Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?

| Сообщение посчитали полезным:

r99
Глянул! да уж действительно геморрой...

Распаковать, то распаковал и даже запускается! тока такое чувство что крипор туда не навесили, а встроили... т.к. прога на 50% стучится в криптор а так же осталась антиотладка криптора и проверка crc ( которую я так пока и не допер как пропатчить )!!!

Довольно муторно!!! тока никак не могу понять, если просто запускаю распакованный вариант он запускается, а если в отладчике ( + уберу антиотладку ), то прога запускается и подгружает все библы но остается просто висеть в памяти - не появляется главное окно - т.е. не подает ни каких признаков жизни.

| Сообщение посчитали полезным:

r99
Поковыряй сам криптор последний там намного все интересней

| Сообщение посчитали полезным:

rapidshare.com/files/30189552/24rc1b2.zip.html
здесь еще лежит мое ковыряние

на ру-борде один из авторов шароварщины уже зарекся защищать свои проги этим протом

| Сообщение посчитали полезным:

r99 пишет:
на ру-борде один из авторов шароварщины уже зарекся защищать свои проги этим протом
грамотно поставленый прот снять дело не тривиальное! ;)

| Сообщение посчитали полезным:

pavka пишет:
грамотно поставленый прот снять дело не тривиальное! ;)

Раз так - ИМХО легче заинлайнить


r99
Так ты зарегил ту прогу на которую мне дал ссыль? мне так для спортивного интереса.

З.Ы. кста там счас на tuts4you голосование за самые лучшие проты, когда я голосовал у гавнопрота было тока 15%

| Сообщение посчитали полезным:

RSI пишет:
ИМХО легче заинлайнить
Далеко не всегда, т.к. часто из-за говна трудно найти место патча. Поэтому иногда проще и быстрее сначала распаковать, поисследовать, найти место патча, а уж потом инлайнить. Для релиза инлайн всегда лучше (размер патча меньше, чем распакоавнное exe) и надежнее.
Да и если используется сабжевая регистрация - в 9 из 10 случаев проще и быстрее просто распаковать.

| Сообщение посчитали полезным:

Согласен! но случаи бывают разные, мож автор маньяк и насовал кучу проверок на распакованность + мутексы и т.д. - ведь бывает и такое!

| Сообщение посчитали полезным:

RSI
ifolder.ru/2627214
здесь анпакнуто-крякнутый и оригинал
в 1-м приближении работает (кроме режима сервиса)
специфика проги - долго ждать всяких проверок (около 30 мин)

| Сообщение посчитали полезным:

Запускаю olly EDD детектит [ YieldExecution ] и [ FileName ] в настройках PhantOm'а ставлю единственную галку на "load driver" в логи оли "Status: Driver loaded" все проверки EDD проходит, но при запуске проги olly всеровно вылетает

В чём может быть проблема?

| Сообщение посчитали полезным:

N_E_O пишет:
В чём может быть проблема?

в проте

| Сообщение посчитали полезным:

YDS пишет:
если используется сабжевая регистрация - в 9 из 10 случаев проще и быстрее просто распаковать.
Сабжевая регистрация и после оеп бывает ;) к примеру прога FavoritesAndFiles2HTML

| Сообщение посчитали полезным:

Да, кто нить кстати встречал прогу под сабжем, где после распаковки надо патчить мусор в котором лежат проверки на распакованность и црц ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

r99 пишет:
теперь можешь и за это www.spyarsenal.com/network-sniffer/give-me-too.zip взяться.

Вот тут есть!

| Сообщение посчитали полезным:

pavka пишет:
На оеп выйти в два приема бряк на запись в дата бряк на доступ в код и бряк обратно на запись дата и мы чуть ниже оеп!
pavka это универсальный способ нахождения оеп в проге накрытой EXECryptorом или это конкретно для проги give-me-too?

| Сообщение посчитали полезным:

Smon пишет:
котором лежат проверки на распакованность и црц ?
Хм.. таких много..
Amok пишет:
это универсальный способ нахождения оеп в проге накрытой EXECryptorом или это конкретно для проги give-me-too?
практический универсальный

| Сообщение посчитали полезным:

Счас пока времени не много, но появилось желание написать статью по распаковке:

"Распаковка ExeCryptor на примере Golden FTP Server Pro 3.06",
сама прога написана на Borland C++, который мне стал часто попадаться накрытый криптором ( даже в случае с прогой ToBad).

Хотел показать основные моменты восстановления OEP и снятия дампа...

Вот поэтому возник вопрос нужно ли ее писать, или нафиг никому не нужно ???

| Сообщение посчитали полезным:

RSI пишет:
Хотел показать основные моменты восстановления OEP и снятия дампа.
О чем там писать? запустил скрипт ! скрипт отработал прога распакована! распаковка занимает меньше минуты Это профанация криптора!

RSI пишет:
основные моменты восстановления OEP
Там востанавливать ни чего не нужно Грозный криптор как какой нить упх ловится на востановлении стека ;))
005C5E44 G> 2901 sub dword ptr ds:[ecx],eax <----VMoep
005C5E46 ^ E9 3B45FFFF jmp GFTPproU.005BA386
005C5E4B ^ 0F82 C4D5FEFF jb GFTPproU.005B3415
005C5E51 C1C0 16 rol eax,16
005C5E54 81F0 C34FD924 xor eax,24D94FC3
005C5E5A E8 31490100 call GFTPproU.005DA790

| Сообщение посчитали полезным:

RSI пишет:
Хотел показать основные моменты восстановления OEP и снятия дампа...
Вот поэтому возник вопрос нужно ли ее писать, или нафиг никому не нужно ???
Напиши. Пусть будет.

-----
Программист SkyNet

| Сообщение посчитали полезным:

Не "пусть будет", а обязательно пиши!
Я с сам пока за распаковку такого не берусь, но читаю все подряд с большим интересом.

| Сообщение посчитали полезным:

Sturgeon пишет:
Я с сам пока за распаковку такого не берусь,
А ты возмись скачай с сайта Golden FTP Server Pro 3.06 да пробуй! Это как с барышней вместо того что бы гадать, даст не даст подойди да поболтай )

| Сообщение посчитали полезным:

Да я такого же мнения.
Только я сейчас начал окучивать Армадиллу, и не хочу ей изменять с Ехекриптором

| Сообщение посчитали полезным:

Sturgeon пишет:
не хочу ей изменять с Ехекриптором
Но ведь Ехекриптор мужчина.
pavka пишет:
Это как с барышней вместо того что бы гадать, даст не даст подойди да поболтай )
Все верно. Но ведь и барышни бывают разные! В случае с топ-моделью требуется опыт, - новичкам и бездельникам не дают.

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
В случае с топ-моделью требуется опыт,
Хм ..криптор если и топ модель то изрядно потасканая! Если всего того что есть на сайте по криптору для тебя недостаточно увы дела твои плохи! с помощью Hellspawn и Archer практический вся антиотладка идет лесом про ОЕП и импорт все уже сказано! По дописыванию начала в Borland C++ я полгода назад в одном из топов показывал на примере AdvancedDiary.v2.0 хотя повторю в последних версиях криптора это не обязательно , так в виде тренировки ;)
Метаморф вот о чем нужно писать..;)

| Сообщение посчитали полезным:

pavka пишет:
топ модель то изрядно потасканая!
Как бы там не было, но если RSI планирует написать статью, то зачем отговаривать?

-----
Программист SkyNet

| Сообщение посчитали полезным:

pavka пишет:
Грозный криптор как какой нить упх ловится на востановлении стека ;))

Полностью с тобой согласен! сам уже это заметил... ;)

А насчет статьи! Вижу есть мнения, поэтому думаю позже напишу - лишним не будет

| Сообщение посчитали полезным:

RSI пишет:
Вот поэтому возник вопрос нужно ли ее писать, или нафиг никому не нужно ???

Обязательно нужно ! Дело в том, что у многих, при слове Екзекриптор отпадает даже желание пытаться его распаковать, но когда человек всё же решается (так было и в моём случае), он собирает все материалы на данную тему, смотрит, читает, пытается повторить. Для тех кто имел с этим дело не раз, а ведь именно они пишут статьи и делают туториалы, многие вещи сами собой разумеющиеся. Часто на них не останавливаются, а следовательно статьи рассчитаны на людей подготовленных, но такие не все... В этом смысле ещё один туториал или статья естественно будет нужна и полезна не для pavka конечно, а людям которые берутся за это впервые. Кто то может прочитать 5 статей и не въехать в тему, так как у каждого автора туториала свой подход и своя манера изложения, и может быть ещё один урок в котором пусть и не будет чего то нового для человека опытного, для новичка может оказаться решающим в освоении.

| Сообщение посчитали полезным:

ToBad

Солидарен на 100%

| Сообщение посчитали полезным:

ToBad
не согласен категорически.
1. туторов полно
2. новички - те которые сюда ходят - либо не читают ничего, либо не умеют читать, либо не хотят читать

| Сообщение посчитали полезным:

В общем во флуд это всё превращается. Те кто не имеет проблем с распаковкой Execryptor-a считает что нафиг не нужен ещё один тутор, те кто в вопросе не сильно смыслит конечно рад ещё одному... Так ведь ?
Теперь давайте подумаем для кого делаются такие видеотуторы ? Правильно, в основном для людей которые хотят этому научится. А их мнение уже высказано...

| Сообщение посчитали полезным:

ToBad пишет:
для кого делаются такие видеотуторы
Ой, только не синема...)))))
Весьма неудачное решение,для такого рода задач.
---------------
А вообще если есть желание,берёшь и делаешь.
Покрайней мере для себя закрепишь матиреал....))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: