eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 17 мая 2008 18:56 · Поправил: kioresk New!
Цитата · Личное сообщение · #2

Давненько у нас что-то ничего по криптору не пробегало, а потому ловите...

EXECryptor 2.x – Отключение проверки системной даты

В этой небольшой статье рассматривается легкий способ отключения проверки изменения системной
даты (clock manipulation), которая была добавлена во 2-й версии EXECryptor’а.

(PDF, 135 Кбайт)


{ Атач доступен только для участников форума } - EXECryptor 2.x – Отключение проверки системной даты.pdf

Ранг: 50.9 (постоянный)
Статус: Участник

Создано: 18 мая 2008 02:50 New!
Цитата · Личное сообщение · #3

Pro article. I love your style, amazing! Keep it up


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 7 июля 2008 12:51 · Поправил: r99 New!
Цитата · Личное сообщение · #4

у кого есть распакованная консольная часть от cug2.4.1 которая бы воспринимала активацию?


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 7 июля 2008 14:35 New!
Цитата · Личное сообщение · #5

Кто нить видел хоть раз - тутор для сабжа про подмену HWID?


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 8 июля 2008 22:14 New!
Цитата · Личное сообщение · #6

для 2.3.9 - как поменять HWID (пока не забыл!)

запускаем прогу (желательно в распакованном виде) и ищем в памяти (можно winhex-ом) ту строку
которая прога выдает - получаем несколько адресов.
мне больше нравится минимальный адрес - который в стековой области находится - Adr-String.
Закрываем прогу.
Ищем ключ реестра генерируемый этой прогой (с помощью Trashreg например).
Мониторим прогу (Regmon, Procmon....) - чтобы определить адреса с апи RegCloseKey для найденного ключа.
Вот после одного из этих адресов можно и зациклить прогу (какой именно адрес выбрать - дело вкуса и опыта).
Зацикленную прогу запускаем и аттачимся к ней Олей.
Смотрим что в [Adr-String] из любопытства и ставим бряк на запись или доступ.
И далее F9......

ps
Зациклить прогу - это прописать EB FE в ней.

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 22 октября 2008 20:15 New!
Цитата · Личное сообщение · #7

Народ, а Total Uninstall 4.9.3 тож EC накрыт? По крайней мере мне так выдал RDG(ExeCryptor 2.2.6), но ковыряясь в нем нашел "2.4.1". Эт версия ЕС?

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 23 октября 2008 00:57 New!
Цитата · Личное сообщение · #8

Dem0n1C пишет:
Народ, а Total Uninstall 4.9.3 тож EC накрыт? По крайней мере мне так выдал RDG(ExeCryptor 2.2.6), но ковыряясь в нем нашел "2.4.1". Эт версия ЕС?

Dem0n1C
Юзай поиск, такая тема по этой проге кажется, уже обсуждалась.

Ранг: 33.7 (посетитель)
Статус: Участник

Создано: 23 октября 2008 10:51 New!
Цитата · Личное сообщение · #9

inf1kek пишет:
Кто нить видел хоть раз - тутор для сабжа про подмену HWID?

Видел.Держи:EXECryptor 2.X HarwareID Patching Video Tutorial http://rapidshare.com/files/156706959/ExeCryptor_2.xx__HWID_Patching_.7z.html

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 25 октября 2008 12:31 New!
Цитата · Личное сообщение · #10

An_ton пишет:
Юзай поиск, такая тема по этой проге кажется, уже обсуждалась.
Эта версия нигде не обсужадалась, а та что обсуждалась не дает ответа на мой вопрос

Ранг: 39.7 (посетитель)
Статус: Участник

Создано: 25 октября 2008 22:14 · Поправил: s2003r New!
Цитата · Личное сообщение · #11

Dem0n1C,
если сам наковырял в проге 2.4.1 значит она и есть.


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 25 октября 2008 23:19 · Поправил: kioresk New!
Цитата · Личное сообщение · #12

На последних версиях Total Uninstall навешаны EXECryptor и Themida (или Code Virtualizer), об этом по-моему упоминалось в теме о TU на руборде.

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 26 октября 2008 00:50 New!
Цитата · Личное сообщение · #13

kioresk пишет:
На последних версиях Total Uninstall навешаны EXECryptor и Themida (или Code Virtualizer), об этом по-моему упоминалось в теме о TU на руборде.
Дай плз ссыль на эту тему, а то дороговато искать


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 26 октября 2008 01:04 New!
Цитата · Личное сообщение · #14

kioresk пишет:
На последних версиях Total Uninstall навешаны EXECryptor и Themida (или Code Virtualizer), об этом по-моему упоминалось в теме о TU на руборде.

что не помешало однако появиться кряку


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 16 января 2009 00:12 · Поправил: kioresk New!
Цитата · Личное сообщение · #15

Во-первых сразу скажу что имхо проще просто отключить крипторовскую антиотладку (о чем позже будет написано), чем морочиться с потоками. Но раз в теме по анпакеру задают вопросы о потоках — проведем миниликбез.

Для начала напомню, что в крипторе часть кода его различных процедур (например, API из SDK, всевозможные проверки и т.д.) специально выполняются в потоках для усложнения отладки.

Чтобы сразу понять что к чему, рассмотрим часть кода крипторовкой API EXECryptor_GetDate:

Code:
  1. 0046E0C1             call    RunInThread
  2. 0046E0C6             test    al, al
  3. 0046E0C8             jz      0046E0D4
  4. 0046E0C8
  5. 0046E0CA             lea     eax, [ebp-24h]
  6. 0046E0CD             push    eax
  7. 0046E0CE             call    GetSystemTimeAsFileTime
  8. 0046E0D3             retn
  9. 0046E0D3
  10. 0046E0D4             ...

Здесь криптор вызывает функцию RunInThread, которая создает поток, который в свою очередь выполнит код расположенный ниже jz 0046E0D4 и завершится на retn, а после криптор прыгнет по адресу 0046E0D4 и продолжит выполнение кода уже в обычном режиме.

Спросите зачем выполнять часть кода в потоке? Все просто, поскольку код (расположенный ниже jz) выполняется в потоке, то поставив на него хардварный бряк мы не остановимся. Т.е. на нем можно остановиться только если поставить обычный софтварный бряк (0xCC). А против софтварных бряков у криптора есть проверка CRC памяти. Т.е. выполнение кода в потоках и проверка CRC памяти должны препятствовать при отладке приложения и установке бряков, вот и все объяснение.

Идем дальше, у криптора есть несколько типов функций выполняющих код в потоке. Для нас важна только одна из них, которая вызывается из кода выполняющего различные проверки (не запущен ли отладчик, filemon, regmon и т.д.), поскольку отключив ее можно выключить антиотладку.

Конечно разработчики криптора не прошли мимо этого нюанса и в криптор версии 2.4.1 они добавили в эту функцию трюк со стеком (о котором говорил RSI), чтобы ее нельзя было отключить простой вставкой ret в начало функции потока.

На этом пока все, продолжение о трюке со стеком и как его обойти будет завтра.


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 17 января 2009 01:35 · Поправил: kioresk New!
Цитата · Личное сообщение · #16

Идем дальше, для начала напомню две вещи:

1. Трюк со стеком появился только в версии 2.4.1, поэтому если файл защищен предыдущими версиями криптора, то можно просто вставить ret в начало функции потока и потом заменить параметр для WaitForSingleObject c -1 на 0 (об этой чуть позже).

2. Начиная с версии 2.3.9 криптор хранит в защищенном файле строку с номером его версии, поэтому чтобы выяснить какой версий защищен файл нужно просто распаковать его и поискать строки «2.3.9», «2.4.0» или «2.4.1».

Так, теперь посмотрим интересующую нас функцию выполняющую код в потоке:

Code:
  1. RunInThread proc near
  2.          
  3.          ...
  4.          
  5.          push    0               ; lpName
  6.          push    0               ; bInitialState
  7.          push    0FFFFFFFFh      ; bManualReset
  8.          push    0               ; lpEventAttributes
  9.          call    CreateEventA
  10.          
  11.          xor     [esp], eax
  12.          push    eax
  13.          mov     eax, esp
  14.          push    0
  15.          mov     edx, esp
  16.          push    edx             ; lpThreadId
  17.          push    0               ; dwCreationFlags
  18.          push    eax             ; lpParameter
  19.          lea     eax, ThreadProcedure
  20.          push    eax             ; lpStartAddress
  21.          push    0               ; dwStackSize
  22.          push    0               ; lpThreadAttributes
  23.          call    CreateThread
  24.          
  25.          push    eax             ; hObject
  26.          call    CloseHandle
  27.          
  28.          pop     eax
  29.          pop     eax
  30.          push    eax             ; hObject
  31.          push    0FFFFFFFFh      ; dwMilliseconds
  32.          push    eax             ; hHandle
  33.          call    WaitForSingleObject
  34.          
  35.          call    CloseHandle
  36.          
  37.          xor     eax, eax
  38.          retn
  39.          
  40.          ...
  41.          
  42. RunInThread endp


Из приведенного кода видно что сразу после вызова CreateEvent криптор ксорит значение в стеке с регистром eax, потом с помощью CreateThread выполняет код в потоке, а потом ждет завершения потока вызывая WaitForSingleObject c параметром -1 (INFINITE).

Что нам это дает? А то, что:

1. Чтобы найти где ксорится стек, надо поставить хардварный бряк на CreateEventA, выйти из нее при срабатывании бряка и если мы вернулись не в секцию кода, а в одну из крипторовских секций — чуть потрейсить пока не встретим команду «xor [esp], eax». Это 1-е место, которое мы заменим на nop.

2. После этого чтобы найти начало функции потока, надо поставить хардварный бряк на CreateThread и посмотреть 3-й переданный ей параметр (esp+C = LPTHREAD_START_ROUTINE lpStartAddress). Это 2-е место, куда мы вставим ret.

3. После этого чтобы найти где в стек кладется -1 для WaitForSingleObject, надо поставить хардварный бряк на CloseHandle, выйти из нее при срабатывании бряка и чуть потрейсить пока не увидим что в стек кладется -1. Это 3-е место, которое мы заменим на push 0, чтобы криптор не ждал окончания потока, который завершился даже не начавшись.

В принципе вот и все что надо для отключения функции выполняющей в потоке кучу кода с различными проверками отладчика и прочей ерундой.

П.С.
На выходных опишу как найти в защищенном файле начало крипторовской EC_Antidebug, чтобы вообще отключать его антиотладку.

Добавлено:
Неа, на выходных дела были, не успел, а потому опишу позже.


Ранг: 660.5 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 января 2009 01:57 New!
Цитата · Личное сообщение · #17

Хм, это ж какой я счастливый человек - мне ещё ни разу не попадался 2.4.1.

Ранг: 116.5 (ветеран)
Статус: Участник

Создано: 18 января 2009 11:58 · Поправил: Valemox New!
Цитата · Личное сообщение · #18

kioresk
Спс за дельный рассказ, добавлю тока еще, чо при отломе протовского треда пропадает весь антидебаг и появляется возможность юзать софтварный бряк в оле (поправко: неа, потестил получе - нефига не заюзать CC по-прежнему).
ARCHANGEL
При желании отличиться мог бы, если захотел бы помучиться, я в соседнем топе по EC выкладывал файлик то (как раз 2.4.1).

Ранг: 2.5 (гость)
Статус: Участник

Создано: 19 января 2009 00:43 New!
Цитата · Личное сообщение · #19

Valemox
у меня было например вот так в одной проге
.....
mov edx, -1
push edx
.....траляля вызывается waitforsingleobject

или например при отключении проверки системной даты если сразу заменять setnz byte ptr [ebp-1] на mov byte ptr [ebp-1], 0 то прога бессловесно уходит в аут, приходилось делать прыжок на для выполнения setnz byte ptr [ebp-1] и записи на место прыжка mov byte ptr [ebp-1], 0. получалось что прога один раз выполняет setnz а потом вместо этого mov.

не думаю что открыл истину, но может быть поможет кому-нибудь)

Ранг: 116.5 (ветеран)
Статус: Участник

Создано: 25 февраля 2009 01:48 · Поправил: Valemox New!
Цитата · Личное сообщение · #20

Чота тут, все колом встало у нас. Сдвигаем с мертвой точки и вкуриваем полезную инфу по теме с сырками.
Тута лежит весь набор _hxxp://rapidshare.com/files/201926381/EC_MEGA_PROJECT.rar

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 25 февраля 2009 04:26 New!
Цитата · Личное сообщение · #21

Valemox
Описалово в лом запостить было?
This is the fruit of try to write an EC specific code-tracer-grabber that’s turning to a generic meta/polymorphic code grabber.

It works as it should but still needs some extra manual-scripting work. In fact, it’s only the lack of time that caused deferment of publishing this series and still does for part of it.

Despite everything, I decided to publish parts I’ve commented and organized, waiting for other parts to be done.

About the Series:

As above-mentioned, the hole project will be divided to a series of 3 to 4 parts and here is a listing of what the mega project holds as items:

EC_GetProcAddressProc: procedure that EC uses to get API address. (src included)
EC_GetKernel32HdlProc: procedure that EC uses to get kernel32.dll image base. (src included)
EC_DecryptStringsProc: procedure that EC uses to make research for string in protected app useless. With an extra, the reverse algo that makes it possible to encrypt a string , then search for the encrypted one in the protected one (src included)
EC_BuildIATProc: procedure responsible of IAT rebuilding before passing control to protected app.
EC notes on layers decryption : A draft paper about EC way/algo/trick used to decrypt sections and restore code.
EC_Get/SetRegistryInfoProc: procedure that EC uses to secure read/write to registry (src included).
EC_LDE: EC length disassembling machine.
EC_Thread_Proc: Procedures implementation of EC running threads and how they behave. (src included)
VM : The must of the hole project, implementation of EC virtual machine (src included).
ECzema : Little tool to fix and clean the virtualized instructions.
EXODus: Little tool to fix and clean the virtualized instructions that works as ODBG plugin.
PoMToc: The tracer


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 25 февраля 2009 11:53 New!
Цитата · Личное сообщение · #22

Ну тутси уже писал, повторюсь здесь.

ECzema (тулза для удаления виртуализованных инструкций) не работает правильно, часть инструкций восстанавливается ошибочно, часть вообще не восстанавливается (хотя может надо несколько раз файл обрабатывать тогда все будет ок), а с восстановлением условных переходов вообще труба.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 25 февраля 2009 14:18 New!
Цитата · Личное сообщение · #23

kioresk пишет:
не работает правильно,

;) А чего ты за беспокоился так? Чел может доведет до ума,для того и выложил видимо, удивительно было бы если она без косяков работала


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 25 февраля 2009 16:33 · Поправил: kioresk New!
Цитата · Личное сообщение · #24

А чего ты за беспокоился так?

Каждый интерпретирует информацию по своему. Я написал об ошибках, чтобы люди были в курсе, что пока утила работает неправильно, следовательно в очищенном коде будут ошибки, т.е. пока для анализа защищенных файлов ее лучше не использовать, а подождать когда автор исправит ошибки и выпустит финальную версию.

Чел может доведет до ума,для того и выложил видимо, удивительно было бы если она без косяков работала

Это уже кому как нравиться. У криптора очень простая вм, там нет ничего сверхестественного, поэтому я бы, например, не стал выкладывать инструмент не разобравшись до конца как и что работает и не протестировав его хорошенько.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 25 февраля 2009 19:47 New!
Цитата · Личное сообщение · #25

kioresk пишет:
там нет ничего сверхестественного

Хм ..это в смысле метафизического? что есть и такие? Это старая песня у меня есть но я никому не покажу а этот (скрипт , утиль и т.д) работает неправильно и не юзайте его Ну простая пропатчить если нужно немного а востанавливать весь код по любому гимор.
kioresk пишет:
Я написал об ошибках, чтобы люди были в курсе, что пока утила работает неправильно, следовательно в очищенном коде будут ошибки

Ну будут и что ? Их ни кто не увидит что ли без тебя?
kioresk пишет:
а подождать когда автор исправит ошибки и выпустит финальную версию.

Видимо афтор считает что на паблике он сделает это быстрей

Ранг: 2.3 (гость)
Статус: Участник

Создано: 14 мая 2009 14:46 New!
Цитата · Личное сообщение · #26

specz пишет:
перезалил
slil.ru/23147460 - Olly
slil.ru/23147461 - tutor

перезалеите это пожалуста на rapidshare.de

Ранг: 49.3 (посетитель)
Статус: Участник

Создано: 14 мая 2009 16:08 New!
Цитата · Личное сообщение · #27

Asik пишет: перезалеите это пожалуста на rapidshare.de
rapidshare.de/files/47155514/rar.rar.html

Ранг: 2.3 (гость)
Статус: Участник

Создано: 15 мая 2009 12:02 New!
Цитата · Личное сообщение · #28

user_ пишет:
--> Link <--

NOD 32 пишет вирус


Ранг: 1991.4 (!!!!)
Статус: Модератор
retired

Создано: 15 мая 2009 16:10 New!
Цитата · Личное сообщение · #29

Значит, не юзай, никто не заставляет. Заколебали уже постить про вирусы. Не в состоянии сами посмотреть, есть ли там вирус-не пишите ничего. А результаты говноаверов не стоит сюда выкидывать.
З.Ы. Сам не смотрел, но почти уверен, что всё там норм.

Ранг: -9.6 (нарушитель)
Статус: Участник

Создано: 14 июля 2009 10:55 New!
Цитата · Личное сообщение · #30

Valemox пишет:
hxxp://rapidshare.com/files/201926381/EC_MEGA_PROJECT.rar

перезалейте у кого осталось


Ранг: 655.1 (! !)
Статус: Участник
CyberMonk

Создано: 14 июля 2009 13:06 New!
Цитата · Личное сообщение · #31

ViCQ пишет:
Valemox пишет:
hxxp://rapidshare.com/files/201926381/EC_MEGA_PROJECT.rar
перезалейте у кого осталось

rapidshare.com/files/255664826/EC_MEGA_PROJECT.rar.html
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS