Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?

| Сообщение посчитали полезным:

Я так понимаю, ты атачился к процессу, в таких случаях я убиваю не нужные трэды.
Можно в ольке сделать фулл аксесс ко всем секциям.

| Сообщение посчитали полезным:

RSI пишет:
у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!
Не знаю, если указал правильный rva то никаких проблем возникнуть не должно, по крайней мере ни разу не встречал

RSI пишет:
4) TLS: 0026A000
тлс восстанавливать не обязательно, но обязательно почистить дворд по адресу указанному в TLS CallBack.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Можешь сделать так Если весь импорт восстановил скинь дамп , обнули иат загрузи дамп в ольку и сделай tree плагином от ap0x RL!Weasle Запусти импрек загрузи tree прикрути импорт к дампу ! лучше всего записывать в оригинальное место поэтому секцию лучше залить нулями

| Сообщение посчитали полезным:

pavka
Спасибо! счас попробую....

| Сообщение посчитали полезным:

NIKOLA
Я так и делал, и не помогло...

Smon
В том то и дело, что я указаываю правильный RVA...

Кароче получилось все немного проще, не работает ImpRec 1.6 - зато нормально работает ImpRec 1.4.2 , походу он и юзался в статье.

Чтобы не было дискуссий я заснял все свои действия на небольшой ролик.

Вот: ifolder.ru/2575007 ( 1.46 MB )

Поэтому просьба - у кого есть время гляньте что я делаю не так, чтоб на будущее не возникало таких вопросов.

Заранее огромное спасибо!

| Сообщение посчитали полезным:

RSI пишет:
ImpRec 1.6 - зато нормально работает ImpRec 1.4.2
Вообще то ситуация достаточно странная если все обстоит именно так как ты пишешь RSI пишет:
у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!
А насколко я помню скрипт PE_Kill пишет в иат только адреса то скорее всего кролик просто издох

| Сообщение посчитали полезным:

pavka
Так а че делать то?

| Сообщение посчитали полезным:

pavka
Может заснимешь свой ролик по распаковке? былоб классно

| Сообщение посчитали полезным:

RSI
по-моему ты плохо читал тутор PE_Killa
и прибил не тот шред

| Сообщение посчитали полезным:

r99
а что это меняет?

разве оно отразится на импорте? мне казалось что нет.

| Сообщение посчитали полезным:

Все распаковал...

Видимо проблема была в том что я дампил при появлении окна ввода ключа...

После того как дошел в оле до OEP и сдампил OllyDump - все заработало.

Поэтому считаю вопрос решенным. Всем Спасибо за ответы

| Сообщение посчитали полезным:

RSI пишет:
Поэтому считаю вопрос решенным.

Ну а финальное видео ? Я как раз собираюсь заняться тем же самым...

| Сообщение посчитали полезным:

И собственно готовый продукт встудию!
Очень уж заинтересовал мну этот чат..
=)

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
И собственно готовый продукт встудию!

Вот: ifolder.ru/2583252

Отрезал секции гавнопрота ( такое чувство что получил почти оригинал даже UPX без проблем его упаковал ), одним словом остался собой доволен

ToBad пишет:
Ну а финальное видео ?

Седня вечером будет!

| Сообщение посчитали полезным:

Спасибо!
Отличный чат.
навороченый...
надо будет попробовать пересадить всех на работе на него.
з.ы.
Афтар уже опдейт выпустил... сегодня.. до 3.1 (видать пронюхал или совпадение =)
А я успел скачать ыыы
з.з.ы.
не хочу показаться не вежлевым, но нет ли желания поломать все продукты данного афтора?
(мну бы не помешал GERMES, поду поищу на руборде есле не найду закажу в соответствующей теме)

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
не хочу показаться не вежлевым, но нет ли желания поломать все продукты данного афтора?

А лучше разные продукты накрытые EXECryptor-oм... Я смотрел разные туториалы и разные подходы... У самого не получилось ничего подобного... То ли инструменты не те, то ли программы слишком отличаются... То ли руки.... Скорее всего это конечно... Но, замечу одно, что интересно бы ло бы посмотреть туториалы с разными программами накрытыми этим протом, но туториалы одного автора. Это очень важный момент. Те же инструменты, похожий подход и возможные нюансы, а самое главное стиль одного человека.
Я пробовал по уроку RSI и по pdf идущей с oepfinder от дерокко дойти до oep, у них код почти одинаковый и ясно всё в принципе, а у меня бред какой то (не дошёл ?):
.text:004B08C3 imul byte ptr [edx]
.text:004B08C5 cmp al, 0A4h
.text:004B08C7 call sub_65743D
.text:004B08CC
.text:004B08CC loc_4B08CC: ; CODE XREF: sub_63AB5F+34F6Bj
.text:004B08CC jmp loc_69E865
.text:004B08CC ; END OF FUNCTION CHUNK FOR sub_636D3D
.text:004B08D1 ; ---------------------------------------------------------------------- -----
.text:004B08D1 add edi, 0B21C9CB8h
.text:004B08D7 xchg edi, [esp]
.text:004B08DA jmp sub_65BFD1


| Сообщение посчитали полезным:

RSI, есть возможность залить оригинальную инсталяшку?

| Сообщение посчитали полезным:

ToBad
Вот сделал финальный ролик: ifolder.ru/2590301 (2,04 MB)

"Профессионалов" прошу ногами не пинать, первый раз распаковывал гавнопрот,
поэтому как получилось так и заснял!

Gideon Vi
Вот инсталяха той версии по которой ролик: ifolder.ru/2590394 (3.22 MB)

З.Ы. в аттаче скрипты которые юзал в ролике ( мож кому понадобятся )

584d_06.07.2007_CRACKLAB.rU.tgz - Scripts.rar

| Сообщение посчитали полезным:

OLEGator пишет:
не хочу показаться не вежлевым, но нет ли желания поломать все продукты данного афтора?
(мну бы не помешал GERMES, поду поищу на руборде есле не найду закажу в соответствующей теме)

Глянул! там точно такая же ситуация как и с этой прогой которую недавно распаковал.
только 2 ньюанса:
1) Скрипт не определил 2 функции ( FindWindowExA и FindWindowA)
2) Не получилось записать импорт в оригинальную секцию, т.к. не хватило места.

А в остальном тот же принцип что я использовал. можешь проверить

Вот распакованный: ifolder.ru/2590551

| Сообщение посчитали полезным:

RSI пишет:
Вот инсталяха той версии по которой ролик

Большое спасибо

RSI пишет:
поэтому как получилось так и заснял

Ну по крайней мере получилось

RSI пишет:
584d_06.07.2007_CRACKLAB.rU.tgz - Scripts.rar

В аттаче ExeCryptor 2.xx IAT Rebuilder v1.9 - по совету pavka кое что поправлено. Вроде бы есть более новые версии, но на паблик их ни кто не кладёт

HAGGAR пишет:
4. Remove or disable all plugins which purpose is to hide
OllyDbg from protecors. ExeCryptor detects modified
imports and by that most such plugins are detected.

Это какие плаги криптор вдруг палить стал? Адвансед, с включённым Scramble Export Table, чтоли?

| Сообщение посчитали полезным:

Попытка номер два (аттач).

fc55_06.07.2007_CRACKLAB.rU.tgz - ExeCryptor 2.xx IAT Rebuilder v1.9.rar

| Сообщение посчитали полезным:

RSI
А я не догнал, зачем брякались на _lread?

| Сообщение посчитали полезным:

RSI
Спасибо, хороший ролик

| Сообщение посчитали полезным:

ролик классный.
за унпакед спасибо.
з.ы.
прогу плиз дайте каторой таки ролики делать..


-----
AutoIt

| Сообщение посчитали полезным:

Gideon Vi
Криптор реально палит оллиадвансд из-за того, что некоторые функи прямо в начале перенаправлены с помощью jmp, он палит это дело. С какой версии-хз. Юзайте фантом, там всё в 0 кольце, хрен спалит.

| Сообщение посчитали полезным:

Gideon Vi
Спасибо за скрипт!

Amok пишет:
А я не догнал, зачем брякались на _lread?

А ты попробуй запустить без бряка - нифига не получится, сам не понял в чем фишка...

OLEGator
Я делал с помощью InstantDemo 4.00.20, т.к. другие версии бажные...

| Сообщение посчитали полезным:

OLEGator пишет:
не хочу показаться не вежлевым, но нет ли желания поломать все продукты данного афтора?

Кста посмотрел цены на продукты:

GERMES сервер 2.0 Ultimate (100 пользователей - $400) + Ultimate (800 подключений - $1100) =

З.Ы. Итого уже в этом топе распаковано на $1500, пипец...

| Сообщение посчитали полезным:

ыыыы
афтор обидецо...

-----
AutoIt

| Сообщение посчитали полезным:

У меня на одной программке ExeCryptor.2.x.IAT.Rebuilder-PE_Kill циклился, уже хотел спрашивать почему, но скачал ExeCryptor 2.xx IAT Rebuilder v1.9 и он отлично отработал.
RSI - спасибо за видео !!! Я приближаюсь к своей первой распаковке по твоему тутариалу.
Gideon Vi - спасибо за аттач.

Так же хотел спросить, в двух словах, как работает ExeCryptor 2.0.x - 2.3.x OEP finder script by HAGGAR ?
После пробега в 2-3 секунды пишет скрипт финиш... И всё...

| Сообщение посчитали полезным: