Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?

| Сообщение посчитали полезным:

ToBad, одно дело - флешка о применении двух скриптов и совсем другое - разбор метаморфа. Если RSI собирается снимать мульт по скриптам, как это было в начале топа, то в этот раз нужно будет полностью объяснить суть их работы. Тогда это и будет тутор для новичков. RSI возмётся за это?

| Сообщение посчитали полезным:

Gideon Vi пишет:
и совсем другое - разбор метаморфа

Что то никто не спешит поделиться этими навыками с общественностью...

А вообще очень интересно получается, что о надобности тутора для новичков спорят люди с большим рангом и умениями, которым естественно этот тутор не нужен...
Очень напоминает ситуацию из жизни, когда сидят сытые депутаты и говорят, что хорошо живётся народу, все довольны, денег хватает, кушать есть что, по чему бы не поднять тарифы в несколько раз...
Ребята, могу лишь перефразировать то, что сказал мне Bronco. Считаете, что предложение RSI не нужное, что лучше статьи о разборе метаморфа или наглядно объяснить работу скриптов ? С удовольствием прочитаем или посмотрим об этом...

| Сообщение посчитали полезным:

Gideon Vi пишет:
то в этот раз нужно будет полностью объяснить суть их работы
согласен, хотя можно и самому пошагово исполнить скрипт и разобратся
Еще лучще взять прогу на котрой скрипты падают к примеру FavoritesAndFiles2HTML и наглядно обьяснить что к чему

| Сообщение посчитали полезным:

ToBad, где я сказал, что статья для новичков не нужна? Я отметил то условие, при выполнении которого статья действительно будет "для новичков". Если ты можешь понять суть снятия криптора по мультику о запуске двух скриптов, то тебе он не нужен, так как ты уже не новичёк

pavka пишет:
Еще лучще взять прогу на котрой скрипты падают к примеру FavoritesAndFiles2HTML и наглядно обьяснить что к чему

Во, полностью поддерживаю.

| Сообщение посчитали полезным:

Gideon Vi пишет:
ToBad, где я сказал, что статья для новичков не нужна?

А я и не говорю, что это ты сказал... Я лишь заметил, что основная масса тех, кто сказал, что она не нужна - это люди с опытом и рангом. Им ясное дело не нужна.

Gideon Vi пишет:
Если ты можешь понять суть снятия криптора по мультику о запуске двух скриптов, то тебе он не нужен, так как ты уже не новичёк

Ну не знаю... Если прелюдией к первой попытке ручной распаковки новичок сперва увидит суть работы двух скриптов, то может создастся впечатление невероятной сложности всего. В конце концов большинство статей по которым новички учились и приходили в крякинг начинались с отлова мессаджбокса о неправильно введённом коде, и лишь потом повторив это, а в следующий раз увидев не типичную ситуацию люди начинали думать, развиваться и читать более сложные статьи... Если бы все эти статьи начинались с обучения понимания двоичной и шестнадцатеричной системы, потом шли бы регистры, команды асма, структура и принципы работы винды, отладчиков и принципы крякерской "этики", то до месаджбокса и предшествующему ему переходу мало кто бы дочитывал.
Говорю это к тому, что узнать как работают скрипты - это очень интересно, и очень интересно как предлагает pavka узнать почему они могут не работать, но это уже статья не для новичков... Вернее не для тех, кто пытается распаковать впервые.
Кстати, очень интересно и полезно было бы раскрыть тему глюков и непредвиденных ситуаций. Если кто то читал мои посты ранее, то он знает, что с Олей я не работал, и именно этот топик побудил меня впервые попытаться распаковать Execryptor (об этом я создавал топик), ручной распаковкой я не занимался никогда. Так вот, существует много сборок оли, существует много помогающих плагов и есть плагины которые имеет смысл отключать... Чаще всего новичок сталкивается с тем, что повторить трудно по причине не правильной настройки чего либо. В туторе мы видим одно, а на практике получаем ошибку. Интересно бы было увидеть на какой либо программе нахождение оеп на разных сборках и с разными плагами. Автор показал как он доходит до оеп на своей настроенной оле, потом распаковал другой пак и попытался повторить. Вот тут и можно было бы понять тонкости и подводные камни этого процесса.
В любом случае чем больше статей и туторов – тем лучше, каждый найдёт что то для себя.

| Сообщение посчитали полезным:

pavka
Цитата из твоего мультика по снятию Ехекриптора на примере программы Happy Harvester 2.3.4.118

Поиск ОЕП сильно привязан к опциям криптора описывать все варианты нужно на конкретных примерах а это уже отдельная тема ;)

Вот и пусть RSI опишет тему по поиску ОЕП от опции к опции на разных компиляторах. А затем даст тебе статью на рецензию

RSI
Хотелось бы что бы ты ещё разобрал антиотладку криптора.

| Сообщение посчитали полезным:

RSI
тогда уж бери в качестве мишени сам криптор последней версии (gui+consol)
а то Pavka норовит какое-то старье подсунуть (и где он токо его находит?)

| Сообщение посчитали полезным:

ToBad
Дело то как раз не в "новичках"...))))
У меня лично,никогда нет уверености,что разгребу что либо,до конца.Только желание.А хотца - оно хуже чем болит....)))))
Для того чтобы отложилось в памяти,для практики вскрыть один сабж в любом направлении - маловато.
Если крушить всё подряд,то и фастфуд пожрать некогда будет...)))))
По этой теме всего лишь выразил мнение,что мультяшные туторы,для знакомства(а не для "новичков") с той или иной защитой - неудачное решение.Хотя всегда приветствую желание творить и создавать.
Как таковой скрипт несложно разобрать,но если автор не полениться и откоментирует,то ругать его за это никто не будет...))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Amok
Если ты внимательно читаешь топик то должен понять что ситуация изменилась и нет никакой необходимости руками самостоятельно дописывать код кроме приобретения навыков в подобном деле а для этого вовсе не обязательно брать криптор можно выбрать любой прот с подобными опциями
Проще возмите любую прогу тот же Golden FTP Server Pro 3.06 да попробуйте снять самостоятельно

| Сообщение посчитали полезным:

r99 пишет:
а то Pavka норовит какое-то старье подсунуть
Старье не старье а для новичков самое то, немного подумать придется восстановить начало немного всего то 12 байт ну и с импортом чуть подумать!
а сам криптор чего там? его скрипт за минуту распакует ;)

| Сообщение посчитали полезным:

Хотелось бы что бы ты ещё разобрал антиотладку криптора.
Как насчет самому посидеть поковырять софт и разобраться,что да как...
Вот и пусть RSI опишет тему по поиску ОЕП от опции к опции на разных компиляторах
Ты должен знать как выглядят EP различных компиляторов
P.S.:а в том разделе случаем не тот EXECryptor лежит? http://www.exelab.ru/download.php?action=list&n=NDA=

| Сообщение посчитали полезным:

El_Diablo
А причем тут я? Я всего лишь высказал мнение, что должно быть отражено в статье.
El_Diablo пишет:
Ты должен знать как выглядят EP различных компиляторов
В ехекрипторе ОЕР размазано, поэтому у народа и возникают трудности (у меня в том числе).
00406323 C3 RETN
00406324 68 44344100 PUSH hyflashe.00413444 ; ASCII "KERNEL32"
00406329 FF15 2CC14000 CALL DWORD PTR DS:[40C12C] ; kernel32.GetModuleHandleA
0040632F 85C0 TEST EAX,EAX

Поиск команд JMP 00406324 и CALL 00406324 ничего не дал. Как тут ОЕР восстанавливать?

| Сообщение посчитали полезным:

В ехекрипторе ОЕР размазано, поэтому у народа и возникают трудности (у меня в том числе).
значит плохо стараетесь...
Ну а так ты просто предлагаешь написать инструкцию по распаковке EXECryptor'а

| Сообщение посчитали полезным:

Amok пишет:
что должно быть
Наверно так точнее будет и мягче:
- "Что хотелось бы увидеть"
И на просьбу похоже....))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Amok пишет:
Поиск команд JMP 00406324 и CALL 00406324 ничего не дал. Как тут ОЕР восстанавливать?
Вот живой пример ты прочитал тутор и тупо пытаешься его применять ко всему что попападеться тебе под руку! Естественно поиск тебе ни чего не даст так вызывается он из вм криптора! Ты внимательно топик читаешь?

| Сообщение посчитали полезным:

неужели и с аспром такие вопросы про Oep были?
а ведь там еще хуже

| Сообщение посчитали полезным:

[url=http://www.martau.com/tu_download.php]
www.martau.com/tu_download.php
[/url]
Упакован экзекриптором
З.Ы.: у меня проблемы с восстановлением OEP (ближе к ночи еще раз попробую снять прот)=
P.P.S.: нашел еще стаф упакованный этим протом -> www.cp-lab.com/filecrypt/download.html

| Сообщение посчитали полезным:

El_Diablo
да посмотри на окрестности OEP через hiew в любой Delphi (4.0-7.0)- проге,
блин ,
пока не найдешь знакомые места

а во-вторых по-моему с Total лафа кончилась
удивительно что ни одного ключа нет до сих пор

| Сообщение посчитали полезным:

Вот кому интересно снял мультик нахождение оеп восстановление спертых байт в сишных прогах !
на примере двух простеньких прог ;)
rapidshare.com/files/43525100/OEP_MSVC.rar

| Сообщение посчитали полезным:

pavka пишет:
Вот кому интересно снял мультик нахождение оеп восстановление спертых байт в сишных прогах !
на примере двух простеньких прог ;)

Большое спасибо !!!

| Сообщение посчитали полезным:

Перезалейте плиз.

| Сообщение посчитали полезным:

cadet пишет:
Перезалейте плиз.

Пролежит не долго. h..p:\tobadko.narod.ru\OEP_MSVC.rar

| Сообщение посчитали полезным:

El_Diablo пишет:
нашел еще стаф упакованный этим протом -> http://www.cp-lab.com/filecrypt/download.html
Сайт видимы был в дауне сегодня скачал ;) Снимается все как в мултьтике за минуту! Можно потренироватся ;) Импорт не тронут
ОЕП
00425329 > 6A 70 PUSH 70
0042532B 68 90505700 PUSH FileEncr.00575090
00425330 E8 83D6FFFF CALL FileEncr.004229B8
00425335 33F6 XOR ESI,ESI
00425337 56 PUSH ESI
00425338 8B3D 54735400 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetModu>; kernel32.GetModuleHandleA
0042533E FFD7 CALL EDI
Вот скрипт поправил немного


<img src="img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","68d1_18.07.2007_CRACKLAB.rU.tgz");< /SCRIPT> - ExecryptStoepMSVCedit.txt

P.S
В форуме для новичков
http://exelab.ru/f/action=vthread&forum=5&topic=9352
есть прога CSE HTML Validator v8.04 борланд си скрипт китайский не находит VM oep кто внимательно читал топик в легкую может найти сам и не париться с восстановлением стаба для тренировки самое то ;)

| Сообщение посчитали полезным:

Мда, до чего прогресс докатился,.. прям боевичек какой-то в лучших традициях Голливуда! Лена отдыхает пред способностями pavka

pavka
может, сайт сделаешь, к примеру, на народе.ру (там за минут 5 можно его сделать)
да там и выкладывать будешь свои видеоролики искусство вроде как…
а то на этих rapidshare.com файлы долго не задерживаются, да и мне кажется, очень большой популярностью ресурс будет пользоваться, я лично заглядывал бы туда, мне нравиццо смотреть такие вещи, да еще в таком качестве… чем читать статьи
да и на статьи чтобы их написать гораздо больше требуется время
блин идея-то прикольная все в одном флаконе и от самого pavka
может, у кого найдется время кул дизайн забацает для сайтика ;)


P. S.
конечно, когда ты сам лично пишешь скрипт, это естественно может сказать громкое слово о способностях человека, но не тогда когда пользуешься чужим и всем говоришь, что ты крут ;))

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666 пишет:
да и на статьи чтобы их написать гораздо больше требуется время
Статьи писать я не умею как в прочем и ролики делать! Качество даже если я сильно раастараюсь лучше не будет так как связка дебагер криптор и инстант демо для меня большая проблемма ;) Я только показываю конкретный трюк и все )
Да и мне в принципе на качество пофиг и на форму так же Я не парюсь могу и у китайцев поразбирать квадратики в перемешку с кодом мне от этого больше пользы будет! Кто хочет понять тот поймет
Хм .. а про скрипты я не понял? Если это в контексте криптора то что плохого пользоваться публичными скриптами они для того и писаны Пользуюсь и редактирую под себя! Если считаю нужным напишу свой при чем здесь крутость или не крутость да есть вещи и поинтересней криптора где все делаешь с нуля ..

| Сообщение посчитали полезным:

Хотел отредактировать но чет не получается!
Кому не нравятся ролики можно смтреть другие вон у китайцев выложили
I unpacked a ExeCryptor 2.2.4 program, the target of some tutorial or somthing I think. Anyway, i used hyper cam to record a video of cracking it. Its about 25 minutes long and the target is about 40mb from Rapidshare. I also used notepad to inform you every step of the way to exactly what I am doing.

Here is the download link:
rapidshare.com/files/43710477/Unpack_ExeCrytptor_2.2.4.rar.html
Сам я не смотрел так для меня размечик 40мег не подьемный но говорят Very nice tutorial. ;)

| Сообщение посчитали полезным:

Больше половины времени в видео он восстанавливает вручную импорт.

| Сообщение посчитали полезным:

IuVCR - Утилита для захвата видео,тюнера у меня нет,но кажись и с ним может работать.
И потренироваться можно,и полезность в хозяйстве прибавиться.
_http://www.iulabs.com, _http://www.iulab.com, _http://www.iuvcr.com

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

pavka пишет:
Статьи писать я не умею как в прочем и ролики делать!
Не-не, ролик супер!!!!, я про то, что ты же их уже много получается, как наснимал, вот было бы замечательно, если бы их в одном месте складывать типа на твоем сайте, ну чтобы не лазить по всем топикам, зашел на твой сайтик и слил все сразу, ну типа как ToBad сделал, только этоже временно, а хотелось чтобы на постоянке твои видеоролики были, чтобы ньюбик в любое время мог скачать, ссылки то стареют!

pavka пишет:
Хм .. а про скрипты я не понял?
Насчет скриптов я имел в виду что, когда ты его сам пишешь, то ты точно знаешь для чего там и как нужно сделать, ну и чтобы рутинную работу не повторять постоянно, еще можно по изучать на крайняк как скрипт работает, но это не гуд конечно, лучше все самому так ведь гораздо интереснее!
А вот есть челы, которые берут чужой скрипт, запускают и гордятся его результатами, но на самом деле не шаряд в распаковке протов, вот в этом случае скрипт и есть ЗЛО!
Ну, как-то типа вот так ИМХО

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666 пишет:
А вот есть челы, которые берут чужой скрипт, запускают и гордятся его результатами
Дада, к примеру скрипт PE_Kill'а по восстановлению иат

Vovan666 пишет:
Больше половины времени в видео он восстанавливает вручную импорт.
Нормальные туторы и должны разъяснять восстановление вручную а не "Теперь запускаем скрипт от такого то такого то для восстановления того то того то"

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: