Скачал на днях программу Give Me Too 2.43 (http://www.spyarsenal.com/network-sniffer/give-me-too.zip),

(Описание: Программа анализирует сетевой трафик, перехватывает данные (файлы) передаваемые по протоколу HTTP, SMTP, POP3, IMAP, FTP, IRC, ICQ и AIM, и сохраняет их. Поддерживается фильтрация по URL, по размеру файлов, по IP адресам анализирует сетевой трафик, перехватывает данные (файлы) передаваемые по протоколу HTTP, SMTP, POP3, IMAP, FTP, IRC, ICQ и AIM, и сохраняет их. Поддерживается фильтрация по URL, по размеру файлов, по IP адресам).

Но, она Trial версия, вобщем решил взломать, проанализировал чем упакована - PEID не знает (Nothing found), PE Sniffer говорит - MEW 11 SE v1.2, че за пакер? Пробовал распаковать Elooo's Unpacker for MEW 10/11 и Quick Unpack v0.7, но они не распаковывают а ручками не получается. В Olly программа вообще запускаться не хочет. Может кто знает как етот MEW 11 SE v1.2 распаковывать?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

юзай поиск по форуму, прога уже обсуждалась... и не доверяй анализаторам, тем более когда они сомневаюццо =)

| Сообщение посчитали полезным:

Поиск по форуму выдал http://exelab.ru/f/action=vthread&forum=2&topic=2421

там обсуждалось Give Me Too 2.40 и пакер другой ( ORiEN и ExeCryptor)

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Прога упакована вовсе не MEW, а чем-то другим. Позже скажу чем...

Edit:
Похоже это EXECryptor.

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Не похоже а и есть EXECryptor 2.xx.x

| Сообщение посчитали полезным:

И че все сдуваются при слове экзекриптор? Давно уже все разобрано, только в мусоре придется немного покопаться. Была бы достойная мотивация, сломали бы в момент =)
ЗЫ: я ломать ничего не буду - я в сговоре с авторами.

| Сообщение посчитали полезным:

DrGolova пишет:
И че все сдуваются при слове экзекриптор? Давно уже все разобрано
Уточнил бы - где и кем ?

| Сообщение посчитали полезным:

Runtime_err0r пишет:
Уточнил бы - где и кем ?
А главное-как ;)

| Сообщение посчитали полезным:

Народ, что никто не будет браться за EXECryptor?

Интересный, однако, этот EXECryptor! Прохожу расшифровку кода, теперь, по идее, нужно поставить бряк на секцию кода (или на OEP, если заранее знаешь его адрес). Ставлю memory breakpoint на OEP. Жму Shift+F9. Бабах, остановились в функии протектора, которая отвечает за забивку правильных адресов на OEP, т.к. этот OEP - загаженный. Ладно, доходим до retn этой процедуры. Все OK, OEP теперь полностью правильный. Жмем Shift+F9 - и Олька становится невидимой!!! Ясно, что это проделки EXECryptor'а! Я решил разобраться, что же там происходит. В голову стали приходить функции типа FindWindow, EnumWindows... Сразу скажу, что нам нужна функция EnumWindows. Если почитать справку Win32 по этой функции, то там написано следующее:

The EnumWindows function enumerates all top-level windows on the screen by passing the handle of each window, in turn, to an application-defined callback function.

Вот это дела! Хэндл каждого окна посылается в callback функцию, которую задает сам протектор! Причем, если пропатчить функцию EnumWindows таким образом:

XOR EAX, EAX
RETN 8

типа, хрен, окон нет, то Олька завершается с ошибкой. Отсюда следует, что callback функция протектора как-то проверяет каждый хэндл (возможно смотрит на то, кто запустил процесс) и все равно обнаруживает Ольку.

Что скажете на это?

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Кстати, вот OEP - 00468B1A - он загаженный, но восстановить легко, т.к. нужно узнать только два PUSH'а, остальные команды стандартные для VC6.

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

что никто не будет браться за EXECryptor?
Так ты уже взялся...Чего же более?

| Сообщение посчитали полезным:

test пишет:
Так ты уже взялся...Чего же более?
Я уже сдулся. Не могу дойти до OEP. Короче, не получается скрыть Олю от EXECryptor'а.

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

DrGolova пишет:
я ломать ничего не буду - я в сговоре с авторами.

ты пошто народ запугиваешь ? какой такой сговор - первый раз слышу об этом

| Сообщение посчитали полезным:

Relayer пишет:
ты пошто народ запугиваешь ? какой такой сговор - первый раз слышу об этом

И вечно он не пределах !!!

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

Tim Я вообще то и сам плохо разбираюсь с этим.Но у меня как то все получается Кстати у тебя это
нервное- сдулся нужно слушаться доктора - DrGolova и все пойдет

| Сообщение посчитали полезным:

Flint
PESniffer во многих случаях определяет ExeCryptor как MEW (я такое видел, как минимум, на четырёх прогах).
Ты сразу смотри названия секций: Relayer-ское дитя обзывает их ОЧЕНЬ характерно ;-]

| Сообщение посчитали полезным:

Что-то в это роде во всех прогах с новым Execryptor - ом !!

0d9f_execryptors.JPG.zip

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

> какой такой сговор - первый раз слышу об этом

Очень даже плодотворный сговор, сделайте что-нить с дырой с заголовком, а мы вам думаю пришлем после праздников некоторое количество коротких строчек

| Сообщение посчитали полезным:

Tim
О твоем вопросе про Total Uninstall 3:
там тоже похоже EXECryptor

Я тут оламываюсь ... не могу я пока такие протекторы ковырять (я смотрю ты дальше продвинулся )
Вот и тема появилась о Total Uninstall 3.

Следим за развитием событий ...

| Сообщение посчитали полезным:

уже версия 2.46
события развиваются

| Сообщение посчитали полезным:

-http://rapidshare.de/files/26089113/patch246.zip.html
патч к версии givemetoo v 2.46 - в 1-м и 2-и приближении работает
может кто-нить доделает а то где-то проверки есть еще

| Сообщение посчитали полезным:

r99
Патч ЕхЕКриптора, хм интересно
Попробовал твой патч - не робит... ЕХЕ просто молчит и не запускается
без патча программа стартует

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Есть туторы по пропатчиванию инлайн этого протектора ?

Попались тут игры, короче что-то типа логических или Сапера , от какого-то русского жлоба-шароващика - защита ExeCryptor. Млин , еще бы Старфорс на свое гуано навесил.

Нет, я конечно всякое жлобство видел типа продажи за 19-99 уе игр под ДОС за 1993 год в наше время, но это млин, как же меня бесит.

СтоИт ли гуано с графикой Вынь 95 типа Сапера 150-200 руб? Это можно сравнить с любой лицензией от 1С с крутой приличной игрой ?

Маньяки все (исправлено - почти все) русские шароварщики и жлобье...

Ничего, есть прогрессивные люди в мире, которые отменят жлобские проамериканскиские законы об копирайте и сроках его в 75 лет и информация станет бесплатной и доступной всем !
Взяли панимаешь моду кормиться от одной игрули всю жизнь.
Даешь Опенсорс! Позор Старфорсу и мафии Солодовникова !



| Сообщение посчитали полезным:

и зачем столько камментов к одному вопросу? на arteam сходи, там есть

| Сообщение посчитали полезным:

Soft_Ice пишет:
Есть туторы по пропатчиванию инлайн этого протектора ?
я даже читал. но тебе недадут имхо.

| Сообщение посчитали полезным:

Red Bar0n пишет:
я даже читал. но тебе недадут имхо.

Выложи, я не обижусь...Av0id пишет:
и зачем столько камментов к одному вопросу? на arteam сходи, там есть

"Камменты" для того, чтоб не скучно было, на АРТим схожу, однако хорошо бы прочесть и на русском что-то альтернативное.

| Сообщение посчитали полезным:

-http://rapidshare.de/files/28109896/EarthView_v3.5.2.rar
пример инлайна

| Сообщение посчитали полезным:

r99 пишет:
пример инлайна

Что там, тутор ?
Если да , размер какой?

| Сообщение посчитали полезным:

NIKOLA
там прога с патчем
размер большой 3-5мб
тутора нет

| Сообщение посчитали полезным: