eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rdpdo2002, vitek9603 (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 617.3 (!)
Статус: Участник

Создано: 7 апреля 2012 15:13 New!
Цитата · Личное сообщение · #2

ManHunter
Не в том дело, на тутс4ю тоже нормальный архив, а от NikolayD какая-то хрень(не в первый раз).

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 7 апреля 2012 19:33 New!
Цитата · Личное сообщение · #3

Vovan666, ты на что намекаешь? ))) Паковал зипом с этими опциями:

Ранг: 617.3 (!)
Статус: Участник

Создано: 7 апреля 2012 19:41 New!
Цитата · Личное сообщение · #4

Да ни на что ни намекаю, ни один стандартный архиватор не берет твои архивы.

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 7 апреля 2012 19:44 New!
Цитата · Личное сообщение · #5

А 7-zip не стандартный архиватор!?

Ранг: 280.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 7 апреля 2012 19:48 New!
Цитата · Личное сообщение · #6

выкинул винрар нахер, юзаю ужо пару месяцев HaoZip

Доволен как слон. Бесплатен, интерфейс один в один как у винрара. из минусов - только в рар паковать нельзя, но зато можно в 7zip. И кстати архив который давал NikolayD в нём прекрасно открываецо.

P.S.: пропиарил)

| Сообщение посчитали полезным: mak, NikolayD



Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 7 апреля 2012 20:39 New!
Цитата · Личное сообщение · #7

NikolayD
Выбирай метод сжатия Deflate и всем будет счастье ;)

| Сообщение посчитали полезным: sivorog



Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 6 июля 2012 02:22 · Поправил: kioresk New!
Цитата · Личное сообщение · #8

Все никак не найду время доделать отдеморфленные файлы криптора 2.3.9, поэтому решил выкладывать промежуточные итоги, т.к. кому-то они возможно помогут в изучении криптора.

Часть первая

http://www.revenge-crew.com/xchg/kio/EXECrypt.v2.3.9.Restored.Code.zip (Zip, 1 Мбайт)

Внутри:

1. Распакованная консольная часть криптора 2.3.9 (EXECrypt.exe)
2. Листинги восстановленного кода и вызовов API криптора из кода

Листинги кода сделаны для Multimate Assembler (MA), т.к. я восстанавливаю код с помощью него примерно так:

1. Добавляем секцию к файлу
2. Собираем восстановленный код в один текстовый файл
3. Вначале файла вставляем заголовки из восстановленного кода (то что идет до комментариев)
4. Затем вставляем сам восстановленный код

В итоге должно получить что-то вроде:

<458396> jmp @restored_code_458396
<458502> jmp @restored_code_458502
...

<адрес начала созданной секции>

@restored_code_458396:
lea edx, [ebp+FFFFFFC4]
...

@restored_code_458502:
lea edx, [ebp+FFFFFFB0h]
...
...

Затем все это дело вставляем в файл с помощью MA и потом изучаем полученный файл с помощью IDA.


Дополнение 1

Код вида

@restored_code_45D45D:
cmp dword ptr [786E44h], 43B84Ah
jnz 45D47Ah
jz @loc_7C6CCC

@loc_7C6CCC:
cmp dword ptr [786E44h], 43B84Ah
jnz 45D47Ah
jz @loc_6E5B6C

Это упрощенный/переделанный макрос CRYPT_REG/CRYPT_UNREG, т.е. к исходному коду он отношения не имеет, а был добавлен криптором при защите кода.
И само собой изначально там нет прямого сравнения только 1-й регистрационной константы (dword ptr [786E44h]) с правильным значением (43B84Ah).

Напомню, что этот макрос нужен для того чтобы выполнялся один код если прога зарегана и другой код если прога незарегана.

Дополнение 2

Файлы ecwrappers_XX - это листинги какие API криптора вызываются из восстановленного кода.
Файлы с листингом кода и вызовами API сопоставляются по адресу в имени файла (т.е. ecwrappers_45D47A.txt относится к code_45D47A.txt).

Формат простой:

1. ## - Номер
2. Address - адрес где вызывается в коде (в файле с восстановленным кодом адреса идут справа в комментариях)
3. Wrapper - адрес начала враппера к API
4. Api - адрес настоящего начала API
5. Name - тип вызываемой API

Напомню, что врапперы в крипторе используются чтобы скрыть настоящее начало API функции и чтобы даже если начало API нашли, то нельзя было посмотреть откуда она вызывается по XREF'ам.

| Сообщение посчитали полезным: yanus0, drone, mak, Jim DiGriz



Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 8 сентября 2012 09:09 New!
Цитата · Личное сообщение · #9

нахождение некоторых полезных констант


{ Атач доступен только для участников форума } - reg-const.zip

| Сообщение посчитали полезным: DimitarSerg, Vnv, kioresk


Ранг: 287.7 (наставник)
Статус: Модератор
CrackLab

Создано: 8 сентября 2012 20:45 New!
Цитата · Личное сообщение · #10

хм, хоть бы описалово в неск. строчек, что за константы и чем полезны

| Сообщение посчитали полезным: schokk_m4ks1k



Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 8 сентября 2012 22:36 New!
Цитата · Личное сообщение · #11

SReg
если чисто экзекрипторная регистрация в программе то в этих 8 двордах (получаемых скриптом) находится
вся инфа о зарегистрированности

Ранг: 7.2 (гость)
Статус: Участник

Создано: 22 октября 2012 04:33 New!
Цитата · Личное сообщение · #12

Ребят, подскажите пару моментом по EXECryptor"у, а то я себе уже моск сплавил...

Есть прого: http://sderni.ru/150496 (пасс: qp1212zm). На ней висит какая-то хрень. Аналайзеры орут - PeTite (что явно не оно), или вообще неупаковано, но есть основания полагать, что там EXECryptor 2.хх. Это бы ничего, но он, зараза, какой-то странный. Не могу понять, где подвох...

Импорт валяется в открытом виде. Из антидебага - только проверка контрольки памяти, которая убивается за две секунды. Сам код тоже, по идеи, никак не упакован.

Но есть пара "чудных" моментов:
Во-первых, его не берут ни одна из тулз или скриптов, что у меня в наличии.
До ОЕР дотопать ни одним из известных мне способов нифига не получается. Абсолютно по мазохистски откатываясь по процедурам назад набрел на такое место - по идее ОЕР:

Code:
  1. 004F9C53   .  6A 58         PUSH 58
  2. 004F9C55   .  68 90DB5300   PUSH anytoiso.0053DB90
  3. 004F9C5A   .  E8 D9030000   CALL anytoiso.004FA038
  4. 004F9C5F   .  33DB          XOR EBX,EBX
  5. 004F9C61   .  895D E4       MOV DWORD PTR SS:[EBP-1C],EBX
  6. 004F9C64   .  895D FC       MOV DWORD PTR SS:[EBP-4],EBX
  7. 004F9C67   .  8D45 98       LEA EAX,DWORD PTR SS:[EBP-68]
  8. 004F9C6A   .  50            PUSH EAX                                 ; /pStartupinfo
  9. 004F9C6B   .  FF15 50715000 CALL DWORD PTR DS:[<&KERNEL32.GetStartup>; \GetStartupInfoA
  10. 004F9C71   .  C745 FC FEFFF>MOV DWORD PTR SS:[EBP-4],-2
  11. 004F9C78   .  C745 FC 01000>MOV DWORD PTR SS:[EBP-4],1
  12. 004F9C7F   .  64:A1 1800000>MOV EAX,DWORD PTR FS:[18]
  13. 004F9C85   .  8B70 04       MOV ESI,DWORD PTR DS:[EAX+4]
  14. 004F9C88   .  BF 34805600   MOV EDI,anytoiso.00568034
  15. 004F9C8D   >  6A 00         PUSH 0
  16. 004F9C8F   .  56            PUSH ESI
  17. 004F9C90   .  57            PUSH EDI
  18. 004F9C91   .  FF15 54715000 CALL DWORD PTR DS:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange


но поймать момент перехода упаковщика на ОЕР (если это таки она) все равно не получается.

дальше: есть процедура проверки лицензии, которая вызывается на старте проги:

Code:
  1. 0040849A  |.  52            PUSH EDX
  2. 0040849B  |.  68 6C905000   PUSH anytoiso.0050906C                   ; UNICODE "RegName"
  3. 004084A0  |.  E8 A0721900   CALL anytoiso.0059F745
  4. 004084A5  |.  8D85 ECFDFFFF LEA EAX,DWORD PTR SS:[EBP-214]
  5. 004084AB  |.  50            PUSH EAX
  6. 004084AC  |.  68 7C905000   PUSH anytoiso.0050907C                   ; UNICODE "SerialNum"
  7. 004084B1  |.  E8 00DB1800   CALL anytoiso.00595FB6
  8. 004084B6  |.  6A 00         PUSH 0
  9. 004084B8  |.  6A 00         PUSH 0
  10. 004084BA  |.  8D8D ECFDFFFF LEA ECX,DWORD PTR SS:[EBP-214]           ; Load Serial
  11. 004084C0  |.  51            PUSH ECX
  12. 004084C1  |.  8D95 ECFBFFFF LEA EDX,DWORD PTR SS:[EBP-414]           ; Load UserName
  13. 004084C7  |.  52            PUSH EDX
  14. 004084C8  |.  E8 6B741900   CALL anytoiso.0059F938 
  15. 004084CD  |.  E8 BD5B1A00   CALL anytoiso.005AE08F -------- здесь какой-то крипто-шаманизм над именем/серийником
  16. 004084D2  |.  83F8 03       CMP EAX,3  ------ результат которого сравнивается с 3-ой. !!
  17. 004084D5  |.  0F85 B2000000 JNZ anytoiso.0040858D --- с правкой этого джампа, вся защита идет курить.


Так вот, я чего-то совсемь не доганяю:
А) на проге нет (кроме контрольки памяти) никакой защиты, нифига не попаковано, проверка серийника, которая обращается в секцию пакера и что-то там активно криптит, отламывается патчем одного перехода - как-то не слишком похоже на EXECryptor...
Б) с другой стороны, никак не могу отломать сам пакер от программы (хотя вроде как и нет смысла, но все же - спортивный интерес).

Будет свободная минутка, товарищи продвинутые, просветите, пожалуйста, что это за ересь такая.


Ранг: 329.2 (мудрец)
Статус: Участник
born to be evil

Создано: 22 октября 2012 10:54 New!
Цитата · Личное сообщение · #13

Simargl
execryptor с опциями спереть oep, виртуализация куска кода, похоже. паковки нет

Ранг: 440.8 (мудрец)
Статус: Участник

Создано: 22 октября 2012 11:23 New!
Цитата · Личное сообщение · #14

OEP
Code:
  1. call 4FA3B8
  2. jmp 4F9C53

Ранг: 7.2 (гость)
Статус: Участник

Создано: 22 октября 2012 14:21 · Поправил: Simargl New!
Цитата · Личное сообщение · #15

Разобрался. Всем спасибо!

tihiy_grom
буду благодарен, если подскажеш, как ты до ОЕР дошел. а то у меня по нормальному так и не получилось.
я так понимаю, прот спер ОЕР себе в секцию и первую команду завиртуалил?
откуда идет джамп я знаю, а вот первый колл все равно поймать не могу))

Ранг: 440.8 (мудрец)
Статус: Участник

Создано: 22 октября 2012 15:15 New!
Цитата · Личное сообщение · #16

скрипт запускать с OEP

Code:
  1. BPHWC
  2. BPHWS esp-4, "r"
  3. RUN
  4. RUN
  5. RUN
  6. RUN
  7. RUN
  8. RUN
  9. BPRM 401000, 106000
  10. RUN

Ранг: 7.2 (гость)
Статус: Участник

Создано: 24 октября 2012 18:24 New!
Цитата · Личное сообщение · #17

Ребят, перезалейте пожалуйста кто-небудь сборку из этого поста:
--> Link <--

tihiy_grom
я так куда то безвозвратно в дербри seh улетаю. ну, ладно, всер равно уже вроде как разобрался. спасибо.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 2 марта 2013 01:51 New!
Цитата · Личное сообщение · #18

А где сам протектор Execryptor скачать ? Мне нужна версия 2.2, сейчас читаю статьи vnekrilova про распакову программы prevedsms на версии 2.2. Но не могу найти в гугле ни этой программы версии 5.1, ни протектора этого. У него хоть есть официальный сайт ?


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 2 марта 2013 02:00 New!
Цитата · Личное сообщение · #19

kola1357 пишет:
А где сам протектор Execryptor скачать ? Мне нужна версия 2.2, сейчас читаю статьи vnekrilova про распакову программы prevedsms на версии 2.2. Но не могу найти в гугле ни этой программы версии 5.1, ни протектора этого. У него хоть есть официальный сайт ?


Все прекрасно ищется. А сайт вот http://www.strongbit.com/execryptor.asp (первая ссылка в гугле).

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 2 марта 2013 11:30 New!
Цитата · Личное сообщение · #20

hors пишет:
Все прекрасно ищется

А где программу взять для 5.1 ?
И не вижу ссылок на скачивание на этом сайте. Какой оттуда скачать надо ?
Я скачал этот EXECryptor 2.3.9 from 20 Mar 2006, установил, но при запуске он пишет Dubeger detected [97]
Все отладчики выключены. Что это за ошибка ? Или он на 7 не работает?


Ранг: 482.6 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 3 марта 2013 04:28 New!
Цитата · Личное сообщение · #21

kola1357:
А где сам протектор Execryptor скачать ? Мне нужна версия 2.2

Версия EXECryptor v2.2.6 лежит на форуме в разделе "скачать", подраздел "Упаковщики и протекторы"

Ранг: 42.9 (посетитель)
Статус: Участник

Создано: 3 марта 2013 14:12 · Поправил: Konstantin New!
Цитата · Личное сообщение · #22

kola1357 пишет:
А где программу взять для 5.1 ?

--> Link <--

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 4 марта 2013 17:35 New!
Цитата · Личное сообщение · #23

Спасибо за программу.

Еще одна ошибка произошла, скачал я execrypter с того сайта, попробовал им упаковать программу. Упаковал, написал что выполнено успешно. Пробую запустить программу и получаю ошибку о том, что что-то пошло не так, и программа будет закрыта.
Почему так происходит подскажите, пожалуйста. Уже не первый раз так у меня бывало, что после упаковки протектором, программа отказывается работать. ОС у меня: windows 7 32 бита.

Ранг: 617.3 (!)
Статус: Участник

Создано: 4 марта 2013 17:51 New!
Цитата · Личное сообщение · #24

kola1357

Потому что EXECryptor v2.2.6 был изобретен задолго до 7 и даже висты, и автор не подозревал, что появятся такие оси, где exe будет грузиться в памяти куда попало.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 6 марта 2013 00:34 · Поправил: kola1357 New!
Цитата · Личное сообщение · #25

Vovan666 пишет:
EXECryptor v2.2.6 был изобретен задолго до 7

Спасибо, значит, изучать крекинг в оллудбг только на хп можно нормально, потому что на 7 все сильно лагает, к примеру, плагин olly advanced, из-за него оллу вылетает там сразу.

Также еше по Execryptor вопрос. Интересуюсь антиотладочными приемами. Читал лекции Рикардо Нарвахи, но он рассказывает самые основные. А в том же плагине olly advanced я увидел много антиотладочных функций, про которые я увы не нашел в его лекциях.

Так вот мне интересно отлаживать программу руками. Поэтому такой вопрос: какие антиотладочные приемы использует Execryptor ? Слышал про CreateThread И WaitSingleObject, про них знаю в этом протекторе. Но думаю, что он не только эти использует, а какие еще есть у него ?
Потому что чтобы мне запустить программу в отладчике, мне нужно поставить бряки на все апи функции антиотладки, которые использует этот протектор. Подскажите их, пожалуйста.

Также может кто объяснит как Execryptor определяет мой отладчик оллу, который запускается под другим именем процесса, имя окна и класс скрыты. Когда я запускаю программу, упакованную в Execryptor, вне отладчика, то отладчик сразу закрывается. Это я говорю про отладчик от Рикардо, который Parcreado4.exe

Ранг: 37.9 (посетитель)
Статус: Участник

Создано: 6 марта 2013 00:56 · Поправил: Carpe DiEm New!
Цитата · Личное сообщение · #26

kola1357
kola1357 пишет:
но он рассказывает самые основные. А в том же плагине olly advanced я увидел много антиотладочных функций, про которые я увы не нашел в его лекциях.


{ Атач доступен только для участников форума } - ollyadvanced.chm

Add: попробую без адвенседа с одним только Фантомом, его за глаза должно хватить для криптора.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 9 марта 2013 00:30 New!
Цитата · Личное сообщение · #27

Где-то на этом сайте видел статью, в которой описываются оеп программ, написанных на делфи, на си ...
Но никак найти не могу, поиск форума измучал уже.
Также вот еще 1 проблема. Написал простенький крекми на с#, пробую открыть его в олли, а он не останавливается на точке входа, а сразу запуск программы происходит. Почему так, может кто сталкивался с этим, помогите, пожалуйста.

Ранг: 25.8 (посетитель)
Статус: Участник

Создано: 9 марта 2013 00:53 · Поправил: -=Hellsing=- New!
Цитата · Личное сообщение · #28

kola1357 пишет:
Где-то на этом сайте видел статью, в которой описываются оеп программ, написанных на делфи, на си ...


Зачем вам статьи откроите, любую программу в OllyDbg не запакованную на делфи, или си, и увидите как выглядит настоящие OEP. Криптор обычно, начало из OEP полиморфит вставляет джампы, чтобы затруднить поиск OEP. Но такие функции как первый
CALL GetModuleHandleA, он не трогает, это может быть первый признак что гдето рядом OEP, в rar статьях vnekrilov, об этом подробно писал. Си прогах примерно также. --> Link <--

Ранг: 2.0 (гость)
Статус: Участник

Создано: 2 апреля 2013 18:24 New!
Цитата · Личное сообщение · #29

Пожалуйста, поделитесь...
EXECryptor 2.3.9 или ниже DeVirtualizer / DEVM скрипт или инструмент.

Ранг: 440.8 (мудрец)
Статус: Участник

Создано: 2 апреля 2013 22:49 New!
Цитата · Личное сообщение · #30

NeverMore пишет:
EXECryptor 2.3.9 или ниже DeVirtualizer / DEVM скрипт или инструмент.

http://tuts4you.com/download.php?view.2863

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 5 апреля 2013 00:36 · Поправил: Jaa New!
Цитата · Личное сообщение · #31

ExeCryptor Basic Unpacker 1.0 by LCF-AT (script)

--> тутси <--


{ Атач доступен только для участников форума } - ExeCryptor Basic Unpacker 1.0.rar
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS