| Сейчас на форуме: Rio (+10 невидимых) |
 |
eXeL@B —› Основной форум —› UnPackMe |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 03 мая 2006 19:06 · Личное сообщение · #1 www.SoftProtect.by.ru/ UnPackMe -> webfile.ru/933442  |
|
|
Создано: 03 мая 2006 19:26 · Поправил: Ara · Личное сообщение · #2 Сорри, я не туда глянул 
|
|
|
Создано: 04 мая 2006 04:40 · Личное сообщение · #3 Судя по описанию прям реинкарнация ексекриптора! Спасибо посмотрим! |
|
|
Создано: 04 мая 2006 06:21 · Личное сообщение · #4 дамс, сразу виден профессиональный подход, инсталятор винраром зажат, сайт на *.by.ru в 2003 этот прот даже не стартует ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 04 мая 2006 08:23 · Поправил: Smon · Личное сообщение · #5 nice пишет: сразу виден профессиональный подход Да уж, rdtsc действительно профессиональный подход, да и оптимизация тоже на высоте 
А главное, что пашет только на дельфовых и асмовых прогах, на остальных падает нахер (видно продукт не без багов)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 04 мая 2006 10:19 · Личное сообщение · #6 Каспер этот прот палит, наверное тоже будет и с unpackme.. 
----- may all your PUSHes be POPed! |
|
|
Создано: 04 мая 2006 10:38 · Личное сообщение · #7 с сишными прогами тоже работает просто метод 1 надо использовать nice пишет: в 2003 этот прот даже не стартует незнал интересно изза чего Guru_eXe пишет: Каспер этот прот палит тоже незнал странно nice пишет: сразу виден профессиональный подход 
|
|
|
Создано: 04 мая 2006 11:25 · Личное сообщение · #8 prot пишет: с сишными прогами тоже работает просто метод 1 надо использовать Ни первый, ни второй не катят, прот падает (сам) 
Добавляй третий
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 04 мая 2006 11:27 · Личное сообщение · #9 Вирус Type_Win32. Каспер убил. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 04 мая 2006 11:35 · Личное сообщение · #10 Ну каспер много чего палит!;) prot про синий экран была шутка? |
|
|
Создано: 04 мая 2006 11:38 · Личное сообщение · #11 PE_Kill пишет: Вирус Type_Win32. Каспер убил. странно, надобудет установить Каспера |
|
|
Создано: 04 мая 2006 11:39 · Личное сообщение · #12 pavka пишет: про синий экран была шутка? ну посматри сам мож у тебя небудет |
|
|
Создано: 04 мая 2006 11:49 · Личное сообщение · #13 Да не было вроде!
|
|
|
Создано: 04 мая 2006 18:14 · Личное сообщение · #14 дык прот создавался имхо только для того чтоб пинч прятать поэтому касперчегу респект - троянщикам яд. |
|
|
Создано: 04 мая 2006 18:34 · Личное сообщение · #15 Что-т мне этот прот не нравится... Особенно вот ента опция - "To clear the table of import (a method 2)", с первым вроде всё ясно, а тут... сначала идет подсчет количества имп.функций вроде, затем какая-то трабла, типа: 00412CF6 mov eax,4C 00412CFB jmp 004119DE значить попадаем в цикл, тоторый идет от 4C до 0, потом еще какая-то фигня, а потом и наша функция, ток если так все функции удить, то сДохнуть можно, мож кто плагин напишет? ----- may all your PUSHes be POPed! |
|
|
Создано: 04 мая 2006 18:54 · Личное сообщение · #16 asm вроде этот прот держит, а вто delphi падает, судя по всему сам прот тож на asm-е написан. 
----- may all your PUSHes be POPed! |
|
|
Создано: 04 мая 2006 21:01 · Личное сообщение · #17 терь по унпакми, oep как я понял такой - 0044DCCC, импорт них не могу восстановить загажен вторым методом... ладном унпакми на асме был с двумя-тремя фуньками, а то тут их аж - 386, руками что- не хотца. кроче
----- may all your PUSHes be POPed! |
|
|
Создано: 04 мая 2006 21:44 · Личное сообщение · #18 Guru_eXe на си и вправда недоделано, а на дельфях недолжна вроде падать |
|
|
Создано: 05 мая 2006 05:42 · Личное сообщение · #19 У меня такое чувство, как будто методы защиты один чел придумывал, а кодил совсем другой. До OEP за 5 сек дошел, на импорт еще 1 мин истратил. Потом решил усложнить задачу и восстановить импорт без ImpREC. Написал скрипт для ольки (всего то 180 строчек плучилось). После этого восстановленный импорт фиг от оригинального отличишь. В общем вот вам анпакнутый файл и к нему скрипт.  f3b1_05.05.2006_CRACKLAB.rU.tgz - Unpacked.rar
----- Yann Tiersen best and do not fuck |
|
|
Создано: 05 мая 2006 12:35 · Личное сообщение · #20 PE_Kill, мда... ну ты моледец! у меня вот что-то с импортом проблемы. Спасибо что закомментил скрипт...
----- may all your PUSHes be POPed! |
|
|
Создано: 16 июня 2006 19:56 · Личное сообщение · #21 Люди,у меня трабла с этим АнПакМи.Если у кого такое было - скажите что делать.Этот анпакми под олей работать не хочет(происходет куча иксепшенов и потом вылетает,так и не дойдя до ОЕП) .Пробовал разные Оли(Shadow,Diablo,Standard),пробовал отключать разные опции в настройках Оли и плагах к ней.Подскажите плииз что делать!
|
|
|
Создано: 17 июня 2006 01:57 · Личное сообщение · #22 XQuader Аналогично!Даже advancedolly.dll не выручает. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 17 июня 2006 09:34 · Личное сообщение · #23 У меня тоже самое было, а потом оказалось, что чтобы его распаковать дебагер не нужен. Грузим в IDA и анализируем первые 10-20 байт, видим как всё ламерски сделано. После этого закрываем иду и распаковываем. Подсказка: нужен только хекс редактор и дампер. Bronco пишет: Даже advancedolly.dll не выручает Так он палит этот плагин и HideDebugger тоже. Кстати он олю вырубает именно через advancedolly. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 июня 2006 10:08 · Личное сообщение · #24 PE_Kill Без advancedolly,этот прот не грузиться,сразу на рет вылетаешь. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 17 июня 2006 11:54 · Поправил: PE_Kill · Личное сообщение · #25 А ты про TLS слышал? Да и говорю же не надо там отладчика... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 июня 2006 12:22 · Личное сообщение · #26 А как без отладчика сделать,плиз по подробней напиши. |
|
|
Создано: 17 июня 2006 12:31 · Личное сообщение · #27 И про восстановление импорта через ИмпРек напиши к этому проту. |
|
|
Создано: 17 июня 2006 13:18 · Личное сообщение · #28 XQuader пишет: И про восстановление импорта через ИмпРек напиши к этому проту А что там писать? Прот массив IID не грохает, массив этот лежит во второй секции. Проходимся по нему и получаем все массивы указателей на ThunkData. Дальше проходимся по этим массивам и вызываем wrapper прота, при этом поставив бряки на LoadLibrary и GetProcAddress. И пишем в конец IAT название ДЛЛ (Если новая) и название ф-ии. Вот и все. А подробнее все в скрипте откаментировано. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 июня 2006 17:21 · Личное сообщение · #29 Bronco В advancedolly поставь галку TLS брякнешься потрейси до первого ексепшна и ты на ЕП! Оеп тоже же найти просто! Но PE_Kill нашел красивое решение я симпотртом долбался долго ;) |
|
|
Создано: 17 июня 2006 17:53 · Личное сообщение · #30 Ладно, выдаю ужасную тайну этого прота. 1. TLS callback
Теперь по адресу 004611F2 вместо 75F5 пишем EBFE, закрываем отладчик, или чем вы там открывали и запускаем файл. Ждем 3 секунды, запускаем дампер и дампим на диск. Всё! Файл распакован! ----- Yann Tiersen best and do not fuck |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› UnPackMe |
Для печати