eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2006 18:14 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 7 сентября 2007 20:23 New!
Цитата · Личное сообщение · #2

sniperZ пишет:
угу, я щас пишу восстановление импорта на основе скрипта пе килла, а там оеп finder и все в ажуре

Вот скоро каиф для лентяев и криворуких будет.Молодец,что ещё сказать.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 7 сентября 2007 21:11 New!
Цитата · Личное сообщение · #3

Djeck пишет:
Молодец,что ещё сказать.


Рано снипера хвалишь, он еще тот распиздяй, может и бросить... вот когда сделает тогда ДА!

sniperZ
Эт я так чтоб ты не расслаблялсяя.....


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 7 сентября 2007 21:49 · Поправил: Maximus New!
Цитата · Личное сообщение · #4

А еще про стрипер йа все время толдычу, паффко как раз протев всяких авто процессов, ибо тогда даже максимус сможет его сломать, а этого паффко не переживет...

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 7 сентября 2007 22:04 New!
Цитата · Личное сообщение · #5

Maximus
я тоже одно время думал про стрип,но если написать восстановлние импорта не сложно, но оеп finder это проблема...


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 7 сентября 2007 23:34 New!
Цитата · Личное сообщение · #6

Maximus пишет:
паффко как раз протев всяких авто процессов

Зря ты так, у Павыча просто адекватная реакция на пустые заявы.
И на слабо его не разведёшь,поэтому в его постах присутсвует сарказм.
Иногда и оправданная критика,а если стрип и появиться,то он наверно раньше всех об этом узнает.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 8 сентября 2007 06:38 New!
Цитата · Личное сообщение · #7

sniperZ пишет: но оеп finder это проблема...

Я знаю что есть оеп финдер от хагара (хрен знает как он работает), и от пафки (но тогда придется по идее выбирать ОЕП из нескольких предложенных).... ну может еще есть какие хитрые методы (думаю знаед kioresk,pavka)...

Если даже сделать дамп секций криптора+проги+восстановление импорта+нахождение адресов стандартного апи+фикс crc, уже будет большой скачек, остальное можно дописать по мере необходимости.


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 11 сентября 2007 15:32 · Поправил: kioresk New!
Цитата · Личное сообщение · #8

Скрипт для Иды, приводящий код в секциях криптора к более читабельному виду:

— EXECryptor code organizer 1.0 http://www.box.net/shared/lylo32vu5j (7-Zip, 1 Кбайт)

При анализе дампов в Иде давно им пользуюсь, поскольку Ида расценивает код в секциях криптора как прямолинейный и генерирует неправильный код. Как-то раз (когда надоело вручную исправлять небольшие куски кода) набросал этот скрипт. Код не весь правильно отображается, но получше, чем при стандартном анализе Иды, да и ссылок (xref'ов) явно побольше становиться.

Логика простая:

1. Сбрасываем весь код текущей секции, т.е. делаем undefine
2. Ищем в секции команды call, jmp, jcc
3. Вычисляем адрес перехода для каждой команды
4. Если он в пределах файла, то делаем команду на этом месте и куда указывает переход
5. После команды call делаем два дворда с данными (хотя их не всегда два и иногда вообще нет)

Как использовать:

1. При загрузке файла в Иду, снимаем галку с анализа (Analysis — Enabled)
2. Ctrl+S, переходим в нужную секцию
3. Запускаем скрипт
4. Запускаем анализ файла

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 сентября 2007 15:52 New!
Цитата · Личное сообщение · #9

Свежий тутор
ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN
rapidshare.com/files/55125288/ExeCryptor_2.2.x_-_2.3.x_Unpacking_tutorial_-_By_EvOlUtIoN.rar.html

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 12 сентября 2007 15:59 New!
Цитата · Личное сообщение · #10

pavka пишет:
ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN

епт, 8мв...что там такого интерестного?


Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 12 сентября 2007 16:07 New!
Цитата · Личное сообщение · #11

sniperZ пишет:
епт, 8мв...что там такого интерестного?

Это походу видеотутор.. поэтому и размер такой

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 сентября 2007 16:30 New!
Цитата · Личное сообщение · #12

sniperZ пишет:
епт, 8мв...что там такого интерестного?

"Hi, this is my last work.
I hope you like it.
I show how to completely unpack ExeCryptor protected files also for all PC's."

Ранг: 35.6 (посетитель)
Статус: Участник

Создано: 12 сентября 2007 16:40 New!
Цитата · Личное сообщение · #13

Может выложите ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN на другой сервак (слил.ру например)


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 12 сентября 2007 16:42 New!
Цитата · Личное сообщение · #14

долго ж он его рожал
наверно этот топик можно закрыть теперь


Ранг: 102.8 (ветеран)
Статус: Участник

Создано: 12 сентября 2007 16:58 New!
Цитата · Личное сообщение · #15

Gmc пишет:
Может выложите ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN на другой сервак (слил.ру например)


dump.ru/files/j/j44931473/
www.megaupload.com/?d=ZT3RQ1R
ifolder.ru/3324389


Ранг: 222.3 (наставник)
Статус: Участник

Создано: 12 сентября 2007 17:04 New!
Цитата · Личное сообщение · #16

r99 пишет:
наверно этот топик можно закрыть теперь

не руби с плеча, наверняка ещё возникнет куча вопросов и после этого тутора. Возможно у кого-то возникнут свои комментарии и дополнения. Возможно кто-то сделает это лучше, а кто-то чего-то не поймёт.

Ранг: 35.6 (посетитель)
Статус: Участник

Создано: 12 сентября 2007 17:06 New!
Цитата · Личное сообщение · #17

ManHunter
Спасибо!


Ранг: 1991.4 (!!!!)
Статус: Модератор
retired

Создано: 12 сентября 2007 17:54 New!
Цитата · Личное сообщение · #18

Тутор в принципе неплохой. Не видео, а PDF, только с примерами прожек и тд. Довольно хорошо написано, как дотопать до ОЕП, с импортом чуть похуже, сослался на плаги/проги. Из антиотладки в основном только треды затронул. Немного есть про лоадеры и, как и везде, вообще что-либо отсутствует про мусорный код. В общем и целом-тутор неплохой, для общего образования.

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 13 сентября 2007 02:16 · Поправил: RSI New!
Цитата · Личное сообщение · #19

ExeCryptor Dumper version 0.1 beta 1 by RSI

Вот дописал тулзу - это дампер для прог накрытых криптором.
---------------------------------------------------------------------- -------------------------------------------------------------------
Итак что он делает:
1) Дампит прогу, причем в дампе секции криптора остаются не инициализированными, т.е. этот дамп должен работать на других осях.
2) Ищет указатель на GetModuleHandleA и если находит, то обнуляет его ( эта фишка обсуждалась выше )
3) Фиксит TLS ( если она не нужна то обнуляет )
---------------------------------------------------------------------- -------------------------------------------------------------------
Теперь что он не делает (но хотелось бы ):
1) Поиск OEP
2) Восстановление импорта
3) Не фиксит проверку CRC

Потестите кому интересно, даете тулзе упакованный файл затем на выходе получаете дамп и остается восстановить импорт и найти (восстановить) OEP + если есть CRC.

P.S. Думаю что это можно считать небольшим шагом к написанию распаковщика ( поэтому специально реализовывал как библу ), следующий ход за снипером, кот. дописывает ImpRec для криптора, ну а дальше надо подумать над написанием OEP Finder...

<img src="/f/img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","0f29_12.09.2007_CRACKLAB.rU.tgz");< /SCRIPT> - ExeCryptor_Dumper beta1.rar

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 13 сентября 2007 02:18 New!
Цитата · Личное сообщение · #20

Не приаттачился....

{ Атач доступен только для участников форума } - ExeCryptor_Dumper beta1.rar

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 13 сентября 2007 07:12 · Поправил: sniperZ New!
Цитата · Личное сообщение · #21

ппц, дамп + фикс tls 3 строчки кода.
самое сложное в : RSI пишет:
1) Поиск OEP
2) Восстановление импорта
3) фикс провери CRC

этим и надо заниматься...

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 13 сентября 2007 11:01 New!
Цитата · Личное сообщение · #22

sniperZ пишет:
ппц, дамп + фикс tls 3 строчки кода.


Ну попробуй........

З.Ы. Ты бу лучше делом занимался, а то и так уже на 153.2 нафлудел, мож от тебя хоть какая-то польза будет кроме обсираний других...

Ранг: 10.1 (новичок)
Статус: Участник

Создано: 14 сентября 2007 20:31 New!
Цитата · Личное сообщение · #23

Привет всем на этом форуме !

Пишу первый раз и прошу сильно не топтать ногами Говнопротом занимаюсь не очень давно, но сильно увлекся этим. Очень помогли Ваши туторы и обсуждения. Сейчас пишу скрипт для декомпиляции полиморфа(хотя в привате он наверное давно есть, а в паблике его никогда не будет). Будет готов пререлиз, обязательно выложу.
Снимаю же прот данным скриптом и пока проблем не было.

1. загружаем прогу в OllyShadow+Fantom
2. запускаем скрипт и отвечаем на вопросы
3. дампим при помощи OllyDump

Это все... Далее можно при помощи hiew(F6) найти OEP и, при желании, спертые байты(для MSC это элементарно, а для борландовских поделок лучше не заморачиваться).
И вот вопрос к гуру. Найдя свободное место в дампе, хотелось бы переместить туда импорт и отрезать ненужные секции криптора. Какой прогой это можно сделать(ведь достаточно от всех записей IAT отнять константу), ну очень неохота писать свою прогу да и некогда.
Стандартные многошаговые приемы(с импреком) не предлагать - ведь так неинтересно и неудобно !


{ Атач доступен только для участников форума } - ExeCryptor By.PE_Kill.txt

Ранг: 284.8 (наставник)
Статус: Участник

Создано: 14 сентября 2007 23:45 New!
Цитата · Личное сообщение · #24

LazyCat пишет:
И вот вопрос к гуру. Найдя свободное место в дампе, хотелось бы переместить туда импорт и отрезать ненужные секции криптора.


Ты видимо плохо форум смотришь..., т.к. импорт можно почти всегда записать обратно в ту же секцию
( на это обычно хватает в ней места), а секции, почти никогда, отрезать не получится т.к. часть вызовов из кода переносится туда...

LazyCat пишет:
найти OEP и, при желании, спертые байты(для MSC это элементарно, а для борландовских поделок лучше не заморачиваться).


Вот если взять Borland C++, то там то как раз элементарно восстановить OEP...

А насчет скрипта, я думал что-то новенькое.....

А насчет скрипта по декомпиляции, я буду тока за, т.к. очень мало по этому инфы.

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 15 сентября 2007 07:06 New!
Цитата · Личное сообщение · #25

LazyCat пишет:
Сейчас пишу скрипт для декомпиляции полиморфа

парень, там многослойный метаморф, удачи...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2007 08:14 New!
Цитата · Личное сообщение · #26

sniperZ пишет:
парень, там многослойный метаморф, удачи..

Хм. деморфер, скриптом утопия

Ранг: 10.1 (новичок)
Статус: Участник

Создано: 15 сентября 2007 17:54 New!
Цитата · Личное сообщение · #27

RSI пишет:
Ты видимо плохо форум смотришь..., т.к. импорт можно почти всегда записать обратно в ту же секцию

Именно это я и хочу сделать, а отрезание секций - это моя проблема и спрашивал я совсем не это (внимательно нужно читать вопрос !)
pavka пишет:
Хм. деморфер, скриптом утопия

А никто и не говорил, что всю работу делает скрипт(где-то 40%) !!!
Если бы не было успехов, то я бы и не заикался об этом

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 15 сентября 2007 19:08 · Поправил: sniperZ New!
Цитата · Личное сообщение · #28

LazyCat пишет:
Если бы не было успехов, то я бы и не заикался об этом

гм, а можешь поделиться своими успехами? просто интерестно, что ты придумал c морфом...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2007 19:11 New!
Цитата · Личное сообщение · #29

LazyCat пишет:
А никто и не говорил, что всю работу делает скрипт(где-то 40%) !!!

Ты о чем вообще говоришь то ? что значат эти %?

Ранг: 78.8 (постоянный)
Статус: Участник

Создано: 15 сентября 2007 20:35 New!
Цитата · Личное сообщение · #30

ExeCryptor 2.2.x - 2.3.x (Unpacking) by EvOlUtIoN

This tutorial explain how to manually unpack all latest versions of ExeCryptor.

In my opinion EC is one of the best protections in the world, it has very good features, and in 90% of cases unpacking will be hard.

I worked for some months on different versions of protector and different targets, and at the end I think to know all possible tricks and protections that it can use, so I'm going to explain what I learnt.

The target I choose for explanation is ExeCryptor executable itself, version 2.3.9 (the last), so I'm sure that maximum protection is used.


--> Download <-- http://www.tuts4you.com/request.php?1921

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 15 сентября 2007 20:52 New!
Цитата · Личное сообщение · #31

centner
баян, пафка уже выкладывал...
http://www.exelab.ru/f/index.php?action=vthread&forum=1&topic=6273&p age=9
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >>
 eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS