Наткнулся на интересную прогрммку: Internet Access Monitor
линк: http://internetaccessmonitor.ru/pub/iamisa_pro.exe http://internetaccessmonitor.ru/pub/iamisa_pro.exe ( около 5 М - 40 дневная триалка)
естественно запакована. Но не могу определить защиту. Симптомы:
1) Секции (через запятые): CODE, DATA, BSS, i.59.mw4, s6t7gisl, .tls, .rdata, wuk9h8ct, .rsrc, m0yua1sy, 2av90k0.
2) OLLYDBG - не грузит её а просто вылетает по ошибке в момент загрузки
3) PiED - не идентифицирует протектор

Сильно похоже на "самодел". Кто видел нечто похожее? В смысле невозможность загрузить прогу в OLLYDBG ?

Как вообще осуществить загрузку в OLLYDBG того, что туда не грузиться? Подскажите ход мысли?

P.S.: Она ещё и не дает конектиться к запущеной проге

| Сообщение посчитали полезным:

http://www.exelab.ru/rar/dl/CRACKLAB.rU_26.rar
Читай!

| Сообщение посчитали полезным:

ехекриптор, вообщем чиатй тутор..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

pavka
Староват уж больно тот тутор. Единственное, чего там полезного осталось - о TLS. Распаковка последних версий сабжа - вообще полный геморрой.
Кстати, я бы тоже был не прочь почитать чего посвежее, в частности по борьбе с антидебагом в Оле.

| Сообщение посчитали полезным:

YDS

Так туторов раз два и обчелся Хрен кто спешит поделится инфой....

| Сообщение посчитали полезным:

Побробуй Олю переименовать, иногда помогает

| Сообщение посчитали полезным:

realcoding пишет: Побробуй Олю переименовать, иногда помогает

Это не тот случай

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

У меня, после распаковки этого криптера, дампы запускаются 50х50,приходиться делать инлайны.
Мусор разгребать, терпения не хватает.

| Сообщение посчитали полезным:

NIKOLA пишет:
Мусор разгребать, терпения не хватает.
метаморф+вм,.. инлайн рулед

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

YDSСтароват уж больно тот тутор. Единственное, чего там полезного осталось - о TLS
Напиши новый ;)
Если мозги есть то тутора SergShа даже с избытком!
Maximus
А ты скорми его Quick Unpack 1.0 beta 5 (Шутка)

| Сообщение посчитали полезным:

lord_Phoenix пишет:
метаморф+вм
Ну ВМ это можно назвать с натяжкой, хотя своё дело делает...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

// отредактировал nice
// YDS,pavka предупреждение за флейм

| Сообщение посчитали полезным:

Заканчиваем пипирками мерятся .А то уже от темы далеко ушли.

Самое главное - вид протектора опоеделил - EXECryptor. Версию не знаю но явно свеженькицй. А куда далее копать - сам попробую определить. Мозги и руки вроде есть

А тутор действительно старенький ... И для данной конкретной свежей версии не катит. Буду ковырять ...

| Сообщение посчитали полезным:

PE_Kill пишет:
Ну ВМ это можно назвать с натяжкой, хотя своё дело делает...
ну эмуляция пары команд ладно... меня больше метаморф напрягает %)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Пусть это будет и флейм!
http://www.exelab.ru/f/action=vthread&forum=1&topic=3167&p age=1
Вот можно почитать и все станет на свои места!
И о мозгах и туторах стареньких! И даже о том что на CRACKL@B есть поиск!
Так что при желании можно обойтись и совсем древним тутором Риккардо который катит при определеных условиях для любой версии ;)

| Сообщение посчитали полезным:

Посмотрел эту прогу, оказывается я неделю назад подобную хрень снимал с pic2pic.exe, правда импорт там целенький был. Если это новая версия данного криптора, то ерунда. Непонятно в чём проблемы. Правда я эту прогу до конца ещё не распаковал, скрипт на оставшийся импорт надо писать, да времени маловато. Ну если это действительно новая версия, то выкраю времечко для написания статьи, а так - отстой, даже ОЕР не пофиксено.

| Сообщение посчитали полезным:

realcoding пишет:
Побробуй Олю переименовать, иногда помогает
=) Распознавание дебагеров по имени - хороший способ защиты =))))))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Вроде распатчил. Правда глюк один (или не один) не могу отловит. Дело в том что программа запускается с помощью иконки с ошибкой, и если название сделать оригинальное то таккая же ерунда. А так вроде рулитю. Может кто посмотрат, подскажет что не так?
Your file Inte.rar (2951 KB) is now online.
Your Download-Link: rapidshare.de/files/24420509/Inte.rar.html

| Сообщение посчитали полезным:

Позволю себе немного апнуть тему ...наткнулся на прогу - peid молчит как рыба об лед...
секции:

CODE
DATA
BSS
.idata
.tls
.rdata
24ge5374
.rsrc
3z5ajlal
77hen4zr

ЕхеКриптор??? помоему нет т.к. программа распаковалась плагином к PeiD - Generik Unpacker
Самопальная , тоже имхо нет ..т.к на предыдущих версиях программы висел AsProtect 2.11 предположительно Register

ЗЫ а оля тоже падает сразу при открытии ... м/б новый пакер/протектор нарисовался??....

| Сообщение посчитали полезным:

mrJ
прогу в студию

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ех, не хотел выкладывать ну да ладно, позор на мою седую голову))

самодельный(не мной естественно) апдэйтер для он-лайн игры прога в хозяйстве абсолютно бесполезная - при запуске лезет в инет , но качает только страницу новостей, так что нестрашно:
ссылка http://dump.ru/files/4/418697854/LineageII%20Updater.zip
600 кб

интерес чисто спортивный, хотел глянуть что она откуда качает))
до EP добрался путем чтения начала тутора (настройки олли и TSL)
"Распаковка EXECryptor на примере InternetAccessMonitor.exe. Автор: SergSh"

2 бряка 611052 - это и есть оеп
а 2й ниже на 61105E - т.к. 1м вызывается 2й бряк и падение
0060DFF9 ADD BYTE PTR DS:[EDI+E8EC2414],AL

если подправить по адресу
00611063 ADD EAX,31B на ADD EAX,7D5 как выше то вызывается EP а затем падение на
0060F6C3 XCHG DWORD PTR DS:[ESI+EBX*2],ESI

Хз там даж ни одного условного перехода нет ....
ЗЫ эт все конечно показывает мое ламерство, ну да вроде на звание кулхацкер я никогда не претендовал)) как ее нормально запустить хотяб......

| Сообщение посчитали полезным:

mrJ
в чем проблема?
peid же распаковывает эту вещь

| Сообщение посчитали полезным:

Это экзекриптор. А пеид не распаковывает, посмотрите на секции.

| Сообщение посчитали полезным:

распаковал и запустилось (Peid) - хотя на execryptor похоже действительно
забавно - QuickUnpack 1.05 не смог

| Сообщение посчитали полезным:

не, распаковать то распоковывает, но вопрос как??))
хотелось бы все-таки руками... так универсальней что-ли...

м/б просто кто-то под криптор косит....)) глянешь на секции - криптор и не полезешь а там на самом деле....

| Сообщение посчитали полезным:

нет, там ехе круптор) возможно опции так подобраны, что распаковывается легко

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Уважаемые вы хоть скажите мой дамп работает или нет?

| Сообщение посчитали полезным:

Hellspawn пишет:
нет, там ехе круптор) возможно опции так подобраны, что распаковывается легко

Там они вообще не выставлены, нафига так сделали. Лучше упх запаковали

SergSh пишет:
Уважаемые вы хоть скажите мой дамп работает или нет?

Да, работает вроде.

| Сообщение посчитали полезным:

Hellspawn пишет:
там ехе круптор) возможно опции так подобраны

Демо версия.

| Сообщение посчитали полезным:

NIKOLA пишет:
Демо версия.

В демке наг есть, а здесь его нету...

Хотя это как раз может и быть ломаная демка которая проскакивала недавно, хз...

| Сообщение посчитали полезным: