00448E9C > E8 3F880000 CALL utool.004516E0
00448EA1 ^ E9 17FEFFFF JMP utool.00448CBD
00448EA6 55 PUSH EBP

C++8 (MSVC2005)


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 16 ноября 2007 23:33 New!
Цитата · Личное сообщение · #3

rapidshare.com/files/70199781/gui241.zip.html
первая помощь для активации cug-нутой версии

консоль делается аналогично


Ранг: 274.3 (наставник)
Статус: Участник
Advisor

Создано: 17 ноября 2007 00:33 New!
Цитата · Личное сообщение · #4

Maximus пишет:
Вряд ли его получится легко разобрать, потому что в свою очередь он тоже смутирован.

Первая проблема,но это имхо,в том,что иногда тупо не знаешь,что искать.
Среди мусора бесполезного кода,в открытом виде ворованных инструкций почти нет,анализировать весь этот поток данных тяжеловато,тут даже эмуляцию инструкции прозевать можно.
Всё что касается востановления стандартных инструкций компиляторов,то ссылаясь на Павыча:
как правило криптор тырит пять ,шесть процедур со стаба или весь стаб,да при инициализации,чекает пару тройку раз.
можно с увереностью сказать,если есть опыт/практика и терпение/время,то разобрать что-то можно.
Но та же практика показывает что это иррационально,из-за того,что многое остаётся,и опять ссылась на пионеров исследования криптора:
чем убивать время на восстановление кода в таких прогах где можно решить все порблеммы правкой одного байта - инлайн самое оптимальное решение!
Но это было недавно,а сейчас получение рабочего дампа,хотя бы и для анализа,уже много значит.
Но это тоже было недавно,ибо сейчас с удовольствием зрим:
первая помощь для активации cug-нутой версии
r99
Пока качаю,но надеюсь,то что надо.!!!!

Ранг: 69.8 (постоянный)
Статус: Участник

Создано: 17 ноября 2007 00:42 New!
Цитата · Личное сообщение · #5

r99
О-о, класс, активация прошла успешно!
Спасибо!

Ранг: 1.3 (гость)
Статус: Участник

Создано: 17 ноября 2007 05:11 New!
Цитата · Личное сообщение · #6

I tried Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 2 with the program I posted in Crack requests forum (http://rapidshare.com/files/70002255/DC-Unlocker_1.00_0055_setup.exe. html). Original file size is 660 KB, the dump has 66.7 MB!! Is that normal?

Ранг: 7.3 (гость)
Статус: Участник

Создано: 17 ноября 2007 05:28 · Поправил: pikinana New!
Цитата · Личное сообщение · #7

r99, спасибо.
GUI aктивация успешна, но не могут активировать консоль.
Советы?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 ноября 2007 06:30 New!
Цитата · Личное сообщение · #8

slackhead пишет:
вот это интересно что именно вы разгребаете? сам мутатор которым мутирует протектящий код и сворачиваете восстанавливая логику полностью? очень интересно

Вообще всегда все зависит от конкретной рализации! К примеру Упомянутая прога Uninstall Tool 2.2.1 ломаеться вообще без отладчика только Heiw ..

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 17 ноября 2007 06:59 New!
Цитата · Личное сообщение · #9

mf writes:
I tried Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 2 with the program I posted in Crack requests forum (http://rapidshare.com/files/70002255/DC-Unlocker_1.00_0055_setup.exe. html). Original file size is 660 KB, the dump has 66.7 MB!! Is that normal?


PEiD: EXECryptor 2.4.1 -> Normal Protection *

Beta 2 doesn't work with 2.4.1 (I think). Haven't tried to use it for unpacking this program, but it does output a 67 MB dump


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 17 ноября 2007 09:37 New!
Цитата · Личное сообщение · #10

SunBeam beta4. Dump = +20 kb from original size ;)

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 17 ноября 2007 09:41 New!
Цитата · Личное сообщение · #11

r99
перезалей, ссыль не пашед..


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 17 ноября 2007 11:50 New!
Цитата · Личное сообщение · #12

прилепил

{ Атач доступен только для участников форума } - gui241.zip


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 17 ноября 2007 11:51 New!
Цитата · Личное сообщение · #13

а с консолью вопрос - или в превад или фтоппку?

Ранг: 63.1 (постоянный)
Статус: Участник

Создано: 17 ноября 2007 12:03 New!
Цитата · Личное сообщение · #14

r99 В очередной раз сеньк.

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 17 ноября 2007 12:20 · Поправил: SunBeam New!
Цитата · Личное сообщение · #15

Maximus writes:
beta4. Dump = +20 kb from original size ;)

Good to know. Hopefully RSI will release it in a near-by future


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 17 ноября 2007 12:53 New!
Цитата · Личное сообщение · #16

r99 пишет:
или в превад или фтоппку?


смысла приватить нету - китайцы просто пантуются. ты ведь отламываешь под определённый ник - девелоперы антивирусов получат соответсвующую сигнатуру и паковать именно этим протом троев-калькуляторов станет бессмысленно


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 17 ноября 2007 13:19 New!
Цитата · Личное сообщение · #17

ну тогда полный набор


ps
глюки с дровами пофиксенного фантома - на некоторых опциях

pps
Gideon Vi но ведь и ник можно пофиксить


{ Атач доступен только для участников форума } - full241.zip

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 17 ноября 2007 14:20 · Поправил: SunBeam New!
Цитата · Личное сообщение · #18

r99 writes:
53f0_17.11.2007_CRACKLAB.rU.tgz - full241.zip


Interesting Think you can do the same for Total Uninstall ?

EDIT 1: Someone's been busy Found an anti-trial for Total Uninstall. r99 or pavka, I know it's one of you guys

Link: [ http://rapidshare.com/files/69749235/tu_setup.rar http://rapidshare.com/files/69749235/tu_setup.rar ]

EDIT 2: Good work, r99. Love your inline ;) Time to study

r99 writes:http://ifolder.ru/4137113 для экспериментаторв 4.31

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 17 ноября 2007 14:55 New!
Цитата · Личное сообщение · #19

r99
Спасибо!

Ранг: 7.3 (гость)
Статус: Участник

Создано: 17 ноября 2007 15:13 New!
Цитата · Личное сообщение · #20

r99,
Ты мой герой! Спасибо!

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 17 ноября 2007 16:12 New!
Цитата · Личное сообщение · #21

mf
section BSS - V. Size = R. Size = 0x4112000 ~ 68 MB ( may be tricks from PEP )

SunBeam пишет:
PEiD: EXECryptor 2.4.1 -> Normal Protection *


It's not EC 2.4.1


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 17 ноября 2007 16:54 New!
Цитата · Личное сообщение · #22

r99 пишет:
но ведь и ник можно пофиксить


Думаю, что все те ники, которые засветились на анпаке очень скоро будут в базах каспера. Спасибо за релиз

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 18 ноября 2007 01:47 New!
Цитата · Личное сообщение · #23

Hehe. Another reversing era opener - r99 I know he's been doing this for ages

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 29 ноября 2007 14:41 New!
Цитата · Личное сообщение · #24

свежий скрипт от волка ;)

{ Атач доступен только для участников форума } - Execryptor_2.xx_IAT_Fixer_v1.02SC [2007-11-27].txt

Ранг: 1.0 (гость)
Статус: Участник

Создано: 16 февраля 2008 19:01 · Поправил: panga New!
Цитата · Личное сообщение · #25

r99
thank you for the patch


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 12 марта 2008 11:03 · Поправил: kioresk New!
Цитата · Личное сообщение · #26

Источник: Disabling CRC checks in EXECryptor 2.4.x http://kioresk.wordpress.com/2008/03/12/disabling_crc_checks/

В этом небольшом туториале мы рассмотрим как легко отключить проверку CRC файла/памяти в программах, защищенных EXECryptor’ом версии 2.4.x.

Для начала немного теории. В EC 2.4.x есть функция, которая выполняется перед проверкой CRC файла/памяти и некоторых антидебаг приемов. Я называю ее Check_CPU, поскольку в одной из ее подпроцедур используется инструкция cpuid для определения процессора текущей машины.

Логика кода рядом с Check_CPU примерно такая:


If (Check_CPU)
{
DoSomeBadThing
}


Как видно, плохой код (например, проверить CRC файла/памяти) выполняется, если Check_CPU возвращает значение True (al = 1). И, естественно, он не будет выполняться, если Check_CPU будет возвращать значение False (al = 0).

Теперь посмотрим на код функции Check_CPU, выдернутый из распакованной консольной части EC 2.4.1.

0046B164 Check_CPU proc near
0046B164
0046B164 Result = byte ptr -9
0046B164 Null = dword ptr -8
0046B164 Constant = dword ptr -4
0046B164
0046B164 push ebp
0046B165 mov ebp, esp
0046B167 add esp, -0Ch
0046B16A mov [ebp-8], eax
0046B16D call Get_Constant
0046B16D
0046B172 mov [ebp-4], eax
0046B175 push ebp
0046B176 lea eax, [ebp-4]
0046B179 call Get_CPU
0046B179
0046B17E pop ecx
0046B17F mov eax, [ebp-4]
0046B182 mov edx, [ebp-8]
0046B185 xchg eax, [edx]
0046B187 xor [ebp-4], eax
0046B18A cmp dword ptr [ebp-4], 0
0046B18E setnz byte ptr [ebp-9]
0046B192 mov al, [ebp-9]
0046B195 mov esp, ebp
0046B197 pop ebp
0046B198 retn
0046B198
0046B198 Check_CPU endp


Естественно, в защищенном приложении этот код будет виртуализован и поэтому надо найти место, которое можно будет легко найти среди заморфеного кода.

«setnz byte ptr [ebp-9]]» (0F 95 45 F7) отлично подходит для этого, поскольку VM криптора не может виртуализовать/обфуцировать эту инструкцию.


Подведем итог. Чтобы отключить проверку CRC файла/памяти в программах, защищенных EC 2.4.x, необходимо:

1. найти бинарным поиском 0F 95 45 F7
2. потрейсить/проверить соседний код, чтобы он был похож на приведенный выше (поскольку setnz может много где использоваться кроме Check_CPU)
3. заменить инструцию на «mov byte ptr [ebp-9], 0» (C6 45 F7 00)

В EC 2.3.9 код функции Check_CPU выглядит немного по другому:


004611A2 call Get_Constant
004611A2
004611A7 mov edx, ds:ptr_AllocatedMemory
004611AD mov edx, [edx]
004611AF sub edx, eax
004611B1 mov ecx, [ebp-4]
004611B4 mov eax, 1
004611B9 shl eax, cl
004611BB and edx, eax
004611BD setnz byte ptr [ebp-5]


Поэтому, в случае EC 2.3.9 — надо найти 0F 95 45 FB, убедиться что мы в нужном месте, и заменить на C6 45 FB 00.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 12 марта 2008 19:04 New!
Цитата · Личное сообщение · #27

AND наверно лучше чем MOV

а call Get_Constant участвует в генерации триального ключа?


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 12 марта 2008 23:08 · Поправил: kioresk New!
Цитата · Личное сообщение · #28

r99,

AND наверно лучше чем MOV

можно и AND, главное чтобы работало

а call Get_Constant участвует в генерации триального ключа?

Участвует, хотя основное назначение константы (их несколько), насколько я понял, для скрытия значений. Нужное значение модифицируется (например, value xor const), сохраняется, а позже при необходимости значение обратно восстанавливается (value xor const) и используется.

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 22 марта 2008 03:20 · Поправил: SunBeam New!
Цитата · Личное сообщение · #29

I found an app called Direct MP3 Joiner (v2.23) that doesn't throw any TRUE flags on that setnz byte ptr [..] But it has a check to defend against Olly (aside from FPU stuff and detecting Olly by windows and crashing it) it uses a DWORD (sub dword ptr [EC_CRAP],1; where EC_CRAP is a DWORD in EC section with value 0; so 'sub x,1' makes it -1 and app doesn't run in Olly). If you make it 0 and not -1, app will start and not complain (am talking about the unpacked result) ;)

EDIT:

004C390C 832D 20065000 01 SUB DWORD PTR DS:[500620],1 //make it 0 to run it in Olly..

Ранг: 67.4 (постоянный)
Статус: Участник

Создано: 22 марта 2008 07:39 · Поправил: Kiev78 New!
Цитата · Личное сообщение · #30

---

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 23 марта 2008 04:53 New!
Цитата · Личное сообщение · #31

I prefer not to use them unless I have to Simple Olly with hiding windows is enough..
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS