Вот модернизировал свой второй крякми и защитил от инлайна. Кто может такое взломать и заинлайнить. Никаких ограничений.

1. кто в силах это распаковать?
2. кто в силах сделать инлайн патч для данного крякми?

PS: DrGolova, ты не пробовал для FSG инлайн сделать?

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Вот аттач

2111455034__CrackMe3_.rar

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

экий тормозной пакер... ;) долго он прогу грузит...

ЗЫ таблица по которой он определяет направления спёртых call[]/jmp[] слижком уж простая:
[адрес откуда спёрли+6] - 3 байта
[тип спёртой команды (jmp [] или call [])] - 1 байт (80h или 00h)
[адрес - куда прыгать] - 4 байта

_565793853__Dumped2_.exe

| Сообщение посчитали полезным:

кста, а что это за пакер был ?

| Сообщение посчитали полезным:

> PS: DrGolova, ты не пробовал для FSG инлайн сделать?
В целом для FSG естесно делал, а если мелось в виду прошлое кракми, то даже и не собирался тратить время, как я и говорил

> кста, а что это за пакер был ?
Похоже на Yoda, но зуп не даю =)

| Сообщение посчитали полезным:

Mario555 пишет:
экий тормозной пакер... ;) долго он прогу грузит...

ЗЫ таблица по которой он определяет направления спёртых call[]/jmp[] слижком уж простая:
[адрес откуда спёрли+6] - 3 байта
[тип спёртой команды (jmp [] или call [])] - 1 байт (80h или 00h)
[адрес - куда прыгать] - 4 байта
Может расскажешь поподробнее, как прогу распаковал, как OEP нашел. Импорт там несложный, а вот OEP я сам честно говоря не могу найти Ясноб что прога на VB и ты небось брякался на ThunRTMain, а если этим протектором запаковать C++ или Asm прогу? Как будешь OEP искать?

DrGolova пишет:
В целом для FSG естесно делал
Может пришлешь один примерчик? Просто нет времени с ним разбираться, а думаю будет неплохо для него инлайны научиться делать... ди в в проге Inliner может реализую и грится тебе будут. В общем, если есть немного времени - расскажи плиз с примерчиком.

DrGolova пишет:
Похоже на Yoda, но зуп не даю =)
Нет, это один приватный китайский пакер.

В аттаче Asm прога, упакованная этим пакером. Кто распакует - расскажите методику плиз. Все выходные этот пакер копал. Распаковал, импорт восстановил, а OEP так и не нашел

_737211666__W32INTRO.rar

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
В аттаче Asm прога
Visual C++ 6.0 Извиняюсь, оговорился, но это ничего особо не меняет, все равно распаковать сложнее VB

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

FSG 2.0

HEADER:00400154 start proc near
HEADER:00400154 87 25 94 33 41 00 xchg esp, ds:dword_413394
HEADER:0040015A 61 popa
HEADER:0040015B 94 xchg eax, esp
HEADER:0040015C 55 push ebp
[....]
HEADER:004001CA 8B 07 mov eax, [edi]
HEADER:004001CC 40 inc eax
HEADER:004001CD 78 F3 js short loc_4001C2
HEADER:004001CF 75 03 jnz short loc_4001D4
HEADER:004001D1 FF 63 0C jmp dword ptr [ebx+0Ch] ; jump to oep

FSG 1.33
seg002:00407AFD FE 0E dec byte ptr [esi]
seg002:00407AFF 0F 84 C6 96 FF+ jz near ptr oep
seg002:00407B05 56 push esi
seg002:00407B06
seg002:00407B06 loc_407B06: ; CODE XREF: start+9Dj
seg002:00407B06 55 push ebp
seg002:00407B07 FF 53 04 call dword ptr [ebx+4]
seg002:00407B0A AB stosd
seg002:00407B0B EB E0 jmp short loc_407AED

| Сообщение посчитали полезным:

GPcH пишет:
все равно распаковать сложнее VB
не-а абсолютно одинаково...
при ближайшем рассмотрении пакер оказался полной фигнёй ;)
там основной мусор автоматически выкинуть - и всё сразу понятно... ибо пакер на асме написан.
По поводу оеп:
1) бряк на доступ к секции кода никто не отменял
2) адрес оеп расшифровывается вместе с основным кодом протектора (тоесть в самом начале), так что его легко найти...

PS я вчера не заметил (т.к. у меня олли в explorer.exe переименован) , там есть проверка - какой процесс запустил прогу, если не EXPL или CMD. то прога нагло виснет

00335722    25 5F5F5F5F     AND EAX,5F5F5F5F

00335727    3D 434D442E     CMP EAX,2E444D43 // CMP.

...

00335886    25 5F5F5F5F     AND EAX,5F5F5F5F

0033588B    3D 4558504C     CMP EAX,4C505845 // EXPL

00335890  - 75 FE           JNZ SHORT 00335890  

...

вот за этот JNZ авторам этого протектора надо руки поотрывать ;)

| Сообщение посчитали полезным:

Mario555 пишет:
PS я вчера не заметил (т.к. у меня олли в explorer.exe переименован) , там есть проверка - какой процесс запустил прогу, если не EXPL или CMD. то прога нагло виснет
Хех точно, а я из фара запускал, она у меня стала жрать всё время процессорное, ну я и подумал не судьба...

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Mario555 пишет:
вот за этот JNZ авторам этого протектора надо руки поотрывать ;)
Марио - ты реальный чел - спасибо!!! Я эту проверку и искал, так как в Olly процесс вис. ПАСИБА. Как распакую сам пакер и переведу с китайского на наш (или не корявый инглиш) - покажу народу

nice пишет:
Хех точно, а я из фара запускал, она у меня стала жрать всё время процессорное
Во во

nice пишет:
ну я и подумал не судьба...
Я два выходных парился и тоже так подумал... спасибо Марио!!!

PS: Только где все же OEP лежит?

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Дошли руки, глянул:
Делаем бряку в Ольке на создание нового потока:
break on new thread

потом я дошел

00325A9D   25 5F5F5F5F   AND EAX,5F5F5F5F

00325AA2   3D 4558504C  CMP EAX,4C505845

00325AA7  -75 FE              JNZ SHORT 00325AA7

00325AA9   61                 POPAD

Это как раз проверка про которую говорил Марио
00325AA7 - нопим или переключаем флаг
двигаемся далее, можете сами по дебажить, я дошел до
325dab (переходим и жмем F4) секция кода уже расшифрована
и вот мы уже у самого интресного
ставим бряку на секцию кода 401000+Length
и мы тут: 40А180 создаем IAT
после создания программа опять пыттается писать в секцию
зачем???
а делает она как раз ту бяку про которую говорил Марио:

00401DE2   57  PUSH EDI

00401DE3   8965 E8 MOV [DWORD SS:EBP-18],ESP

00401DE6   90  NOP

00401DE7   E8 C076F2 >CALL 003294AC      <<<<<< переходник

00401DEC   33D2 XOR EDX,EDX

после этого цикла программа вывалится на ОЕР(бряку так и не убираем)
ОЕР: 401DС0
импорт импреком без мухлежа не востановить. Как устроена таблица переходников наш брат-унпакер написал выше ))

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

чегото не понял про тэг [ C ] как именно он работает?

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

самого пакера у меня нет, скрипт писал по этим двум прогам, так что могут быть баги

// uncheck all exceptions !!!

// ollydbg.exe rename to explorer.exe



// I) oep + find targets

var temp

var pTable

var oep



var mbase

gmi eip, MODULEBASE

mov mbase, $RESULT

log mbase



gpa "VirtualFree", "kernel32.dll"

mov temp, $RESULT

bp temp

eoe lab1

eob lab1

run



lab1:

bc temp

mov pTable, ebp

add pTable, 523A

mov pTable, [pTable]

add pTable, ebp

log pTable

mov oep, ebp

add oep, 523E

mov oep, [oep]

add oep, mbase

log oep

bp oep

eoe last

eob last

esto



last:

bc oep

cmt eip, "-====OEP====-"

var k

var l



// II) stolen jmp/call recovery

mov k, pTable



loc_next:

mov l, [k]

shr l, 18

shl l, 18

cmp l, 80000000

je loc_jmp



mov l, [k]

sub l, 6

mov [l], 15ff

add k, 4

mov temp, [k]

add l, 2

mov [l], temp

add k, 4

jmp loc_end?



loc_jmp:

mov l, [k]

shl l, 8

shr l, 8

sub l, 6

mov [l], 25ff

add k, 4

mov temp, [k]

add l, 2

mov [l], temp

add k, 4



loc_end?:

cmp [k], 0

jne loc_next

ret

если захотите не просто распаковать, но и поисследовать, то полезно написать такое:

var temp



loc_next:

find eip, #689F6F56B650E85D000000#

mov temp, $RESULT 

log temp

cmp temp, 0

je end

fill temp, 14f, 90

jmp loc_next



end:

ret

запускать лучше сразу после jmp edx (переход к основному коду пакера)

GPcH
пакер выложи где-нить, plz.

| Сообщение посчитали полезным:

эээ я может не правильно там сказал - '// uncheck all exceptions !!!' - короче в игнор все исключения ;)

| Сообщение посчитали полезным:

Mario555
Кажись там только 2 исключения:
1. Деление на 0
2. Access violation

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Может и 2, я не смотрел, их обработчики всё-равно ничего полезного не делают... только эфир засоряют . Просто для работы скрипта нужно, чтобы нигде лишний раз не останавливалось ;)
Скрипт работает ?

| Сообщение посчитали полезным:

Mario555 пишет:
Скрипт работает ?
Работает!!! Охуительно!!! Сам пакер распаковался твоим скриптом!!! Щас доведу его до ума и выложу.

Все, распаковал, ресурсы восстановил, импорт добавил, ресурсы русифицировал (правда не полностью) - в аттачах прога

1112014270__PEQuake.rar

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Ну и тормозной же пакер.. Ужасть

| Сообщение посчитали полезным: