Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых)

 eXeL@B —› Основной форум —› Проблема при распаковке MyChatServer (EXECryptor )
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение

Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 05 июля 2007 13:51
· Личное сообщение · #1

Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 16 июля 2007 01:32
· Личное сообщение · #2

ToBad, одно дело - флешка о применении двух скриптов и совсем другое - разбор метаморфа. Если RSI собирается снимать мульт по скриптам, как это было в начале топа, то в этот раз нужно будет полностью объяснить суть их работы. Тогда это и будет тутор для новичков. RSI возмётся за это?




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 16 июля 2007 01:52 · Поправил: ToBad
· Личное сообщение · #3

Gideon Vi пишет:
и совсем другое - разбор метаморфа


Что то никто не спешит поделиться этими навыками с общественностью...

А вообще очень интересно получается, что о надобности тутора для новичков спорят люди с большим рангом и умениями, которым естественно этот тутор не нужен...
Очень напоминает ситуацию из жизни, когда сидят сытые депутаты и говорят, что хорошо живётся народу, все довольны, денег хватает, кушать есть что, по чему бы не поднять тарифы в несколько раз...
Ребята, могу лишь перефразировать то, что сказал мне Bronco. Считаете, что предложение RSI не нужное, что лучше статьи о разборе метаморфа или наглядно объяснить работу скриптов ? С удовольствием прочитаем или посмотрим об этом...



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 16 июля 2007 03:54
· Личное сообщение · #4

Gideon Vi пишет:
то в этот раз нужно будет полностью объяснить суть их работы

согласен, хотя можно и самому пошагово исполнить скрипт и разобратся
Еще лучще взять прогу на котрой скрипты падают к примеру FavoritesAndFiles2HTML и наглядно обьяснить что к чему




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 16 июля 2007 04:30
· Личное сообщение · #5

ToBad, где я сказал, что статья для новичков не нужна? Я отметил то условие, при выполнении которого статья действительно будет "для новичков". Если ты можешь понять суть снятия криптора по мультику о запуске двух скриптов, то тебе он не нужен, так как ты уже не новичёк

pavka пишет:
Еще лучще взять прогу на котрой скрипты падают к примеру FavoritesAndFiles2HTML и наглядно обьяснить что к чему


Во, полностью поддерживаю.




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 16 июля 2007 15:39
· Личное сообщение · #6

Gideon Vi пишет:
ToBad, где я сказал, что статья для новичков не нужна?


А я и не говорю, что это ты сказал... Я лишь заметил, что основная масса тех, кто сказал, что она не нужна - это люди с опытом и рангом. Им ясное дело не нужна.

Gideon Vi пишет:
Если ты можешь понять суть снятия криптора по мультику о запуске двух скриптов, то тебе он не нужен, так как ты уже не новичёк


Ну не знаю... Если прелюдией к первой попытке ручной распаковки новичок сперва увидит суть работы двух скриптов, то может создастся впечатление невероятной сложности всего. В конце концов большинство статей по которым новички учились и приходили в крякинг начинались с отлова мессаджбокса о неправильно введённом коде, и лишь потом повторив это, а в следующий раз увидев не типичную ситуацию люди начинали думать, развиваться и читать более сложные статьи... Если бы все эти статьи начинались с обучения понимания двоичной и шестнадцатеричной системы, потом шли бы регистры, команды асма, структура и принципы работы винды, отладчиков и принципы крякерской "этики", то до месаджбокса и предшествующему ему переходу мало кто бы дочитывал.
Говорю это к тому, что узнать как работают скрипты - это очень интересно, и очень интересно как предлагает pavka узнать почему они могут не работать, но это уже статья не для новичков... Вернее не для тех, кто пытается распаковать впервые.
Кстати, очень интересно и полезно было бы раскрыть тему глюков и непредвиденных ситуаций. Если кто то читал мои посты ранее, то он знает, что с Олей я не работал, и именно этот топик побудил меня впервые попытаться распаковать Execryptor (об этом я создавал топик), ручной распаковкой я не занимался никогда. Так вот, существует много сборок оли, существует много помогающих плагов и есть плагины которые имеет смысл отключать... Чаще всего новичок сталкивается с тем, что повторить трудно по причине не правильной настройки чего либо. В туторе мы видим одно, а на практике получаем ошибку. Интересно бы было увидеть на какой либо программе нахождение оеп на разных сборках и с разными плагами. Автор показал как он доходит до оеп на своей настроенной оле, потом распаковал другой пак и попытался повторить. Вот тут и можно было бы понять тонкости и подводные камни этого процесса.
В любом случае чем больше статей и туторов – тем лучше, каждый найдёт что то для себя.



Ранг: 35.1 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 16 июля 2007 16:06
· Личное сообщение · #7

pavka
Цитата из твоего мультика по снятию Ехекриптора на примере программы Happy Harvester 2.3.4.118

Поиск ОЕП сильно привязан к опциям криптора описывать все варианты нужно на конкретных примерах а это уже отдельная тема ;)

Вот и пусть RSI опишет тему по поиску ОЕП от опции к опции на разных компиляторах. А затем даст тебе статью на рецензию

RSI
Хотелось бы что бы ты ещё разобрал антиотладку криптора.




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 16 июля 2007 16:52
· Личное сообщение · #8

RSI
тогда уж бери в качестве мишени сам криптор последней версии (gui+consol)
а то Pavka норовит какое-то старье подсунуть (и где он токо его находит?)




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 16 июля 2007 16:57 · Поправил: Bronco
· Личное сообщение · #9

ToBad
Дело то как раз не в "новичках"...))))
У меня лично,никогда нет уверености,что разгребу что либо,до конца.Только желание.А хотца - оно хуже чем болит....)))))
Для того чтобы отложилось в памяти,для практики вскрыть один сабж в любом направлении - маловато.
Если крушить всё подряд,то и фастфуд пожрать некогда будет...)))))
По этой теме всего лишь выразил мнение,что мультяшные туторы,для знакомства(а не для "новичков") с той или иной защитой - неудачное решение.Хотя всегда приветствую желание творить и создавать.
Как таковой скрипт несложно разобрать,но если автор не полениться и откоментирует,то ругать его за это никто не будет...))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 16 июля 2007 17:04
· Личное сообщение · #10

Amok
Если ты внимательно читаешь топик то должен понять что ситуация изменилась и нет никакой необходимости руками самостоятельно дописывать код кроме приобретения навыков в подобном деле а для этого вовсе не обязательно брать криптор можно выбрать любой прот с подобными опциями
Проще возмите любую прогу тот же Golden FTP Server Pro 3.06 да попробуйте снять самостоятельно



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 16 июля 2007 17:15
· Личное сообщение · #11

r99 пишет:
а то Pavka норовит какое-то старье подсунуть

Старье не старье а для новичков самое то, немного подумать придется восстановить начало немного всего то 12 байт ну и с импортом чуть подумать!
а сам криптор чего там? его скрипт за минуту распакует ;)



Ранг: 59.9 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 16 июля 2007 19:31
· Личное сообщение · #12

Хотелось бы что бы ты ещё разобрал антиотладку криптора.
Как насчет самому посидеть поковырять софт и разобраться,что да как...
Вот и пусть RSI опишет тему по поиску ОЕП от опции к опции на разных компиляторах
Ты должен знать как выглядят EP различных компиляторов
P.S.:а в том разделе случаем не тот EXECryptor лежит? http://www.exelab.ru/download.php?action=list&n=NDA=



Ранг: 35.1 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 16 июля 2007 20:02
· Личное сообщение · #13

El_Diablo
А причем тут я? Я всего лишь высказал мнение, что должно быть отражено в статье.
El_Diablo пишет:
Ты должен знать как выглядят EP различных компиляторов

В ехекрипторе ОЕР размазано, поэтому у народа и возникают трудности (у меня в том числе).
00406323 C3 RETN
00406324 68 44344100 PUSH hyflashe.00413444 ; ASCII "KERNEL32"
00406329 FF15 2CC14000 CALL DWORD PTR DS:[40C12C] ; kernel32.GetModuleHandleA
0040632F 85C0 TEST EAX,EAX

Поиск команд JMP 00406324 и CALL 00406324 ничего не дал. Как тут ОЕР восстанавливать?



Ранг: 59.9 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 16 июля 2007 20:33
· Личное сообщение · #14

В ехекрипторе ОЕР размазано, поэтому у народа и возникают трудности (у меня в том числе).
значит плохо стараетесь...
Ну а так ты просто предлагаешь написать инструкцию по распаковке EXECryptor'а




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 16 июля 2007 21:08
· Личное сообщение · #15

Amok пишет:
что должно быть

Наверно так точнее будет и мягче:
- "Что хотелось бы увидеть"
И на просьбу похоже....))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 17 июля 2007 03:34
· Личное сообщение · #16

Amok пишет:
Поиск команд JMP 00406324 и CALL 00406324 ничего не дал. Как тут ОЕР восстанавливать?

Вот живой пример ты прочитал тутор и тупо пытаешься его применять ко всему что попападеться тебе под руку! Естественно поиск тебе ни чего не даст так вызывается он из вм криптора! Ты внимательно топик читаешь?




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 17 июля 2007 09:54
· Личное сообщение · #17

неужели и с аспром такие вопросы про Oep были?
а ведь там еще хуже



Ранг: 59.9 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 17 июля 2007 16:41 · Поправил: El_Diablo
· Личное сообщение · #18

[url=http://www.martau.com/tu_download.php]
www.martau.com/tu_download.php
[/url]
Упакован экзекриптором
З.Ы.: у меня проблемы с восстановлением OEP (ближе к ночи еще раз попробую снять прот)=
P.P.S.: нашел еще стаф упакованный этим протом -> www.cp-lab.com/filecrypt/download.html




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 17 июля 2007 22:36
· Личное сообщение · #19

El_Diablo
да посмотри на окрестности OEP через hiew в любой Delphi (4.0-7.0)- проге,
блин ,
пока не найдешь знакомые места

а во-вторых по-моему с Total лафа кончилась
удивительно что ни одного ключа нет до сих пор



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 18 июля 2007 04:05
· Личное сообщение · #20

Вот кому интересно снял мультик нахождение оеп восстановление спертых байт в сишных прогах !
на примере двух простеньких прог ;)
rapidshare.com/files/43525100/OEP_MSVC.rar




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 18 июля 2007 10:48
· Личное сообщение · #21

pavka пишет:
Вот кому интересно снял мультик нахождение оеп восстановление спертых байт в сишных прогах !
на примере двух простеньких прог ;)


Большое спасибо !!!



Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

Создано: 18 июля 2007 10:53
· Личное сообщение · #22

Перезалейте плиз.




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 18 июля 2007 11:29 · Поправил: ToBad
· Личное сообщение · #23

cadet пишет:
Перезалейте плиз.


Пролежит не долго. h..p:\tobadko.narod.ru\OEP_MSVC.rar



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 19 июля 2007 06:39 · Поправил: pavka
· Личное сообщение · #24

El_Diablo пишет:
нашел еще стаф упакованный этим протом -> http://www.cp-lab.com/filecrypt/download.html

Сайт видимы был в дауне сегодня скачал ;) Снимается все как в мултьтике за минуту! Можно потренироватся ;) Импорт не тронут
ОЕП
00425329 > 6A 70 PUSH 70
0042532B 68 90505700 PUSH FileEncr.00575090
00425330 E8 83D6FFFF CALL FileEncr.004229B8
00425335 33F6 XOR ESI,ESI
00425337 56 PUSH ESI
00425338 8B3D 54735400 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetModu>; kernel32.GetModuleHandleA
0042533E FFD7 CALL EDI
Вот скрипт поправил немного


<img src="img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","68d1_18.07.2007_CRACKLAB.rU.tgz");< /SCRIPT> - ExecryptStoepMSVCedit.txt

P.S
В форуме для новичков
http://exelab.ru/f/action=vthread&forum=5&topic=9352
есть прога CSE HTML Validator v8.04 борланд си скрипт китайский не находит VM oep кто внимательно читал топик в легкую может найти сам и не париться с восстановлением стаба для тренировки самое то ;)



Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 19 июля 2007 09:31
· Личное сообщение · #25

Мда, до чего прогресс докатился,.. прям боевичек какой-то в лучших традициях Голливуда! Лена отдыхает пред способностями pavka

pavka
может, сайт сделаешь, к примеру, на народе.ру (там за минут 5 можно его сделать)
да там и выкладывать будешь свои видеоролики искусство вроде как…
а то на этих rapidshare.com файлы долго не задерживаются, да и мне кажется, очень большой популярностью ресурс будет пользоваться, я лично заглядывал бы туда, мне нравиццо смотреть такие вещи, да еще в таком качестве… чем читать статьи
да и на статьи чтобы их написать гораздо больше требуется время
блин идея-то прикольная все в одном флаконе и от самого pavka
может, у кого найдется время кул дизайн забацает для сайтика ;)


P. S.
конечно, когда ты сам лично пишешь скрипт, это естественно может сказать громкое слово о способностях человека, но не тогда когда пользуешься чужим и всем говоришь, что ты крут ;))

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com




Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 19 июля 2007 11:09
· Личное сообщение · #26

Demon666 пишет:
да и на статьи чтобы их написать гораздо больше требуется время

Статьи писать я не умею как в прочем и ролики делать! Качество даже если я сильно раастараюсь лучше не будет так как связка дебагер криптор и инстант демо для меня большая проблемма ;) Я только показываю конкретный трюк и все )
Да и мне в принципе на качество пофиг и на форму так же Я не парюсь могу и у китайцев поразбирать квадратики в перемешку с кодом мне от этого больше пользы будет! Кто хочет понять тот поймет
Хм .. а про скрипты я не понял? Если это в контексте криптора то что плохого пользоваться публичными скриптами они для того и писаны Пользуюсь и редактирую под себя! Если считаю нужным напишу свой при чем здесь крутость или не крутость да есть вещи и поинтересней криптора где все делаешь с нуля ..



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 19 июля 2007 11:25
· Личное сообщение · #27

Хотел отредактировать но чет не получается!
Кому не нравятся ролики можно смтреть другие вон у китайцев выложили
I unpacked a ExeCryptor 2.2.4 program, the target of some tutorial or somthing I think. Anyway, i used hyper cam to record a video of cracking it. Its about 25 minutes long and the target is about 40mb from Rapidshare. I also used notepad to inform you every step of the way to exactly what I am doing.

Here is the download link:
rapidshare.com/files/43710477/Unpack_ExeCrytptor_2.2.4.rar.html
Сам я не смотрел так для меня размечик 40мег не подьемный но говорят Very nice tutorial. ;)



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 19 июля 2007 12:03
· Личное сообщение · #28

Больше половины времени в видео он восстанавливает вручную импорт.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 19 июля 2007 12:21
· Личное сообщение · #29

IuVCR - Утилита для захвата видео,тюнера у меня нет,но кажись и с ним может работать.
И потренироваться можно,и полезность в хозяйстве прибавиться.
_http://www.iulabs.com, _http://www.iulab.com, _http://www.iuvcr.com

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 19 июля 2007 12:29
· Личное сообщение · #30

pavka пишет:
Статьи писать я не умею как в прочем и ролики делать!

Не-не, ролик супер!!!!, я про то, что ты же их уже много получается, как наснимал, вот было бы замечательно, если бы их в одном месте складывать типа на твоем сайте, ну чтобы не лазить по всем топикам, зашел на твой сайтик и слил все сразу, ну типа как ToBad сделал, только этоже временно, а хотелось чтобы на постоянке твои видеоролики были, чтобы ньюбик в любое время мог скачать, ссылки то стареют!

pavka пишет:
Хм .. а про скрипты я не понял?

Насчет скриптов я имел в виду что, когда ты его сам пишешь, то ты точно знаешь для чего там и как нужно сделать, ну и чтобы рутинную работу не повторять постоянно, еще можно по изучать на крайняк как скрипт работает, но это не гуд конечно, лучше все самому так ведь гораздо интереснее!
А вот есть челы, которые берут чужой скрипт, запускают и гордятся его результатами, но на самом деле не шаряд в распаковке протов, вот в этом случае скрипт и есть ЗЛО!
Ну, как-то типа вот так ИМХО

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 19 июля 2007 12:39
· Личное сообщение · #31

Demon666 пишет:
А вот есть челы, которые берут чужой скрипт, запускают и гордятся его результатами

Дада, к примеру скрипт PE_Kill'а по восстановлению иат

Vovan666 пишет:
Больше половины времени в видео он восстанавливает вручную импорт.

Нормальные туторы и должны разъяснять восстановление вручную а не "Теперь запускаем скрипт от такого то такого то для восстановления того то того то"

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels



<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Основной форум —› Проблема при распаковке MyChatServer (EXECryptor )
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати