eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: tamnt1306 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 153.9 (ветеран)
Статус: Участник
reborn

Создано: 30 ноября 2006 01:21 New!
Цитата · Личное сообщение · #2

pavka
Ух ты, спасибо, неплохой тутор, спасиб.

Ранг: 200.3 (наставник)
Статус: Участник

Создано: 30 ноября 2006 06:25 New!
Цитата · Личное сообщение · #3

Тутор неплохой, но толку от него по-моему мало.

Ранг: 64.0 (постоянный)
Статус: Участник

Создано: 30 ноября 2006 14:47 New!
Цитата · Личное сообщение · #4

DrFits пишет:
Тутор неплохой, но толку от него по-моему мало.

толк есть, просто распаковка программы напрямую зависит от настроек криптора


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 1 декабря 2006 00:28 · Поправил: PE_Kill New!
Цитата · Личное сообщение · #5

нихрена там не зависит, просто никто в крипторе не разбирался, и распаковывают его каждый раз так, как будто это новый прот. А те кто разбирался писать ничего не будут, вот и появляются стотьи про снятие криптора с минимальными настройками, т.к. тогда можно и без знания криптора его снять....

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 декабря 2006 17:34 New!
Цитата · Личное сообщение · #6

Тутор от haggar по ExeCryptor 2.3.9
www.reversing.be/article.php?story=20061206203632615


Ранг: 462.8 (мудрец)
Статус: Участник
Only One!

Создано: 6 декабря 2006 21:40 New!
Цитата · Личное сообщение · #7

pavka

Тоже самое в ПДФ.


{ Атач доступен только для участников форума } - ExeCryptor 2.3.9 - Unpacking.pdf

Ранг: 516.1 (!)
Статус: Участник

Создано: 7 декабря 2006 04:00 New!
Цитата · Личное сообщение · #8

туторы haggar'овские можно найти на оф.сайте reversing.be


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 10 марта 2007 04:50 New!
Цитата · Личное сообщение · #9

этот мне понравился


{ Атач доступен только для участников форума } - ExeCryptor offcial.zip


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 10 марта 2007 22:22 New!
Цитата · Личное сообщение · #10

Что с аттачами? последние два не читаются... тось не находятся
можт на рапиду залейте.

Ранг: 4.0 (гость)
Статус: Участник

Создано: 11 марта 2007 01:01 New!
Цитата · Личное сообщение · #11

r99 тутор не качается кинь еще раз пожалуйста!


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 11 марта 2007 05:09 New!
Цитата · Личное сообщение · #12

ssasha
reversing.be/


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 8 мая 2007 18:51 New!
Цитата · Личное сообщение · #13

может кому сгодится
rapidshare.com/files/30189552/24rc1b2.zip.html
внутри консольная часть: оригинал и распакованная (по крайней мере на XP sp2 rus и w2ksp4rus пишет
- ключ неправильный )

Ранг: 3.0 (гость)
Статус: Участник

Создано: 31 мая 2007 13:49 New!
Цитата · Личное сообщение · #14

Помогите с распаковкой. PeId говорит EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1) *
я в этом деле новичек, вроде все сделал правильно, востановил импорт, нашел EP. Все равно не запускается. В архиве исходный файл, и распакованый + tree Importrec-a
http://slil.ru/24444691 http://slil.ru/24444691
Thanx


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 31 мая 2007 14:00 New!
Цитата · Личное сообщение · #15

kojak
тебе OEP нужен
спроси у Павки ( у него энциклопедия по ним)

Ранг: 3.0 (гость)
Статус: Участник

Создано: 31 мая 2007 14:09 New!
Цитата · Личное сообщение · #16

дак я нашел OEP и stolen bytes тоже. так как прога на делфи написана, изменил TLS Directory EC на делфийскою.. но не пашет чето..


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 31 мая 2007 14:27 New!
Цитата · Личное сообщение · #17

дык OEP должен выглядеть скорее так

push ebp
mov ebp,esp
add esp,-x
mov eax,49a6d8
call 406d00
jmp xxxxx

чем так

mov eax,49a6d8
jmp 406d00

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 31 мая 2007 15:52 New!
Цитата · Личное сообщение · #18

r99 пишет:
push ebp
mov ebp,esp
add esp,-x
mov eax,49a6d8
call 406d00
jmp xxxxx

чем так

mov eax,49a6d8
jmp 406d00


в принципе прога запустится и если просто в еах заслать dword
только как правило криптор тырит пять ,шесть процедур со стаба или весь стаб да при инициализации чекает пару тройку раз ;)

Ранг: 3.0 (гость)
Статус: Участник

Создано: 31 мая 2007 16:17 New!
Цитата · Личное сообщение · #19

т.е. получается то что находится по 49a6d8 не похоже на оригинальный код?
Пробовал искать референсы на 49a6d8, ниче не находит

Ранг: 3.0 (гость)
Статус: Участник

Создано: 31 мая 2007 16:25 New!
Цитата · Личное сообщение · #20

в смысле процедура по адресу 49a6d8, в оригинальном коде вызывается из OEP или еще из другой?
честно говоря мне не понятно, потому как 49a6d8 похоже на оригинальное OEP. Просветите плиз.

затыкается здесь
0044C71C 73 5E JNB SHORT Dumped3_.0044C77C

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 31 мая 2007 18:03 New!
Цитата · Личное сообщение · #21

kojak
Если я правилно понял то ты написал начало mov eax,49a6d8
jmp 406d00
а дальше то чего ты хочешь? какой код у тебя будет выполняться Предположим отработал у тебя первый кэлл а дальше то что куда возврат?

Ранг: 3.0 (гость)
Статус: Участник

Создано: 31 мая 2007 18:40 New!
Цитата · Личное сообщение · #22

pavka

49a6d8 - это указатель на таблицу инициализации
406d00 - адрес предполагаемого OEP

На мой взгляд ОЕП правильный так, как если поставить бп 404590 тут с ней чета делается,
вызываются другие процедуры, к примеру как с 44c704.
Но видимо чего-то не хватает, т.к. приложение закрывается, окно не появляется


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 31 мая 2007 20:06 New!
Цитата · Личное сообщение · #23

kojak не зли Павку
на улице +30
лучше посмотри реальную прогу на Делфи не пакованную

Ранг: 3.0 (гость)
Статус: Участник

Создано: 1 июня 2007 02:51 New!
Цитата · Личное сообщение · #24

смотрел япока не выходит каменный цветок

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 1 июня 2007 03:34 New!
Цитата · Личное сообщение · #25

pavka пишет:
бп 404590 тут с ней чета делается,

Там не че то должно делатся ;) Вот пример тебе
00442BBF _> 55 push ebp
00442BC0 8BEC mov ebp,esp
00442BC2 83C4 F0 add esp,-10
00442BC5 53 push ebx
00442BC6 B8 EC294400 mov eax,_CrazyMi.004429EC ; ,
00442BCB E8 0427FCFF call _CrazyMi.004052D4 <-------------------------- 1 Сall обработал таблицу
00442BD0 8B1D D0414400 mov ebx,dword ptr ds:[4441D0] это как правило сперто
00442BD6 8B03 mov eax,dword ptr ds:[ebx] исполняется в коде прота
00442BD8 E8 3B6BFEFF call _CrazyMi.00429718
00442BDD 8B0D 0C3F4400 mov ecx,dword ptr ds:[443F0C] ; _CrazyMi.0044578C
00442BE3 8B03 mov eax,dword ptr ds:[ebx]
00442BE5 8B15 586B4300 mov edx,dword ptr ds:[436B58] ; _CrazyMi.00436B98
00442BEB E8 406BFEFF call _CrazyMi.00429730
00442BF0 8B0D 64404400 mov ecx,dword ptr ds:[444064] ; _CrazyMi.0044662C
00442BF6 8B03 mov eax,dword ptr ds:[ebx]
00442BF8 8B15 48EF4300 mov edx,dword ptr ds:[43EF48] ; _CrazyMi.0043EF88
00442BFE E8 2D6BFEFF call _CrazyMi.00429730
00442C03 8B0D CC404400 mov ecx,dword ptr ds:[4440CC] ; _CrazyMi.00445794
00442C09 8B03 mov eax,dword ptr ds:[ebx]
00442C0B 8B15 6C784300 mov edx,dword ptr ds:[43786C] ; _CrazyMi.004378AC
00442C11 E8 1A6BFEFF call _CrazyMi.00429730
00442C16 8B0D 78414400 mov ecx,dword ptr ds:[444178] ; _CrazyMi.00445770
00442C1C 8B03 mov eax,dword ptr ds:[ebx]
00442C1E 8B15 28674300 mov edx,dword ptr ds:[436728] ; _CrazyMi.00436768
00442C24 E8 076BFEFF call _CrazyMi.00429730
00442C29 8B0D D8414400 mov ecx,dword ptr ds:[4441D8] ; _CrazyMi.004457B4
00442C2F 8B03 mov eax,dword ptr ds:[ebx]
00442C31 8B15 64814300 mov edx,dword ptr ds:[438164] ; _CrazyMi.004381A4
00442C37 E8 F46AFEFF call _CrazyMi.00429730
00442C3C 8B0D A4404400 mov ecx,dword ptr ds:[4440A4] ; _CrazyMi.004457BC
00442C42 8B03 mov eax,dword ptr ds:[ebx]

Ранг: 12.4 (новичок)
Статус: Участник

Создано: 5 июня 2007 16:49 New!
Цитата · Личное сообщение · #26

А ктонить может обновить линк на OEPFinder v.X.Y.Z ?
ЗЫ. Зарание спс 8)


Ранг: 1991.4 (!!!!)
Статус: Модератор
retired

Создано: 5 июня 2007 16:57 New!
Цитата · Личное сообщение · #27

xenus
Ссыль на сайт автора Deroko, наверно, там последняя hххp://deroko.phearless.org/oepfinder.zip

Ранг: 12.4 (новичок)
Статус: Участник

Создано: 5 июня 2007 18:26 · Поправил: xenus New!
Цитата · Личное сообщение · #28

Или сани не едут или ... или экзэшник долбанутый =)

Помогите разобараться, пробовал распоковать экзешник(в PEid написал "EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h3) *") при помощи различных туториалов(из этого поста) распоковать одну прогу но все гденить да спотыкаюсь... сперва споткнулся: OEP Finder v X.Y.Z при трэйсе экзэшника просто сильно ругался, а потом при запуске скрипта "Bypass AntiDBG OEP.txt" вопще процесс остановился на "LOCK INT3 ; LOCK prefix is not allowed" ну дальше не буду расписывать...

Помогите распаковать вот этот файлик -> hxxp://xenus-rus.hotmail.ru/ET.zip (~1.3 mb)
И буду очень благодарен если к нему еще описание по распаковке приложат =)


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 5 июня 2007 21:17 · Поправил: r99 New!
Цитата · Личное сообщение · #29

xenus
странный exe-шник
уже 2-й такой встречаю

ps
http://slil.ru/24471443 http://slil.ru/24471443 - нулевой патч

pps
по адресу 00aa85c7 - после распаковки появляется бяка - f0 cc (lock int3)
если заменить f0 на 90 то будет легче


Ранг: 1991.4 (!!!!)
Статус: Модератор
retired

Создано: 5 июня 2007 21:34 New!
Цитата · Личное сообщение · #30

Да олька эксепшены некоторые через задницу хендлит. Хеллспаун должен, наконец, релизнуть очередную версию плага PhantOm, где будет патч этой фиговины. Сам я не вдавался там в подробности с этими исключениями, так что может дело в них, хз.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 6 июня 2007 01:06 New!
Цитата · Личное сообщение · #31

rapidshare.com/files/35460277/et-unpacked.zip.html
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS