Небольшая подборка свежих анпакми от немцев . В основном пакеры в несколько слоев ну и больше на сообразительность может кому интересно будет!
rapidshare.com/files/13897034/Unpackmee.rar

| Сообщение посчитали полезным:

добавка к подборке...
блокнот накрытый StarForce (судя по версии dll-ки - 4.50.7.0)...
А откуда взяли старфорс чтобы завесить блокнот?
pavka, несколько вопросов, по тому же анпакмису, первый слой пакера, это самопал?
второй по поиску ОЕП, извини, если напрягаю, не могу втемяшить по какому признаку его найти?
Там после выхода из VirtualAlloc оно оперирует строками ".DATA" ".CODE" ".rsrc" так и не понял, что
бы это могло значить..

-----
Researcher

| Сообщение посчитали полезным:

Дампил, тот регион что ты говорил.. тупо вбил это все.. получился экзешник, даже с иконкой замочка какого-то но все равно запускаться он отказался сволась..
Порекомендуй, что-небудь почитать по ручной распаковке, плз

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Дампил, тот регион что ты говорил.. тупо вбил это все.. получился экзешник, даже с иконкой замочка какого-то но все равно запускаться он отказался сволась.
Он выкидывет тебе мессагу типа бокс нарушен ? Если да то плюнь на это ! Загрузи в ольку перепрыгни через месагебокс Он тебе скажет что inline .dll не может быть загружен , ну и пофиг , все равно на оеп встанет дойди до оеп это просто можешь банально на esp-4 Сделай дамп востанови импорт получишь готовый экзешник!
Потом займись длл ! Запусти пакованый файл и сдампь молебовскую dll сохрани ее как inline .dll Восстанови импорт и все

| Сообщение посчитали полезным:

C удовольствием порылся в унпакмисах, распаковал-таки все, ждём ещё подроборку, если есть

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
распаковал-таки все, ждём ещё подроборку, если есть
О.К сделаю подбору из лучших что мне подались за пршлый год!

| Сообщение посчитали полезным:

Блин, ну должны же быть какие-небудь материалы, после прочтения которых я смогу вручную распаковать не зная что это за зверь.. посоветуйте плз.. что нить конкретное. У Касперского во сколько не пробовал фтп не доступен

-----
Researcher

| Сообщение посчитали полезным:

W[4Fh]LF, расскажи как ты unpackme_.exe распаковал, по слоям?
почитаю пока анпак молебокса, может поможет..

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
W[4Fh]LF, расскажи как ты unpackme_.exe распаковал, по слоям?

Глянул, в эбауте написано: "Coded in Asm", брякнулся на VirtualAlloc, после чего поставил hardware бряк на 401000, потом брякнулся на этом адресе, снял дамп региона 400000h-48D000h с помощью PETools, импорт восстановил ImpRec, далее открутил библиотеку inline.dll и всё.

| Сообщение посчитали полезным:

Объясните мне как определить какой регион нада дампить..

-----
Researcher

| Сообщение посчитали полезным:

Посмотри карту памяти, в ольге даже показано какие участки - начало PE файла в памяти, от этого и отталкивайся в этом случае.

| Сообщение посчитали полезным:

Ыхх.. посорел, перечитал хелп по Ольге ни фига нету просветления ребят, ну подскажите туторы для чайнега

-----
Researcher

| Сообщение посчитали полезным:

alt+m
и смотри ;)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix,
я конечна чайнег, ну не ламер же.. как мемари мэп посореть знаю а вот что это мне дает
знаю я где начало ПЕ и че с того? в ПЕ ОЕП не напысан...
Вообще как pavka и др монстры распаковывают, анпакеры/проты не зная как че там работает мне интересно а фкурить ничего не советуют зажали инфу наверна..

-----
Researcher

| Сообщение посчитали полезным:

ну протрась ты полностью, наблюдая за всем. упаковщиков перечитай.

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

overwriter пишет:
знаю я где начало ПЕ и че с того? в ПЕ ОЕП не напысан...
Вообще как pavka и др монстры распаковывают, анпакеры/проты не зная как че там работает мне интересно а фкурить ничего не советуют зажали инфу наверна..
Смотреть заголовки не вредно! Даже если прот и затирает то все равно остается какая то информация которая может быть полезна напримар tls, reloc, iat
Вот к примеру вайл пакованый Thinstall сейчас ковыряю
вот заголовок
004000D0 50 45 00 00 ASCII "PE" ; PE signature (PE)
004000D4 4C01 DW 014C ; Machine = IMAGE_FILE_MACHINE_I386
004000D6 0100 DW 0001 ; NumberOfSections = 1
004000D8 195E422A DD 2A425E19 ; TimeDateStamp = 2A425E19
004000DC 00000000 DD 00000000 ; PointerToSymbolTable = 0
004000E0 00000000 DD 00000000 ; NumberOfSymbols = 0
004000E4 E000 DW 00E0 ; SizeOfOptionalHeader = E0 (224.)
004000E6 8E81 DW 818E ; Characteristics = EXECUTABLE_IMAGE|32BIT_MACHINE|LINE_NUMS_STRIPPED|LOCAL_SYMS_STRIPPED| BYTES_REVERSED_LO|BYTES_REVERSED_HI
004000E8 0B01 DW 010B ; MagicNumber = PE32
004000EA 02 DB 02 ; MajorLinkerVersion = 2
004000EB 19 DB 19 ; MinorLinkerVersion = 19 (25.)
004000EC 00BE1800 DD 0018BE00 ; SizeOfCode = 18BE00 (1621504.)
004000F0 00520600 DD 00065200 ; SizeOfInitializedData = 65200 (414208.)
004000F4 00000000 DD 00000000 ; SizeOfUninitializedData = 0
004000F8 00000000 DD 00000000 ; AddressOfEntryPoint = 0
004000FC 00100000 DD 00001000 ; BaseOfCode = 1000
00400100 00D01800 DD 0018D000 ; BaseOfData = 18D000
00400104 00004000 DD 00400000 ; ImageBase = 400000
00400108 00100000 DD 00001000 ; SectionAlignment = 1000
0040010C 00020000 DD 00000200 ; FileAlignment = 200
00400110 0400 DW 0004 ; MajorOSVersion = 4
00400112 0000 DW 0000 ; MinorOSVersion = 0
00400114 0000 DW 0000 ; MajorImageVersion = 0
00400116 0000 DW 0000 ; MinorImageVersion = 0
00400118 0400 DW 0004 ; MajorSubsystemVersion = 4
0040011A 0000 DW 0000 ; MinorSubsystemVersion = 0
0040011C 00000000 DD 00000000 ; Reserved
00400120 00701F00 DD 001F7000 ; SizeOfImage = 1F7000 (2060288.)
00400124 00040000 DD 00000400 ; SizeOfHeaders = 400 (1024.)
00400128 00000000 DD 00000000 ; CheckSum = 0
0040012C 0200 DW 0002 ; Subsystem = IMAGE_SUBSYSTEM_WINDOWS_GUI
0040012E 0000 DW 0000 ; DLLCharacteristics = 0
00400130 00001000 DD 00100000 ; SizeOfStackReserve = 100000 (1048576.)
00400134 00400000 DD 00004000 ; SizeOfStackCommit = 4000 (16384.)
00400138 00001000 DD 00100000 ; SizeOfHeapReserve = 100000 (1048576.)
0040013C 00100000 DD 00001000 ; SizeOfHeapCommit = 1000 (4096.)
00400140 00000000 DD 00000000 ; LoaderFlags = 0
00400144 10000000 DD 00000010 ; NumberOfRvaAndSizes = 10 (16.)
00400148 00000000 DD 00000000 ; Export Table address = 0
0040014C 00000000 DD 00000000 ; Export Table size = 0
00400150 00000000 DD 00000000 ; Import Table address = 0
00400154 00000000 DD 00000000 ; Import Table size = 0
00400158 00901B00 DD 001B9000 ; Resource Table address = 1B9000
0040015C 00DA0300 DD 0003DA00 ; Resource Table size = 3DA00 (252416.)
00400160 00000000 DD 00000000 ; Exception Table address = 0
00400164 00000000 DD 00000000 ; Exception Table size = 0
00400168 00000000 DD 00000000 ; Certificate File pointer = 0
0040016C 00000000 DD 00000000 ; Certificate Table size = 0
00400170 00000000 DD 00000000 ; Relocation Table address = 0
00400174 00000000 DD 00000000 ; Relocation Table size = 0
00400178 00000000 DD 00000000 ; Debug Data address = 0
0040017C 00000000 DD 00000000 ; Debug Data size = 0
00400180 00000000 DD 00000000 ; Architecture Data address = 0
00400184 00000000 DD 00000000 ; Architecture Data size = 0
00400188 00000000 DD 00000000 ; Global Ptr address = 0
0040018C 00000000 DD 00000000 ; Must be 0
00400190 00000000 DD 00000000 ; TLS Table address = 0
00400194 18000000 DD 00000018 ; TLS Table size = 18 (24.)
00400198 00000000 DD 00000000 ; Load Config Table address = 0
0040019C 00000000 DD 00000000 ; Load Config Table size = 0
004001A0 00000000 DD 00000000 ; Bound Import Table address = 0
004001A4 00000000 DD 00000000 ; Bound Import Table size = 0
004001A8 00000000 DD 00000000 ; Import Address Table address = 0
004001AC 00000000 DD 00000000 ; Import Address Table size = 0
004001B0 00000000 DD 00000000 ; Delay Import Descriptor address = 0
004001B4 00000000 DD 00000000 ; Delay Import Descriptor size = 0
004001B8 00000000 DD 00000000 ; COM+ Runtime Header address = 0
004001BC 00000000 DD 00000000 ; Import Address Table size = 0
004001C0 00000000 DD 00000000 ; Reserved
004001C4 00000000 DD 00000000 ; Reserved
004001C8 43 4F 44 45 00 00 00 >ASCII "CODE" ; SECTION
004001D0 A0BD1800 DD 0018BDA0 ; VirtualSize = 18BDA0 (1621408.)
004001D4 00100000 DD 00001000 ; VirtualAddress = 1000
004001D8 00BE1800 DD 0018BE00 ; SizeOfRawData = 18BE00 (1621504.)
004001DC 00040000 DD 00000400 ; PointerToRawData = 400
004001E0 00000000 DD 00000000 ; PointerToRelocations = 0
004001E4 00000000 DD 00000000 ; PointerToLineNumbers = 0
004001E8 0000 DW 0000 ; NumberOfRelocations = 0
004001EA 0000 DW 0000 ; NumberOfLineNumbers = 0
004001EC 20000060 DD 60000020 ; Characteristics = CODE|EXECUTE|READ
Полезного мало ! Но если мы посмотрим повнимательней то видим
004001C8 43 4F 44 45 00 00 00 00 A0 BD 18 00 00 10 00 00 CODE.... Ѕ....
004001D8 00 BE 18 00 00 04 00 00 00 00 00 00 00 00 00 00 .ѕ............
004001E8 00 00 00 00 20 00 00 60 44 41 54 41 00 00 00 00 .... ..`DATA....
004001F8 80 FE 00 00 00 D0 18 00 00 00 01 00 00 C2 18 00 Ђю...Р...
..В.
00400208 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 C0 ............@..А
00400218 42 53 53 00 00 00 00 00 BD 13 00 00 00 D0 19 00 BSS.....Ѕ...Р.
00400228 00 00 00 00 00 C2 19 00 00 00 00 00 00 00 00 00 .....В.........
00400238 00 00 00 00 00 00 00 C0 2E 69 64 61 74 61 00 00 .......А.idata..
00400248 0C 2C 00 00 00 F0 19 00 00 2E 00 00 00 C2 19 00 .,...р......В.
00400258 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 C0 ............@..А
00400268 2E 74 6C 73 00 00 00 00 10 00 00 00 00 20 1A 00 .tls........ .
00400278 00 00 00 00 00 F0 19 00 00 00 00 00 00 00 00 00 .....р.........
00400288 00 00 00 00 00 00 00 C0 2E 72 64 61 74 61 00 00 .......А.rdata..
00400298 18 00 00 00 00 30 1A 00 00 02 00 00 00 F0 19 00 ....0.....р.
004002A8 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 50 ............@..P
004002B8 2E 72 65 6C 6F 63 00 00 20 47 01 00 00 40 1A 00 .reloc.. G
..@.
004002C8 00 48 01 00 00 F2 19 00 00 00 00 00 00 00 00 00 .H
..т.........
004002D8 00 00 00 00 40 00 00 50 2E 72 73 72 63 00 00 00 ....@..P.rsrc...
004002E8 00 DA 03 00 00 90 1B 00 00 DA 03 00 00 3A 1B 00 .Ъ..ђ..Ъ..:.
004002F8 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 50 ............@..P
Кучу информации прога на дельфи
ИАТ 19F000
tls 1A3000 size 18
и т.д
Все это нам позволит восстановить практическй оригинальную структуру файла! То биш план действий будет таков ставим бряк на запись в иат смотрим заполнение и видим что можем бинарно скопировать практический оригинальную иат и вставить на оеп сделать дапм ! После заполнения иат как правило не далеко и до оеп выходим на Оеп дампим и правим нужные значения в заголовке..
Примерно так ;)

| Сообщение посчитали полезным:

По чему ты делаешь вывод, что это Делфи, а не Borland C++ Builder? Спасибо, за путь истинный

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
По чему ты делаешь вывод, что это Делфи, а не Borland C++ Builder?
Открой в Hiew проги на C++ Builder

| Сообщение посчитали полезным:

Winrar открыл.. выбрал Хекс мод, ниче интересного не заметил, в декоде тож ниче. просмотрел хедер тож ниче.. а что должен увидеть? проги скомпиленные борлондовыми компиляторами опознаю ток по названиям секций .CODE .DATA, а вы как?

-----
Researcher

| Сообщение посчитали полезным:

В принципе, если я знаю какой компиль, и версия линкера, что я могу предпринять чтобы определить ОЕП?Какой бряк поставить hr esp-4 не прокатывает

-----
Researcher

| Сообщение посчитали полезным:

overwriter
К примеру ты можешь использовать особенности компилятора Посмотри какие системные функции вызываются первыми в разных компиляторах! Притом не обязательно тупо каждый раз ставить бряк на GetModuleHandle есть и другие функции ! Если оеп краденo или проэмулено то к примеру на дельфи помнишь начало
mov eax,XXXXXXXX <-------- бряк на доступ С большой долей вероятности и с минимальными затратами времени ты скорей всего выйдешь на гипотетическое начало и сможешь забить на восстановление спертого или проэмуленго кода
Так же и другие компиляторы у каждого есть свои особенности ! Посмотри старт Borland C++ Builder
С++HOOK Вариантов море главно не зацикливайся что тебе обязательно надо начинать распаковку с hr esp-4

| Сообщение посчитали полезным:

pavka, пардон, но будет ли обещанная сборка, али я тороплю события?

| Сообщение посчитали полезным:

W[4Fh]LF
Вот держи одно из лучших анпакми от UsAr для форума ! на вский случай я вложил распакованый но лучще распаковать самому ! Требует не тривиального подхода
rapidshare.com/files/15204539/UnPakMeUsAr.rar

| Сообщение посчитали полезным:

pavka

Ну как бы это, я его уже распаковывал, давно причём

| Сообщение посчитали полезным:

W[4Fh]LF
О.К лови парочку
rapidshare.com/files/15285179/unpackmeDeroko.rar

| Сообщение посчитали полезным:

Вот еще небольшая подборка ;) В основном home-brewed packer и ностальжи так сказать, кракми от Аленки
rapidshare.com/files/15625452/Crakl_b.rar

| Сообщение посчитали полезным:

pavka пишет:
О.К лови парочку

Это те, что с crackmes.de? Вроде я их анпакал уже, не помню

За подборки спасибо, на выходных буду ковырять.

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
Вроде я их анпакал уже, не помню
хм ... ну удивлен честно говоря не тем что их анпакал уже, а что не помнишь ;) Эта парочка как и анпакми от UsAr в общем то требует не хилого анализа и на фоне всей кучи что мне встречались выделяются очень не плохо..

| Сообщение посчитали полезным:

pavka пишет:
а что не помнишь ;)

Да, потому, что я их не анпакал

Кстати, никто не сталкивался вот с таким сообщением в ольге:

---------------------------
No response from injected code
---------------------------
In order to perform action that is not supported by OS, OllyDbg has injected short piece of code into the debugged application, but received no response within 5 seconds. Do you want to wait for another 5 seconds? (If you answer No, the consistency and stability of program is not guaranteed and you should restart it as soon as possible).
---------------------------
Да Нет
---------------------------

Меня он уже задолбал, вот сейчас при отладке одного из унпакмисов опять начал вылазить, я бы мог списать на анти-отладку, но до этого подобная фигня появлялась на других, абсолютно не связанных с крэком, программах. Нажатие ДА НЕТ даёт один результат - ольга виснет.

| Сообщение посчитали полезным:

Дероко левые какие-то но все равно не чувствую себя умным.. долбался с юсаровскими неделю чего ток не выкурил... нихрена.. но еще повожусь

-----
Researcher

| Сообщение посчитали полезным:

Не сталкивался с таким сообщением..
Несколько вопросов:
>Компилю прогу на МАСМЕ с отладочной информацией не пакую ни чем.. такая фишка Оля проскакивает ОЕП.. проходит ГЕТХЭНДЛы и останавливается на входе в WinMAIN почему так? я думал, что ОЕП на МАСМевых прогах 401000 а поэтому адресу бодяга какая-то а потом куча третьих прерываний.
>Хочу в образовательных целях написать свой пакер, что-небудь посоветуйте вкурить, кроме Упаковщиков в последний раз.. уже заучил их наверна ?)
>Еще хотел спросить что нить вкурить, чтобы понять как работает дампер процесса, хочу написать

pavka, за объяснение про карту памяти спасиб.. пригодилось

-----
Researcher

| Сообщение посчитали полезным: