tsrh.crackz.ws/o.exe

говорят что-то новое, неизвестное.. peid молчит

| Сообщение посчитали полезным:

Это ExeCryptor2

| Сообщение посчитали полезным:

Можно тут о нём почитать
www.wasm.ru/forum/action=vthread&forum=5&topic=7726

| Сообщение посчитали полезным:

похоже на WM
007C6D17 JA 007C7959 //ошибка
007C6D1D JMP NEAR DWORD PTR DS:[EDX*4+7C79B8]
007C6D24 MOV ECX,DWORD PTR DS:[EAX+3D4]
// говорим что нет такого опкода
007C7959 MOV EDX,DWORD PTR DS:[EBX+4]
007C795C MOV EAX,DWORD PTR DS:[EDX+3D0]
007C7962 SUB EAX,4
007C7965 AND ECX,3F
007C7968 PUSH EAX
007C7969 PUSH ECX
007C796A PUSH 7D3480 Unknown opcode:%d in the script at %d!
007C796F CALL 007C63E0
OEP== 01012420
Импорт:
по рва ==1000 переходники импрек воостановил только часть




d0a3_Unpack.rar

| Сообщение посчитали полезным:

WELL пишет:
Это ExeCryptor2

ne, eto ne execrypt 2. za bazar otvechaju. eto soverhenno drugoj protektor. im zashisheno para-trojka produktov na segodnya. prosto kazhetsya shto zashita neploxaya po mneniju avtorov. vot poetomu i vopros - slomat' mozhet kto nit'?

| Сообщение посчитали полезным:

хз, Tristana какая-то... (мессагу оно выдало типа "Tristana что-то там еррор")

| Сообщение посчитали полезным:

Tristana - это не Red Plait'a & Dr.Golov'ы "подаруночек"?

| Сообщение посчитали полезным:

ssx

dyk nevazhno kogo eta shtukovina to - raspakovat' to kak naschet

| Сообщение посчитали полезным:

ssx
да, это оно.

| Сообщение посчитали полезным:

ну я не понял как там цикл с импортом работает, но адреса апи просматриваются, соответственно легко получить правильную иат...

| Сообщение посчитали полезным:

Mario555 пишет:
легко получить правильную иат...
как получишь поделись опытом плз., а то вручную править переходники долго и некрасиво

| Сообщение посчитали полезным:

если это "подаруночек" то есть статья Sten'а по распаковке.

| Сообщение посчитали полезным:

> если это "подаруночек" то есть статья Sten'а по распаковке

В которой как известно он получил неработоспособный дамп

| Сообщение посчитали полезным:

Asterix пишет:
если это "подаруночек" то есть статья Sten'а по распаковке
Что за статья?

| Сообщение посчитали полезным:

www.reversing.net/articles/022002/gift.html

| Сообщение посчитали полезным:

да, но потом на форуме все-же развернули файлик...

| Сообщение посчитали полезным:

gost пишет: поделись опытом плз есть там функция

009083C0  PUSH EBP
009083C1  MOV EBP,ESP
009083C3  MOV EDX,DWORD PTR [EBP+C]
009083C6  MOV EAX,DWORD PTR [EBP+10]
009083C9  MOV ECX,DWORD PTR [EDX]
009083CB  SUB EAX,4
009083CE  JE SHORT 009083D5
009083D0  PUSH DWORD PTR [EDX+EAX]
009083D3  JMP SHORT 009083CB
009083D5  CALL DWORD PTR [EBP+8]
009083D8  MOV DWORD PTR [91B808],EDX
009083DE  LEAVE
009083DF  RETN

вот CALL DWORD PTR [EBP+8] вызов нескольких процедут среди которых загрузка либы, получение адреса апи и построение переходника... получают адрес апи и строят переходник, соответственно скриптом можно "фильтровать" результаты работы функций CALL DWORD PTR [EBP+8] и потставлять вместо адреса переходника адрес апи (предыдущего вызова функции)... так сам пакер сформирует temp_iat а потом и iat. Три функции не определятся автоматом (из астрала шепнули что это GetProcAddress, LoadLibraryA, GetModulaHandleA). Ещё в iat будут "левые" функции (на них референсов нет), их надо отрезать. ЗЫ а ещё там часть ресурсов перекинута... вручную их возвращать что-то лениво, надо придумать как сие автоматизировать.

| Сообщение посчитали полезным:

ы, что-то я тормазил с ресурсами... там всего-то один переход поменять =)


2027_calc_tristana.rar

| Сообщение посчитали полезным:

Тю, версия пакера оказалась древней

| Сообщение посчитали полезным:

Asterix
Mario555
спасибо.

| Сообщение посчитали полезным:

DrGolova

shto mne RedPxxxx prislal, to i okzalos'. dajte novuju versiju togda.



DrGolova пишет:
Тю, версия пакера оказалась древней

| Сообщение посчитали полезным: