eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: tamnt1306 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 2.9 (гость)
Статус: Участник

Создано: 6 июля 2007 07:26 New!
Цитата · Личное сообщение · #2

r99 пишет:
rapidshare.com/files/35460277/et-unpacked.zip.html

благодарю. Не расскажешь, как распаковал? Я с ним промучался тоже долго.


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 16 июля 2007 12:43 New!
Цитата · Личное сообщение · #3

так как баротся с этой шнягой и что это детект дебага или что то другое?
LOCK INT1 ; LOCK prefix is not allowed

Ранг: 8.2 (гость)
Статус: Участник

Создано: 18 июля 2007 15:03 New!
Цитата · Личное сообщение · #4

could you guys Unpack ExeCryptor-Protected files ??
i have a file that i want it to be unpacked, i tried so much, but i was unable to do it.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 3 августа 2007 22:14 New!
Цитата · Личное сообщение · #5

Я так понимаю туторов про то как правильно падчить проверки на распакованность не было нет и не будет?

Ранг: 38.2 (посетитель)
Статус: Участник

Создано: 4 августа 2007 18:25 New!
Цитата · Личное сообщение · #6

так как баротся с этой шнягой и что это детект дебага или что то другое?
LOCK INT1 ; LOCK prefix is not allowed


- бороться можно, надо создавать дебагер новый, чем-то похожий на компилятор, может быть по-проще. Чтобы он запоминал куда прога пишет и потом использует записанное.
LOCK INT1 - это ловушка, специально придуманая под Олю. Надо чтобы на такие команды оля сразу ставила бряк на предыдущий обработчик экзепшна, (чтобы не пропустить и одной команды,) и спокойно скармливала это г...о программе. Нужен инструмент нового поколения. И тогда борьба эта закончится чисто по причине нехватки терпения юзера ждать пока программа распакуется.

Ранг: 6.0 (гость)
Статус: Участник

Создано: 11 августа 2007 09:12 · Поправил: Argot New!
Цитата · Личное сообщение · #7

[удалено]

Ранг: 6.0 (гость)
Статус: Участник

Создано: 11 августа 2007 09:14 New!
Цитата · Личное сообщение · #8

Прочитал весь топик, просмотрел все туты. Но так и не нашел про методику распаковки Dll`ок упакованых
ExeCryptor`ом. Так как все предложеные методики не помогают.
Мучаюсь уже неделю с распаковкой Dll`ки. Знаю, что точно упакована ExeCryptor`ом 2.2.x-2.3.x

Может есть у кого опыт и подскажет?
Буду признателен.

{ Атач доступен только для участников форума } - Fire.dll

Ранг: 6.0 (гость)
Статус: Участник

Создано: 14 августа 2007 12:47 New!
Цитата · Личное сообщение · #9

Ну что дорогие ГУРУ не поделитесь секретом распаовки дллок запаковынных ExeCpyptor`ом ?


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 14 августа 2007 14:06 New!
Цитата · Личное сообщение · #10

Argot
Без самой проги её врядли нормально вскроешь,потому что по тем адресам, с этим имиджбейс,ольга грузить не хочет.Попробуй вскрыть из под сабжа,на экспорте которого висит библа,или выправь имиджбейс,и пробуй так.Вскрытие dll ничем не отличается от исполняемых файлов.

Ранг: 146.7 (ветеран)
Статус: Участник

Создано: 14 августа 2007 14:33 New!
Цитата · Личное сообщение · #11

Bronco
Без самой проги её врядли нормально вскроешь
нормально вскрывается, импорт можно выправить как у Павки в туторе про анпак happyharvester2U.exe, ОЕР не сперта. Единственное что нельзя проверить без оригинальной проги (я так понял это прибамбас для сервера LineAge2) - так это работоспособность после распаковки. Могут еще траблы с релоками быть...


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 14 августа 2007 15:54 · Поправил: Bronco New!
Цитата · Личное сообщение · #12

s0cpy
Единственное что нельзя проверить без оригинальной проги
Те же яйца,только в профиль
Может я ошибаюсь,но табличка нетронута.А вот ОЕР по ходу размазано.
Чтоб траблов с релоками не было,лучше из под сабжа вскрывать.
Хотя,я не гуру по криптору,да и вообще не гуру,но вопрос же был про то как библы вскрывать.

Ранг: 146.7 (ветеран)
Статус: Участник

Создано: 14 августа 2007 18:52 · Поправил: s0cpy New!
Цитата · Личное сообщение · #13

Bronco
А вот ОЕР по ходу размазано.
да, поспешил я с ОЕР... , сорри...
предположительно первый call должен попадать на 13145834...
а ОЕР что-то типа того...:
push ebp
mov ebp, esp
add esp, XXX
mov eax, 1315E0A8

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 14 августа 2007 19:12 New!
Цитата · Личное сообщение · #14

s0cpy пишет:
push ebp
mov ebp, esp
add esp, XXX
mov eax, 1315E0A8

Хм.. странное оеп для дллки ;) а табличку релоков криптор вроде не трет указать место и размер


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 14 августа 2007 21:26 New!
Цитата · Личное сообщение · #15

Для дельфовой нормальное начало,тока там побольше байт потырено.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 августа 2007 07:07 New!
Цитата · Личное сообщение · #16

Bronco пишет:
Для дельфовой нормальное начало

Да нет не нормальное ;) Попробуй дойди с таким началом до процедуры инициализации
---init
131437DC 55 push ebp
131437DD 8BEC mov ebp,esp
131437DF 53 push ebx
131437E0 56 push esi
131437E1 57 push edi
131437E2 A1 38261613 mov eax,dword ptr ds:[13162638]
131437E7 85C0 test eax,eax
131437E9 74 4B je short FireU.13143836
131437EB 8B30 mov esi,dword ptr ds:[eax]
131437ED 33DB xor ebx,ebx
131437EF 8B78 04 mov edi,dword ptr ds:[eax+4]
131437F2 33D2 xor edx,edx
131437F4 55 push ebp
131437F5 68 22381413 push FireU.13143822
131437FA 64:FF32 push dword ptr fs:[edx]
131437FD 64:8922 mov dword ptr fs:[edx],esp
13143800 3BF3 cmp esi,ebx
13143802 7E 14 jle short FireU.13143818
13143804 8B04DF mov eax,dword ptr ds:[edi+ebx*8]
13143807 43 inc ebx
13143808 891D 3C261613 mov dword ptr ds:[1316263C],ebx
1314380E 85C0 test eax,eax
13143810 74 02 je short FireU.13143814
13143812 FFD0 call eax <------------------------- )
13143814 3BF3 cmp esi,ebx
13143816 ^ 7F EC jg short FireU.13143804
13143818 33C0 xor eax,eax
1314381A 5A pop edx
1314381B 59 pop ecx
1314381C 59 pop ecx
1314381D 64:8910 mov dword ptr fs:[eax],edx
13143820 EB 14 jmp short FireU.13143836
13143822 ^ E9 A5FBFFFF jmp FireU.131433CC
13143827 E8 50FFFFFF call FireU.1314377C
1314382C E8 27FDFFFF call FireU.13143558
13143831 E8 76FDFFFF call FireU.131435AC
13143836 5F pop edi
13143837 5E pop esi
13143838 5B pop ebx
13143839 5D pop ebp
1314383A C3 retn

это выход из первого кэла
131C3AAB 33C0 xor eax,eax
131C3AAD 52 push edx
131C3AAE 892C24 mov dword ptr ss:[esp],ebp
131C3AB1 50 push eax
131C3AB2 68 AD868254 push 548286AD
131C3AB7 ^ E9 0EADFFFF jmp Fire.131BE7CA

s0cpy пишет:
Единственное что нельзя проверить без оригинальной проги (я так понял это прибамбас для сервера LineAge2) - так это работоспособность после распаковки.

работоспособность вместе с прогой нельзя а работоспособность длл почему нельзя ? Оеп дописать правильно релоки и пусть дебажит ...доводит до ума..

Ранг: 146.7 (ветеран)
Статус: Участник

Создано: 15 августа 2007 08:44 New!
Цитата · Личное сообщение · #17

pavka
Попробуй дойди с таким началом до процедуры инициализации
ну дохожу нормально...
ОЕР у меня теперь выглядит так...:
131C3A9B 55 PUSH EBP
131C3A9C 8BEC MOV EBP,ESP
131C3A9E 83C4 AC ADD ESP,-54
131C3AA1 B8 A8E01513 MOV EAX,Fire_u2.1315E0A8
131C3AA6 E8 891DF8FF CALL Fire_u2.13145834
131C3AAB 33C0 XOR EAX,EAX
131C3AAD 52 PUSH EDX
131C3AAE 892C24 MOV DWORD PTR SS:[ESP],EBP
131C3AB1 50 PUSH EAX
131C3AB2 68 AD868254 PUSH 548286AD
131C3AB7 E9 0EADFFFF JMP Fire_u2.131BE7CA

в процессе инициализации, вот в этом месте...:
1315C778 832D 0C3E1613 01 SUB DWORD PTR DS:[13163E0C],1
1315C77F 73 1A JNB SHORT Fire_u2.1315C79B
1315C781 E9 A2030400 JMP Fire_u2.1319CB28
--------------------
skip
--------------------
1315C79B C3 RETN
а именно JMP Fire_u2.1319CB28 - переход в код криптора...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 августа 2007 09:09 New!
Цитата · Личное сообщение · #18

s0cpy
Сори Чет последнее время все с сишными длл возился ну и переклинило в итоге к то му же пришел
1315E3E6 55 push ebp
1315E3E7 8BEC mov ebp,esp
1315E3E9 83C4 C4 add esp,-3C
1315E3EC B8 A8E01513 mov eax,FireU.1315E0A8
1315E3F1 E8 3E74FEFF call FireU.13145834
1315E3F6 - E9 B0560600 jmp FireU.131C3AAB

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 16 августа 2007 01:17 New!
Цитата · Личное сообщение · #19

Ребят извините если не в тему,а распаковщик для этого говна ни кто не видал?Просто прог с этим протом последнее время очень много попадается,а ручками распаковывать не получается.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 16 августа 2007 02:56 New!
Цитата · Личное сообщение · #20

Djeck пишет:
а распаковщик для этого говна ни кто не видал?


думаю, что даже в привате пока нет. хотя, судя по послдним постингам это не надолго

Ранг: 115.3 (ветеран)
Статус: Участник

Создано: 16 августа 2007 02:58 New!
Цитата · Личное сообщение · #21

С этой библиотекой интересно другое. Она производит перехват пары функций из юзер.ддл. А что вроде бы вызов API, а на самом деле поисходит вызов процедуры программы. Естественно после восстановления импорта этот код теряется. Раньше я такого не встречал, хотя возможно мне это всё показалось.

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 16 августа 2007 03:11 New!
Цитата · Личное сообщение · #22

Gideon Vi пишет:
думаю, что даже в привате пока нет. хотя, судя по послдним постингам это не надолго

Если честно парни вообще молодцы,так ExeCryptor крамсают.Аспр окончательно убили,теперь за это взялись.Да EXECryptor тебе не долго осталось.
P.S> Будем ждать распаковщик!!!


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 16 августа 2007 07:45 New!
Цитата · Личное сообщение · #23

Djeck пишет:
Да EXECryptor тебе не долго осталось.


Надеюсь потом убьют фемиду.


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 16 августа 2007 08:04 New!
Цитата · Личное сообщение · #24

Djeck пишет:
Да EXECryptor тебе не долго осталось.

Да, собственно, с ним уже и сейчас проблем особых нет. Вся необходимая база знаний по распаковке и инлайну есть на форуме. Достаточно уметь пользоваться поиском и чуток мозгов.

P.S. У кого есть сигнатуры OEP для "стандартных" компиляторов, выложите, plz.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 16 августа 2007 13:33 New!
Цитата · Личное сообщение · #25

diskinternals flash recovery 2.80 - diskinternals.com/flash-recovery/ - любопытный вариант защиты

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 16 августа 2007 13:41 New!
Цитата · Личное сообщение · #26

r99 пишет:
diskinternals flash recovery 2.80 - diskinternals.com/flash-recovery/ - любопытный вариант защиты

серьезные ребята у них все проги не хило защищены..


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 16 августа 2007 14:14 New!
Цитата · Личное сообщение · #27

pavka я имел ввиду что от крипторных crc они отказались и влепили свое


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 18 августа 2007 21:48 New!
Цитата · Личное сообщение · #28

r99, лихо... Если с них пример возьмут (((
YDS, Оффтоп : у китайцефф где-то есть сигнатуры для Фемиды 1.9


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 20 августа 2007 15:58 · Поправил: Maximus New!
Цитата · Личное сообщение · #29

overwriter пишет:
Если с них пример возьмут (((


Пока не разберут морф криптор эта сила.
Хотя разобрать его возможно, потому как я понял, криптор берет исходный код и разбавляет его тусней регистров и переходами всякими, оставляя сам код не тронутым (не то что аспр).

Итого: при наличии трейсера который будет выкидывыть переходы не нужные и стандартный набор команд тусни регистров можно получить более менее читабельный код.
Ну и соответственно криптор, как протектор можно будет похоронить...


Ранг: 500.5 (!)
Статус: Участник

Создано: 20 августа 2007 16:11 · Поправил: Smon New!
Цитата · Личное сообщение · #30

Maximus пишет:
потому как я понял, криптор берет исходный код и разбавляет его тусней регистров и переходами всякими, оставляя сам код не тронутым (не то что аспр).

Это называется "полиморф", видимо ты мало его смотрел, потому что криптор полностью метаморфит некоторые инструкции, превращая одну инструкцию в сотню а то и больше зависящих друг от друга инструкций, дающих на выходе тот же результат, причём довольно качественно, остальные размешивает мусором.

Maximus пишет:
Итого: при наличии трейсера который будет выкидывыть переходы не нужные

Имхо сложно сказать уверенно - что это ненужный переход, а вдруг это не мусор а реальный условный jcc?


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 20 августа 2007 16:51 New!
Цитата · Личное сообщение · #31

Ну если йа не прав, значит криптор навсегда останется силой.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS