eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 4 сентября 2007 11:04 New!
Цитата · Личное сообщение · #2

vnekrilov
Насколько я помню турки вроде бы делали по этой проге флештутор , сам я прогу не смотрел, так как имхо если сам винрар не востановит архив то другие вошебные лекаря тем более, так у них были вроде траблы с внутреней таблицей криптора..

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 4 сентября 2007 11:16 New!
Цитата · Личное сообщение · #3

pavka пишет:
Насколько я помню турки вроде бы делали по этой проге флештутор


Я не видел флештутор турков. А, с точки зрения восстановления архивов, неплохо работает программа RAR Recovery Toolbox. Эту программу я просто использовал в качестве примера, запакованную EXECryptor.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 4 сентября 2007 11:31 New!
Цитата · Личное сообщение · #4

vnekrilov пишет:
Я не видел флештутор турков.

Я к тому у них была широкая дискусия по поводу того что выложеный с тутором файл не запускался на разных осях..

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 4 сентября 2007 14:47 New!
Цитата · Личное сообщение · #5

pavka пишет:
vnekrilov пишет:
Я не видел флештутор турков.
Я к тому у них была широкая дискусия по поводу того что выложеный с тутором файл не запускался на разных осях..


ага, только что глянул, у меня завалялся тутор (Unpacking & Cracking RAR Repair Tool 3.0 by Why Not Bar) pdf (не суть важно) и фаел к нему, там действительно трабл с импортом kernel32 =)

З.Ы.
Ни этот тутор, ни другие не похожи на туторы тов. vnekrilov'а =) Всё последоветельно и чётко, разобрал для себя то, что не пог уловить у других авторов.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 4 сентября 2007 15:23 New!
Цитата · Личное сообщение · #6

pavka пишет:
В смысле Нарваха реверсер и писатель плохой?


где я это сказал? я не знаю испанский язык и поэтому не могу с уверенностью говорють о уровне Нарвахи, но если судить по его циклы об Ольге для новичков, то парень пишет толково.

pavka пишет:
Имхо сравнение с Нарвахой не самый плохой вариант ;)


Арчи не сравнил, а обвинил в плагиате. Ну или я не доконца понимаю некоторые аспекты русского языка и не так понял Арчи.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 4 сентября 2007 15:48 New!
Цитата · Личное сообщение · #7

Gideon Vi пишет:
Арчи не сравнил, а обвинил в плагиате.


Не думаю, что Archer обвиняет меня в плагиате. Действительно, методика распаковки разных пакеров практически одинакова: Поиск ОЕР -> Восстановление IAT -> Восстановление VM -> Получение рабочего дампа. Да и подходы к решению этих задач практически одинаковы, за исключением небольших нюансов. Поэтому, когда кто-то пишет туториал, он объясняет этот процесс распаковки программы, как может. Кто-то объясняет это лучше, кто-то хуже. С точки зрения отточенности объяснения, очень хорошо пишут туториалы Ulaterc, Ricardo Narvaja и Solid. Во всяком случае, их стиль написания мне очень близок по духу. Так, например, Ulaterc предложил прекрасную таблицу для восстановления таблицы INIT для программ Delphi. В своем туториале по распаковке AsProtect я использовал его метод использования таблицы для объяснения процесса восстановления INIT, чтобы это было понятно читателям (естественно, со ссылкой на него). Возможно, по этой причине, мои статьи напомнили Archer статьи CrackLatinos.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 4 сентября 2007 17:00 New!
Цитата · Личное сообщение · #8

vnekrilov пишет:
очень хорошо пишут туториалы Ulaterc, Ricardo Narvaja и Solid

Мне у них больше всего нравятся туторы Моралеса У него очень неординарный подход и пожалуй имхо это самый полезный автор у них ;)


Ранг: 1991.4 (!!!!)
Статус: Модератор
retired

Создано: 4 сентября 2007 18:22 New!
Цитата · Личное сообщение · #9

Хочу сразу прояснять ситуацию-никаких обвинений/наездов/оскорблений и тд не было, просто общее оформление похоже, вот стало любопытно, я и спросил.


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 4 сентября 2007 19:20 New!
Цитата · Личное сообщение · #10

Мне кажется что всё таки надо признать,и отдать должное Внекрылову.И стар(звезда) и млад,каждый возьмёт для себя что нибудь на заметку.
И как пример,вот лучше и доходчивей туториалов не встречал.
Что у кого позаимствовано уже не важно,Валя молодец,пиши дальше!!!!

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 5 сентября 2007 03:28 New!
Цитата · Личное сообщение · #11

sER пишет:
ага, только что глянул, у меня завалялся тутор (Unpacking & Cracking RAR Repair Tool 3.0 by Why Not Bar) pdf (не суть важно) и фаел к нему, там действительно трабл с импортом kernel32 =)

да этот он не турок а вьетнамец вроде бы ;)
sER пишет:
Ни этот тутор, ни другие не похожи на туторы тов. vnekrilov'а =)

дело не в том похож или не похож ... Как я понимаю vnekrilov так же не делал фикс для осей как и Why Not Bar?

Ранг: 4.5 (гость)
Статус: Участник

Создано: 5 сентября 2007 10:31 · Поправил: kukuruku New!
Цитата · Личное сообщение · #12

Здраствйте, есть программа SSWx65, надо распаковать, чтобы в дальнейшем покапаться в ней.

PEid выдает как UPX 0.80 - 0.84 -> Markus & Laszlo
DIE эврестическим анализом показывает ExeCryptor 2.1.x

В IDA посомтрел на EP сразу джамп а потом просто идет сигнатура UPX
По названиям секций тоже больше похоже на ExeCryptor


Прога старая и версия на самом деле может быть такая, навороченной антиатладки по ходу нет.
Т.к. у меня в olly shadow без игры с планиами ollyAdvanced и Phantom нормально работает

OEP - 4014A6

сдампил.

IAT - я считаю по адресам:
start 404190
end 4048FA
length 769

Решил попробывать восстановить импорт с помощью скрипта от PE_Kill, но тут загвоздка, как не пробую уже на второй записи пишет, что запись is bad и т.д.

Я понимаю, что проблема скорее всего с руками и где-то я туплю.
Не могли бы вы помочь мне разобраться с этой проблемой.Просьба сильно не ругаться Заранее благодарен.

Положил архив программы на разные файлообменники.

[url=http://rapidshare.com/files/53511010/SSWx65.rar.html] rapidshare.com/files/53511010/SSWx65.rar.html
[/url]
ifolder.ru/3235579
slil.ru/24815968


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 5 сентября 2007 10:35 New!
Цитата · Личное сообщение · #13

kukuruku создай плиз отдельную тему, и уже там все будут флудить...

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 сентября 2007 11:48 New!
Цитата · Личное сообщение · #14

pavka пишет:
Как я понимаю vnekrilov так же не делал фикс для осей как и Why Not Bar?


раз в туторе этого нет - сталобыть - не делал.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 5 сентября 2007 16:47 New!
Цитата · Личное сообщение · #15

странно что до сих пор скрипта по фиксу для осей нет

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 5 сентября 2007 17:22 New!
Цитата · Личное сообщение · #16

...r99 пишет:
странно что до сих пор скрипта по фиксу для осей нет


я так и не разобрался как фикс можно сделать... может кто подскажет, особенно если это зависит от метаморфного кода криптора, сдампленного на другой оси...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 5 сентября 2007 17:52 New!
Цитата · Личное сообщение · #17

RSI пишет:
я так и не разобрался как фикс можно сделать... может кто подскажет, особенно если это зависит от метаморфного кода криптора, сдампленного на другой оси...

Где то в одной из последних тем по криптору разбирали недавно ..


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 5 сентября 2007 19:19 New!
Цитата · Личное сообщение · #18

pavka пишет: Где то в одной из последних тем по криптору разбирали недавно ..
Может тут?
http://www.exelab.ru/f/index.php?action=vthread&forum=1&topic=9454&p age=0#30


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 5 сентября 2007 21:48 · Поправил: kioresk New!
Цитата · Личное сообщение · #19

RSI,

после распаковки программы криптор сохраняет адреса начала библиотек и функций в своей секции. Значения эти раскиданы по секции, некоторые хранятся в открытом виде, а некоторые изменяются с помощью сдвига на определенное значение, различное для каждого адреса (что-то вроде shr eax, X), и потом сохраняются. При вызове значение обратно сдвигается и затем используется.

Поэтому писал, что нужно дампить секции после их заполнения и исправления адресов переходов (имхо, это проще, чем забивать нулями раскиданные по секции адреса).

Еще криптор хранит в секции кода программы адрес функции GetModuleHandleA. А в своей секции хранит указатель на этот адрес. Если указатель не обнулить (при выполнении он проверяется, если там 0 — адрес функции заново вычисляется) или не исправить, чтобы он указывал на эту функцию в восстановленном импорте, то тоже будет вылетать ошибка.

Найти место можно по строке VirtualFree (рядом с ней еще функции будут). Если такая есть в секции кода, то после нее обычно хранится адрес, по бряку на котором (или в Иде через ссылки) можно найти указатель в секции криптора.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 5 сентября 2007 23:37 New!
Цитата · Личное сообщение · #20

kioresk
Спасибо!
Мне интересно откуда такая информация и можно ли где-нить еще новое узнать ( можно в ЛС :s1.
Или это твои личные наблюдения и выводы?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 сентября 2007 03:29 New!
Цитата · Личное сообщение · #21

kioresk пишет:
после распаковки программы криптор сохраняет адреса начала библиотек и функций в своей секции. Значения эти раскиданы по секции, некоторые хранятся в открытом виде, а некоторые изменяются с помощью сдвига на определенное значение, различное для каждого адреса (что-то вроде shr eax, X), и потом сохраняются. При вызове значение обратно сдвигается и затем используется.

да это и без тебя давным давно выяснили чего повторять одно и то же тем более сказаное кем то ... Речь идет об автоматизации процесса ;)


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 6 сентября 2007 08:46 New!
Цитата · Личное сообщение · #22

pavka пишет: Речь идет об автоматизации процесса ;)
Додо, мы давно говориле что надо писать стрипер, тем более что все данные уже есть.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 6 сентября 2007 09:02 New!
Цитата · Личное сообщение · #23

RSI пишет:
Мне интересно откуда такая информация и можно ли где-нить еще новое узнать


Прочти туториал "ExeCryptor official crackme" by haggar, в котором он описал эти проблемы с дампом, и предложил пути для их разрешения.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 сентября 2007 11:42 New!
Цитата · Личное сообщение · #24

vnekrilov пишет:
и предложил пути для их разрешения.

Хм .. насколько я помню там снимаеться довольно древняя версия криптора и предложен метод инжекта кода для заполнения базовых адресов длл , есть методы и попроще

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 сентября 2007 21:35 New!
Цитата · Личное сообщение · #25

Все разобрался, оказалось все как kioresk говорил и про секции и про указатель на GetModuleHandleA. Если кому интересно то это прога из запросов на 30 странице - Mototool 1.30 ,
вот я ее ни как не мог заставить работать на 2-х осях...


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 6 сентября 2007 21:42 New!
Цитата · Личное сообщение · #26

RSI выложи свой дамп Mototool

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 сентября 2007 21:47 New!
Цитата · Личное сообщение · #27

pavka пишет:
есть методы и попроще


Ну так напиши о них как раз тема подходящая, а то постоянно только: мы это знаем и то знаем, ну хоть немного поделись с общественностью своими знаниями в этой области(или же ссылками на нужные источники), желательно простым языком, а то иногда у меня создается такое ощущения, что разговар идет на разных языках. Просто у тебя большой опыт снятия протов, и поэтому ты иногда не замечаешь что некоторые вещи которые тебе и так понятны просто остаются за кадром

З.Ы. не хотел ни чем обидеть...

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 6 сентября 2007 22:02 New!
Цитата · Личное сообщение · #28

r99 пишет:
выложи свой дамп Mototool


Вот: ifolder.ru/3256549

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 7 сентября 2007 06:30 New!
Цитата · Личное сообщение · #29

r99 пишет:
странно что до сих пор скрипта по фиксу для осей нет

видимо раз r99 удивляеться он давным, давно сделал такой скрипт )


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 7 сентября 2007 11:34 New!
Цитата · Личное сообщение · #30

вот мой скрипт - www.fairdell.com/hexcmp/HexCmp2_Setup.exe

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 7 сентября 2007 20:12 New!
Цитата · Личное сообщение · #31

pavka пишет:
Додо, мы давно говориле что надо писать стрипер, тем более что все данные уже есть.

угу, я щас пишу восстановление импорта на основе скрипта пе килла, а там оеп finder и все в ажуре...
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS