eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+8 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Protection Plus Wrapper v4.6 (or newer) detected !
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 4.0 (гость)
Статус: Участник

Создано: 15 мая 2013 00:29 New!
Цитата · Личное сообщение · #1

Привет,провел анализ -=[ ProtectionID v0.6.4.0 JULY]=-
Он выдал что мой exe ФАЙЛ ЗАПАКОВАН [!] Protection Plus Wrapper v4.6 (or newer) detected !
Ну решил воспользоваться google,ну не чего про это не нашел.
Подскажите пожалуйста есть ли для него анпакер?
Все что можно перерыл.


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 31 октября 2013 20:26 New!
Цитата · Личное сообщение · #2

uncleua
Спасибо. Думал что там пару метров будет, но 200 с хреном качать лениво с такой скоростью.
Может кто выложит минимальный?

exespy
Can you upload only exe and dll, that necessary for launching?


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 31 октября 2013 21:11 · Поправил: r99 New!
Цитата · Личное сообщение · #3

daFix

этот клиент со своими запросами в эту тему уже не вписывается

Ранг: 1.5 (гость)
Статус: Участник

Создано: 1 ноября 2013 16:11 New!
Цитата · Личное сообщение · #4

Ok. i upload to mega and test all is ok.
https://mega.co.nz/#!CAEW3BjJ!A1k1FVSEX8tMjdjvDZzIyDI6UFceDkD8EXmasjEHN5M
Sorry for the problems.

Ранг: 1.5 (гость)
Статус: Участник

Создано: 1 ноября 2013 16:30 New!
Цитата · Личное сообщение · #5

daFix sorry i dont see your last post

r99 I only ask if somebody have one tutorial for these newer versions. Sorry for the inconvenience. where i can ask for that.


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 2 ноября 2013 21:57 New!
Цитата · Личное сообщение · #6

Новая версия оказалась чуть сложнее. Но я заметил только защиту импорта и всё. Ни чего более


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 2 ноября 2013 22:40 New!
Цитата · Личное сообщение · #7

нужен подбитый то бишь набитый глаз чтоб распознать некоторые апи
вот примерный скрипт для анпака

{ Атач доступен только для участников форума } - plus2.zip


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 2 ноября 2013 22:44 · Поправил: daFix New!
Цитата · Личное сообщение · #8

r99
Я уже накатал. Но было лень вписывать обработку эмулированных функций.
Вот в помощь:

// 01 - kernel32.GetCurrentProcess
// 02 - kernel32.GetVersionExA
// 03 - kernel32.GetCommandLineA
// 04 - kernel32.GetProcessHeap
// 05 - kernel32.GetProcAddress
// 06 - kernel32.GetModuleHandleA
// 07 - kernel32.LoadLibraryA
// 08 - kernel32.GetVersionExA - ???
// 09 - kernel32.GetVersion
// 0A - kernel32.
// 0B - kernel32.
// 0C - kernel32.FreeLibrary

ADDED: Это из новой версии. Со старой не сравнивал

Ранг: 1.5 (гость)
Статус: Участник

Создано: 3 ноября 2013 17:02 New!
Цитата · Личное сообщение · #9

Yes, i see api emulation but i have a question. they are more of 400 api's are all emulated?.
you are experienced masters and I am newbie learning and doing things manually. I don't have enough experience to distinguish all apis and I not learned to write scripts yet.
greetings and thanks to respond.


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 4 ноября 2013 01:56 New!
Цитата · Личное сообщение · #10

exespy
No no, IAT emulation and IAT protection is not same things. Protection Plus Wrapper can emulate only 12 functions.
All other functions just "protected" by interlayer of protection code, were dynamicly generating address of function.
In your version, generator of IAT use their custom implementation of GetProcAddress, because of this you have difficulty with imports

Ранг: 1.5 (гость)
Статус: Участник

Создано: 4 ноября 2013 14:41 New!
Цитата · Личное сообщение · #11

oh I see, so there is information on how this function is implemented in the help or manual of the same wrapper?. I will try to use the wrapper in some crackme to see the changes. This has to do with the generation of the hidden dll?.

Greetings.

Ранг: 1.5 (гость)
Статус: Участник

Создано: 4 ноября 2013 14:50 New!
Цитата · Личное сообщение · #12

r99 thank you for the example script. I will use this to see and understand what happen.
<< . 1 . 2 .
 eXeL@B —› Вопросы новичков —› Protection Plus Wrapper v4.6 (or newer) detected !

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS