В общем это не совсем тутор или совсем не тутор не умею я их делать;) наваял я тут несколько скриптиков и снял на мувик
В архиве распаковка реальной проги из недавних запросов и распаковка анпакми от Теди Роджерса мувики, проги, дампы скрипты ;) Кому интересно смотрите..
rapidshare.com/files/38303971/Thinstall_2.5unpack_AutoScannerOpel.rar

| Сообщение посчитали полезным:

спасибо.
полезная вещь.

-----
in search of sunrise

| Сообщение посчитали полезным:

Выложите плиз отдельно Thinstall2.521.rar, а то качал и на 95 % оборвало =( перекачивать все снова не хочется.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Сорри, но вещь бесполезная уже... Встретился сегодня с этим счастьем. Все, что в инете лежит (туторы,
скрипты) - не катит. Либо версия старая (в чем я сильно сомневаюсь, т.к. фич в его dll полно), либо такую
еще не видали. Короче, прога юзает веб-компоненты для показа своих менюх-форм. Из инсталла извлек
все ocx-dll-exe, поправил как надо. Все запускается, а вот html-страничек не видать. В чем могут быть
грабли ?

PS: Прога работает с внешними базками

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
Либо версия старая (в чем я сильно сомневаюсь, т.к. фич в его dll полно), либо такую
еще не видали.
Разницы особо принципиальной нет между версиями 2.6 хх 2.7хх функции тинстала создаются практический точно так же!

| Сообщение посчитали полезным:

Ну скрипты для распаковки к 3.x не подошли. Как определить версию ? Дальнейшее копание показало,
что базы созданы самим TH из оригинальных htm/jpg (такое возможно ?). И раскриптовываются в момент
обращения к страничкам. Причем в %temp% создаются каталоги типа "kvqz2drkyr21y6wrypzr7t5drmv72dt"
и в них 10-15 криптованых файликов с подобными именами, байт по 30-70. Писать сниффер на средстве
вывода html что-то не хочется, мутно. Чтоб еще придумать ?

pavka: Только нахождение энтрипоинта и патч для восстановления иат не нужны, там и так все рульно.
Оригинальные TH либы так же вынимаются (demo2d.dll + vregistryd.dll).

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
. Как определить версию ?

она там в явном виде светиться если хоть раз анпакал, найдёшь без труда...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ajax пишет:
Ну скрипты для распаковки к 3.x не подошли.
От я бы удивился если бы они подошли! Это не для VS для нее есть утиль на forums.accessroot.com/
и тутор ;) Качай и вынимай все что тебе нужно ;) А эта тема совсем про другое ))

| Сообщение посчитали полезным:

Hellspawn: Ну нашел Thinstall Version %s / %s, Windows %d.%d (%s) 2.544 050531, а фигли толку ?
А demo2d.dll - это они свою систему лицензий еще навернули ?

pavka: лучше про лицензии расскажи, есть оно там, или мне кажется...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

А то тебе про нее рассказать ? Если тинсталовско я лицензирование то в demo2d.dll все проверки ! Снимаешь тинстал соответственно обходишь лицензирование! Можно пропатчить правда гиморно так как больше 5 байтов свободного места там нет но можно подсунуть dll Все это если триал соответтственно!
А если прога на ключе то как и с другими протами задача не тривиальная

| Сообщение посчитали полезным:

pavka: Уже нашел проверки. Патчить - не спортивно, слишком просто. Что там с SHA творится разбираю...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

7FF46A60 FF15 1062F67F CALL DWORD PTR DS:[7FF66210] ; kernel32.VirtualAlloc
7FF46A66 8D45 8C LEA EAX,DWORD PTR SS:[EBP-74]
7FF46A69 50 PUSH EAX
7FF46A6A 6A 40 PUSH 40
7FF46A6C 57 PUSH EDI
7FF46A6D 56 PUSH ESI
7FF46A6E FF15 C060F67F CALL DWORD PTR DS:[7FF660C0] ; kernel32.VirtualProtect
7FF46A74 F643 18 80 TEST BYTE PTR DS:[EBX+18],80
7FF46A78 75 24 JNZ SHORT 7FF46A9E
7FF46A7A 8D45 E8 LEA EAX,DWORD PTR SS:[EBP-18]
7FF46A7D 6A 00 PUSH 0
7FF46A7F 50 PUSH EAX
7FF46A80 FF75 CC PUSH DWORD PTR SS:[EBP-34]
7FF46A83 56 PUSH ESI
7FF46A84 FF75 D8 PUSH DWORD PTR SS:[EBP-28]
7FF46A87 E8 8A69FFFF CALL 7FF3D416 ; !!! FILL DLL !!!
7FF46A8C 397D CC CMP DWORD PTR SS:[EBP-34],EDI
7FF46A8F 73 19 JNB SHORT 7FF46AAA
7FF46A91 8B45 CC MOV EAX,DWORD PTR SS:[EBP-34]
7FF46A94 2BF8 SUB EDI,EAX
7FF46A96 03C6 ADD EAX,ESI
7FF46A98 57 PUSH EDI
7FF46A99 6A 00 PUSH 0
7FF46A9B 50 PUSH EAX
7FF46A9C EB 04 JMP SHORT 7FF46AA2
7FF46A9E 57 PUSH EDI
7FF46A9F 6A 00 PUSH 0
7FF46AA1 56 PUSH ESI
7FF46AA2 E8 19350100 CALL 7FF59FC0
7FF46AA7 83C4 0C ADD ESP,0C
7FF46AAA 0FB745 A6 MOVZX EAX,WORD PTR SS:[EBP-5A]
7FF46AAE FF45 E0 INC DWORD PTR SS:[EBP-20]
7FF46AB1 83C3 28 ADD EBX,28
7FF46AB4 3945 E0 CMP DWORD PTR SS:[EBP-20],EAX
7FF46AB7 ^0F8C 5AFFFFFF JL 7FF46A17
7FF46ABD 8D4D 90 LEA ECX,DWORD PTR SS:[EBP-70]
7FF46AC0 E8 0510FFFF CALL 7FF37ACA
7FF46AC5 8B5D 10 MOV EBX,DWORD PTR SS:[EBP+10]
7FF46AC8 8B55 D0 MOV EDX,DWORD PTR SS:[EBP-30]
7FF46ACB F603 02 TEST BYTE PTR DS:[EBX],2
7FF46ACE 75 23 JNZ SHORT 7FF46AF3
7FF46AD0 83BA A8000000 00 CMP DWORD PTR DS:[EDX+A8],0
7FF46AD7 8D82 A8000000 LEA EAX,DWORD PTR DS:[EDX+A8]
7FF46ADD 74 14 JE SHORT 7FF46AF3
7FF46ADF 8B8D ECFEFFFF MOV ECX,DWORD PTR SS:[EBP-114]
7FF46AE5 8B75 C4 MOV ESI,DWORD PTR SS:[EBP-3C]
7FF46AE8 03CE ADD ECX,ESI
7FF46AEA 8B75 F0 MOV ESI,DWORD PTR SS:[EBP-10]
7FF46AED 894E 14 MOV DWORD PTR DS:[ESI+14],ECX
7FF46AF0 8320 00 AND DWORD PTR DS:[EAX],0
7FF46AF3 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C]
7FF46AF6 2B42 1C SUB EAX,DWORD PTR DS:[EDX+1C]
7FF46AF9 50 PUSH EAX
7FF46AFA 52 PUSH EDX
7FF46AFB E8 BCACFEFF CALL 7FF317BC
7FF46B00 33FF XOR EDI,EDI
7FF46B02 59 POP ECX
7FF46B03 66:397D A6 CMP WORD PTR SS:[EBP-5A],DI
7FF46B07 59 POP ECX
7FF46B08 76 28 JBE SHORT 7FF46B32
7FF46B0A 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
7FF46B0D 8D70 08 LEA ESI,DWORD PTR DS:[EAX+8]
7FF46B10 8B46 04 MOV EAX,DWORD PTR DS:[ESI+4]
7FF46B13 8B0E MOV ECX,DWORD PTR DS:[ESI]
7FF46B15 0345 0C ADD EAX,DWORD PTR SS:[EBP+C]
7FF46B18 8D55 08 LEA EDX,DWORD PTR SS:[EBP+8]
7FF46B1B 52 PUSH EDX
7FF46B1C 6A 40 PUSH 40
7FF46B1E 51 PUSH ECX
7FF46B1F 50 PUSH EAX ; !!! DUMP IT HERE !!! (from -0x1000 to ...)
7FF46B20 FF15 C060F67F CALL DWORD PTR DS:[7FF660C0] ; kernel32.VirtualProtect
7FF46B26 0FB745 A6 MOVZX EAX,WORD PTR SS:[EBP-5A]
7FF46B2A 47 INC EDI
7FF46B2B 83C6 28 ADD ESI,28
7FF46B2E 3BF8 CMP EDI,EAX
7FF46B30 ^7C DE JL SHORT 7FF46B10
7FF46B32 837B 10 01 CMP DWORD PTR DS:[EBX+10],1
7FF46B36 75 07 JNZ SHORT 7FF46B3F
7FF46B38 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10]
7FF46B3B 8048 7E 04 OR BYTE PTR DS:[EAX+7E],4
7FF46B3F 837B 08 01 CMP DWORD PTR DS:[EBX+8],1
7FF46B43 75 07 JNZ SHORT 7FF46B4C
7FF46B45 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10]
7FF46B48 8348 7C 02 OR DWORD PTR DS:[EAX+7C],2
7FF46B4C 837B 0C 00 CMP DWORD PTR DS:[EBX+C],0
7FF46B50 75 07 JNZ SHORT 7FF46B59
7FF46B52 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10]
7FF46B55 8048 7D 40 OR BYTE PTR DS:[EAX+7D],40
7FF46B59 8B45 BC MOV EAX,DWORD PTR SS:[EBP-44]
7FF46B5C 85C0 TEST EAX,EAX
7FF46B5E 74 11 JE SHORT 7FF46B71
7FF46B60 8B40 2C MOV EAX,DWORD PTR DS:[EAX+2C]
7FF46B63 83E0 20 AND EAX,20
7FF46B66 3C 20 CMP AL,20
7FF46B68 75 07 JNZ SHORT 7FF46B71
7FF46B6A 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10]
7FF46B6D 8048 7F 01 OR BYTE PTR DS:[EAX+7F],1
7FF46B71 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
7FF46B74 FF75 EC PUSH DWORD PTR SS:[EBP-14]
7FF46B77 E8 CE0C0100 CALL 7FF5784A
7FF46B7C 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10]
7FF46B7F FF30 PUSH DWORD PTR DS:[EAX] ; !!! DLLNAME !!!
7FF46B81 E8 38790000 CALL 7FF4E4BE
7FF46B86 8B4D F0 MOV ECX,DWORD PTR SS:[EBP-10]
7FF46B89 83C4 0C ADD ESP,0C
7FF46B8C 8941 38 MOV DWORD PTR DS:[ECX+38],EAX

bp IsBadReadPtr потом бряк на адрес этой чудной dll'ки.

После дампов, как правило, надо фиксить 2 последнии секции, PHYSOFFSET=RVA

В выдернутом EXE - добавить 2 к кол-ву секций в хидере и убрать bounds import

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Ты бы хоть сказал что ты там дампишь? Чет тихо сам с собою? То ajax пишет:
скрипты для распаковки к 3.x
По адресам старый Thinstall2.5ХХХ Смысл в твоем листинге какой? Прогу то ни кто не видел

| Сообщение посчитали полезным:

pavka пишет:
Ты бы хоть сказал что ты там дампишь? Чет тихо сам с собою?
eBahn, если че-нить говорит. Прога на офиц сайте выложена.

pavka пишет:
По адресам старый Thinstall2.5ХХХ Смысл в твоем листинге какой? Прогу то ни кто не видел
Не думаю, что прога кому-то нужна. Листинг - чисто хелп тем, кто хочет быстро дернуть exe/dll ручками
из TH 2.5x, когда скрипты (в т.ч. твой узко заточенный) под ольку не пашут. Комменты в листинге выделены "!!!", кому надо - поймут, тутор не хочу писать.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
eBahn, если че-нить говорит
Ни чего не говорит ;)
ajax пишет:
После дампов, как правило, надо фиксить 2 последнии секции, PHYSOFFSET=RVA
В выдернутом EXE - добавить 2 к кол-ву секций в хидере и убрать bounds import
Хм ...? а почему 2 а если секций предположим 6 или 8 ? да и вообще тинстал секции не затирает можно при желаниии оставить оригинальные секции ..
В длл вобще ничего не нужно фиксить если они вовремя сняты.. ;) Или если длл грузиться предположи не from -0x1000 to а по другим адресам так как не одна? Или к примеру длл сабжевая грузиться по 7F??????
и т.д

| Сообщение посчитали полезным:

pavka пишет:
Хм ...? а почему 2 а если секций предположим 6 или 8 ?
Частный случай, надо было написать. Прога на васике была, так что, добавить N-1.
pavka пишет:
да и вообще тинстал секции не затирает можно при желаниии оставить оригинальные секции ..
А я где-то написал, что затирает ?[/i]
pavka пишет:
В длл вобще ничего не нужно фиксить если они вовремя сняты.. ;)
Хехе. Посмотри свой DUMP.EXE. Если к "Count of sections" в хидере прибавишь недостающее число, о котором я написал выше, и глянешь Object Table (табличку секций), то сразу все поймешь. В OpelModules.dll ничего не надо прибавлять, просто по той же табличке секций пройдись. Где тут у нас, например, физически релоки ?
pavka пишет:
Или если длл грузиться предположи не from -0x1000 to а по другим адресам так как не одна?
По каким еще другим ? Мы на начале первой секции перед VirtualProtect. Как показала практика, все хидеры TH равняет на 0x1000. Если вдруг не так, то в ольке в окне дампа увидишь, что не так.
pavka пишет:
Или к примеру длл сабжевая грузиться по 7F??????
А какая нафик разница ? Адрес начала дампа EAX-0x1000...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
Посмотри свой DUMP.EXE
Чего на него смотреть досточно на него насмотрелся и сказа по какой причине не считю нужным править нидер ;)
Чего мы спорим возми любой сабж с несколькими виртуальными файлам да выдерни все файлы! Да покажи как ты это сделал! Для чистоты эксперемета и малого обьема возми к примеру у Тедди Роджерса
UnPackMe_Thinstall2.628.f.exe ,хотя пример несколько надуман но сойдет Проведи наглядную демонстрацию как ты выдергиваешь все файлы 3 +екзе от Тедда и сабжевые ! А пока разговор ни о чем..

| Сообщение посчитали полезным:

Легко. Но exe самопальный, с извратами разбираться времени нет. Файлы вроде в норме.

b393_30.06.2007_CRACKLAB.rU.tgz - sux.rar

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

А ты шутник ты хот сам то смотрел что цепляешь! exe 47кб а где еще 400
ajax пишет:
Но exe самопальный, с извратами разбираться времени нет
Поясни? что это значит?
вот посмотри как нужно тинсталовские я не стал вкладывать
rapidshare.com/files/40209279/Thinstall_2.628.rar
Да и вообще обьясни нам что ты распаковывал такое что приатачил корявый Тинсталовский Стаб вместо exe ?

| Сообщение посчитали полезным:

pavka пишет:
Поясни? что это значит?
TH стаб принял за роджеровскую поделку, вот и неверное мнение.

Почему-то сам распаковал (.a), а не (.f) ;) Да, с екзешником лажанул, но сам понимаешь - это не проблема. На быстрый анализ изменений в этой версии и распаковку и фикс dll, у меня ушло минут 20.
У тебя немного более, если судить по дате изменения твоих dll/exe.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
У тебя немного более, если судить по дате изменения твоих dll/exe.
Дежавю ;))) Они распакованы скриптом время я не засекал ну думаю от силы минута ;) притом это было давным давно ;))))
ajax пишет:
Почему-то сам распаковал (.a), а не (.f) ;)
отправил то что осталось на харде разницы между ними принципально нет ни какой
ajax пишет:
Да, с екзешником лажанул, но сам понимаешь - это не проблема
Нет не понимаю ;)Это проблема и притом большая для чела пишушего<<чисто хелп тем, кто хочет быстро дернуть exe/dll ручками>> Если чел не в состонии отличить стаб который не запускается и называет его exe самопальный, с извратами и при этом еще ajax пишет:
На быстрый анализ изменений в этой версии и распаковку и фикс dll, у меня ушло минут 20.
О чем мне вообще с тобой говорить?

| Сообщение посчитали полезным:

pavka пишет:
Нет не понимаю ;)Это проблема и притом большая для чела пишушего<<чисто хелп тем, кто хочет быстро дернуть exe/dll ручками>> Если чел не в состонии отличить стаб который не запускается и
Все можно было дернуть как надо, и немного приложив мозги, прислать чуть позже. Зачем, ради простой демонстрации универсалки...
pavka пишет:
О чем мне вообще с тобой говорить?
Не говори Я занимаюсь анпаком только когда мне что-то необходимо, в остальном мозги разминаю по-другому. Предложенный способ, считаю, более универсальным, чем в твоем туторе, если написать скрипт.
Вот и все. Пусть народ сам смотрит, что полезнее. Дальше смысла развивать тему нет.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
Предложенный способ,
Кроме большого количества слов о том какой ты великий чел , ajax пишет:
Я занимаюсь анпаком только когда мне что-то необходимо,
ajax пишет:
у меня ушло минут 20.
У тебя немного более, если судить по дате изменения твоих dll/exe.
и какой замечательный твой способ универсальный и все такое....
ajax пишет:
Предложенный способ, считаю, более универсальным, чем в твоем туторе, если написать скрипт.
Если бы у бабушки был....ну сам знаешь что она была бы дедушкой. Напиши чего зря болтать...
Будет работать будет предмет разговора ;)

| Сообщение посчитали полезным:

Снова Thinstall и та же прога, тока свежая версия. Имеем - прога с THI 3.x, exe уже выдернут, .dll не нужно, OEP, адрес переходника на LoadLibraryA. Необходимо дернуть ресурсы. Метод ARTeam'a не катит (с загрузкой либы), файлеги в тхинсталле упорно не видятся, и, соответственно, экспортить нечего. Что еще придумать? Прогу могу выложить, там мегов 20 инсталляха.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

mysterio пишет:
Выложите плиз отдельно Thinstall2.521.rar, а то качал и на 95 % оборвало =( перекачивать все снова не хочется.
rapidshare.com/files/91983988/Thinstall2.521.rar 2,83Mb

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

ajax пишет:
Снова Thinstall и та же прога, тока свежая версия. Имеем - прога с THI 3.x, exe уже выдернут, .dll не нужно, OEP, адрес переходника на LoadLibraryA. Необходимо дернуть ресурсы. Метод ARTeam'a не катит (с загрузкой либы), файлеги в тхинсталле упорно не видятся, и, соответственно, экспортить нечего. Что еще придумать? Прогу могу выложить, там мегов 20 инсталляха.
та же проблема - надо выдернуть ВСЕ файлы из одного ехе. Такое реально?

| Сообщение посчитали полезным:

Ara пишет:
та же проблема - надо выдернуть ВСЕ файлы из одного ехе. Такое реально?
Если проблема как у того чела с тинсталом 3 так тебе любой олух с руборда на раз выдернет

| Сообщение посчитали полезным:

тинсталл 2.5.ХХ. А любой олух с кряклаба выдернет оттуда всё на раз?

| Сообщение посчитали полезным:

Ara
Дык, NickOnToluca поди асилит, правда, сомненья есть насчет 2.5.XX. Спроси его.

| Сообщение посчитали полезным:

Thinstall Embedded V2.501 - вот у мну какой зверь

| Сообщение посчитали полезным: