Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?

| Сообщение посчитали полезным:

А вот есть челы, которые берут чужой скрипт
А "баба-яга" против...)))))
Есть три простые истины на этом форуме,по крайней мере для меня:
1.Если ты пришёл на этот форум:
А.За советом и помощью - возможно ты не ошибся.
Б.Посоветовать,помочь и поделиться опытом - ты наверняка не ошибся.
3.Если ты пришёл чморить и т.д. - кажется ошиблись с тобой.
--------------------
И опять же повторюсь,туторы пишуться не для "новичков",а для "знакомства" с дырками защиты.
Есть способности и время разгребать всё самому.Ждёмс результатов!!!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Smon пишет:
скрипт PE_Kill'а по восстановлению иат
Скрипт PE_Kill'а хорошо откоментирован и статья его есть ! лучше я бы не написал ;) ну и как вы могли заметить сам я его скриптом не пользуюсь
Smon пишет:
Нормальные туторы и должны разъяснять восстановление вручную а не "Теперь запускаем скрипт от такого то такого то для восстановления того то того то"
Это не тутор а небольшое резюме на Amok пишет:
Поиск команд JMP 00406324 и CALL 00406324 ничего не дал. Как тут ОЕР восстанавливать?
Vovan666 пишет:
Больше половины времени в видео он восстанавливает вручную импорт.
Хм .. Вообще то импорт можно восстановить банальным импреком с плугом почти во всех вериях прота

| Сообщение посчитали полезным:

pavka пишет:
Вообще то импорт можно восстановить банальным импреком с плугом почти во всех вериях прота
что за плуг?

| Сообщение посчитали полезным:

YDS
сообразишь как пользоватся надеюсь ;)

549c_19.07.2007_CRACKLAB.rU.tgz - execryptor.dll

| Сообщение посчитали полезным:

pavka
Thks! У меня такого не было.

| Сообщение посчитали полезным:

Bronco пишет:
Ждёмс результатов!!!!!
Это что в мою сторону чтоли? Конкретнее можно, что отменяя нужно?
Если это насчет плагина(?) ну, дык Hellspawn еще не отписался у себя в теме про плагин, ты не беспокойся, я что знаю ему, чтобы помочь все напишу, если напишет что нужно полное описание этой функи, я ему его дам… (я за деньги то, что знаю, НЕ ПРОДАЮ!!! Все бесплатно! (если там еще что имелось ввиду дополнительно))

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666 пишет:
Это что в мою сторону что-ли?
Я вообще-то не указывал в чей огород....)))))
Скорее всего обобщающе....)))))
-------------
если напишет что нужно полное описание этой функи, я ему его дам
- Не проси, сами предложат!!!!
//У Воланда кажется так сказано?
У меня нет ни функи, ни описания,была бы - просто слил бы.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
- Не проси, сами предложат!!!!
//У Воланда кажется так сказано?
У меня нет ни функи, ни описания,была бы - просто слил бы.
Я у него, не спрашивал, нужно ли ему описание функи, а уточнял для себя конкретно поставленную им задачу, после этого постараюсь более подробно написать, чтобы потом не было багов в плагине (эта функа является одной из основных в отладчике и чтобы хорошо ее описать ну-но пару страничек черкнуть!!! Все зависит от поставленной задачи (кстати на паблике подробного ее описания нет!)), это обычные технические обсуждения, но если вдруг есть претензии то в студию их, что я там неправильно написал?
Короче советую, кто не шаред НЕХ флейм в теме разводить, я тут высказал свои положительные эмоции насчет боевичков от pavka, если здесь это строго запрещается, то сорри не знал…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666 пишет:
я тут высказал свои положительные эмоции насчет боевичков от pavka, если здесь это строго запрещается, то сорри не знал…
Да нет не воспрещаеться Вроде как со снятим проблем нет а вот метаморф ковырять тяжко я где то в одном из топов видел у тебя есть что то по этой теме если я не напутал?

| Сообщение посчитали полезным:

Demon666
Ну если..... "уточнял задачу",смотри.... как бы на "гладиолус" не напороться....))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

pavka
Да-да, было такое, как только чуток разгребу дела, в подфоруме для новичков создам тему для обсуждения как раз по мета/полиморфу, мутаторы и т. д. надеюсь, найдутся не только читатели, но и те, кто будет обсуждать данную тему, там типа непосредственно интересные фишки протекторов, не знаю, насколько все будет гуд, но думаю, попробовать стоит… (с меня, кстати, писатель тоже хреновый получается)
Там выложу плагин, в нем будет несколько фишек + драйвер со своими приколами типа бряки и т. д. + я добавлю несколько приколов, чтобы было интереснее ну типа, чтобы воспользоваться той или иной функой надо будет чуток заломать, ну и будут пасхальные яйца, надеюсь, все это будет интересным! Ну и будет по-крайней мере у большинства работать
Вообщем там много еще всего планирую, но вот вопрос дадут ли осуществить задуманное

Bronco пишет:
Ну если..... "уточнял задачу",смотри.... как бы на "гладиолус" не напороться....))))))
Этот сарказм в мою сторону в надежде чтобы у меня не получилось помочь Hellspawn с плагином, если да, то я тебя не понял чего ты тут пытаешься доказать кому-то и самое главное что… смысл тобой написанных слов не согласовывается, да это и не важно в принципе…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666
У тя "анализ" надуманный...)))))
в надежде чтобы у меня не получилось
А какой у меня мотив?)))))))
Ваще у меня ща башка забита как kernelwind32.exe кильнуть.
не понял чего ты тут пытаешься доказать
Да в принципе это:
смысл тобой написанных слов не согласовывается
Библейская история...)))))
В чужом глазу соринку видим?)))))
---------
Но я рад,что ты прочитал,а главное что не споришь.
Поэтому...замяли...))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Посмотрел китайское полнометражное кино Для меня осталось загадкой по какому принципу он обнуляет единички в data block of main thread? Понятно, что убивает анти-отладку, но не понятен принцип нахождения этих единичек.

pavka
Спасибо за скрипты по восстановлению ОЕР. Потестировал....на проге Hyundai Flasher 1.01 сигнатура не находится. Прогу брал из запросов http://www.exelab.ru/f/action=vthread&forum=2&topic=8910&p age=10

Demon666
Ждем плагин. Все в предвкушении

| Сообщение посчитали полезным:

Amok
Про "единички" в туторах Haggar-a http://www.reversing.be/search.php?query=ExeCryptor&type=all&mode=search написано.

| Сообщение посчитали полезным:

Bronco пишет:
Есть три простые истины на этом форуме,по крайней мере для меня

гут сказал. в правила бы занести

| Сообщение посчитали полезным:

Amok пишет:
.на проге Hyundai Flasher 1.01 сигнатура не находится.
Что не находит? push или call?
ОК качну посмотрю!

| Сообщение посчитали полезным:

Amok
push не находит версия компиля постарше ;) калл находит надо по версим посмотреть что бы более универсально сделать ;)
004050D1 h> 6A 60 push 60
004050D3 68 C43D4100 push hyflashe.00413DC4
004050D8 E8 BF0C0000 call hyflashe.00405D9C
004050DD 33F6 xor esi,esi
004050DF 56 push esi
004050E0 8B3D 2C915600 mov edi,dword ptr ds:[<&kernel32.GetModuleHand>; kernel32.GetModuleHandleA
004050E6 FFD7 call edi
004050E8 66:8138 4D5A cmp word ptr ds:[eax],5A4D
004050ED 75 1F jnz short hyflashe.0040510E
Нужен тебе анпакнутый? или сам разберешся? если нужен скажи выложу!

| Сообщение посчитали полезным:

тут кто-то делал импорто-искатель в дампах
аналогично можно было б сделать и оепо-искатель

| Сообщение посчитали полезным:

r99 пишет:
аналогично можно было б сделать и оепо-искатель
В контексте криптора зачем? В этой проге Hyundai Flasher 1.01 можно было принять оеп
004B7E30 E8 C2FAF7FF call hyflashe.004378F7 ; OEP
004B7E35 C4AE DB104804 les ebp,fword ptr ds:[esi+44810DB]
или еще пару мест и не париться в восстановлением байтов ! Другое дело в делфи где стырен целый стаб и в статике можно сделать только каркас ..Криптор не зря охраняет еп после еп пракический любое место где он восстанавливает стек можно смело брать за оеп и не париться восстановлением я предлагал прогу CSE HTML Validator v8.04 вот к примеру 2 точки можно взять за оеп
0090DF12 6272 F7 bound esi,qword ptr ds:[edx-9]
0090DF15 870C24 xchg dword ptr ss:[esp],ecx
0090DF18 E8 8D01FEFF call cse80.008EE0AA ; ***oep
--------------------------------------
008B59E0 c> E8 036FFFFF call cse80U_.008AC8E8 ; ***oep
008B59E5 4C dec esp
008B59E6 04 ED add al,0ED

| Сообщение посчитали полезным:

pavka пишет:
Нужен тебе анпакнутый? если нужен скажи выложу!

Нет спасибо, с этой прогой все понятно. Сейчас ковыряюсь в Total Uninstall 4, почему-то не могу брякнуться второй раз на запись в секции data.

| Сообщение посчитали полезным:

Amok пишет:
Total Uninstall 4, почему-то не могу брякнуться второй раз
Что происходит прога стартует? Если стартует то как правило прога не упакована используются только маркеры

| Сообщение посчитали полезным:

pavka пишет:
Что происходит прога стартует?

По адресу 00658215 попадаю на int3. Перезапускаю прогу ноплю это место, попадаю сново на int3 токо теперь по адресу 007В5С31. Перезапускаю, ноплю оба адреса вылетает окно, что прога выполнила недопустимую операцию и будет закрыта, либо сразу терменейт процес.

| Сообщение посчитали полезным:

Amok пишет:
Перезапускаю прогу ноплю это место, попадаю сново на int3 токо теперь по адресу 007В5С31. Перезапускаю, ноплю оба адреса вылетает окно, что прога выполнила недопустимую операцию и будет закрыта, либо сразу терменейт процес.
Хм .. а что другое может произойти? ;) Дружище читай внимательно топик вот качнул этот Total Uninstall 4 распаковка заняла не более минуты
вот распакованый файл уж если есть такое желание восстановить стаб проще сдлать это с распакованого
rapidshare.com/files/44109759/Tudump.rar

| Сообщение посчитали полезным:

pavka пишет: читай внимательно топик

Уверяю тебя, читаю очень внимательно топик.

pavka пишет: Грозный криптор как какой нить упх ловится на востановлении стека

Скачал анпакнутый тобой Total Uninstall 4 посмотрел в нем ЕР. Поставил на этот адрес бряк в не распакованном файле. Брякнулся смотрю стек

0012FFC4 77E814C7 RETURN to kernel32.77E814C7 <--ESP

Такой стек я видел и в программе Hyundai Flasher 1.01, стоя на ОЕР. Поэтому стал пробывать находить ОЕР, через бряк на RETURN to kernel32.77E814C7. В Hyundai Flasher 1.01 это прокатывает, а вот в Total Uninstall 4 hr 0012FFC4 не срабатывает, пролетаю мимо и брякаюсь в системных библах, а потом уже начинаются int3.

| Сообщение посчитали полезным:

Amok пишет:
а вот в Total Uninstall 4 hr 0012FFC4
так ты уменьши на 4 -- 0012FFC0 и все нормально брякнешся на начале функции

| Сообщение посчитали полезным:

pavka
На 0012FFC0 пробывал ставить бряк, он срабатывал внутри kernel32, продолжал жать на шивт+F9 и пролетал мимо ОЕР.
Сейчас попробовал ещё раз, брякнулся внутри kernel32, Alt+F9 (вернулся в прогу) и стал трейсить по F7 и следить за стеком. Через 4 команды по JMP EAX попал на ОЕР, а стек уже как 3 команды назад был равен 0012FFC0 поэтому я брякался раньше и не узнавал ОЕР, который видел в распакованном файле.
Спасибо за помощь, думаю, что теперь у меня не будет проблем с поиском ОЕР в EXECryptor'е.

| Сообщение посчитали полезным:

Сэнькс YDS за патч - отличная работа!!!!
"Петя" и RDG воду мутят - PEtite 1.3
die честный - EXECryptor.2.1.x....))))))))))
Скрипт PE_Kill'а(для иат), не подошёл,плаг к имреку тоже виснет,а вот скрипт от KaGra чисто отработал.
По сути, первый раз Borland C++ востанавливал.Повезло..., с оер не пришлось возиться...))))))
Это криптора работа,с таким интервалом блоки библ разбрасывать?
Пришлось инлайнить новую базу.TLS вернул в родное место.Остальное пока не смотрел.
Сабж хоть и работает,но по ходу там ещё надо востанавливать,ибо секции криптора так просто не кильнёшь.
Из-за этих секций, размер архива большой получился:
_http://www.sendspace.com/file/wnt9ds

Ну и так,для тех кто уже знает.Где там от ключа в реестре оттучить?
В принципе из-за него снимал...)))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
плаг к имреку тоже виснет
Ты импрек под олей запускал? Нужно просто атчить импрек к запущеной проге ..

| Сообщение посчитали полезным:

Ты импрек под олей запускал
Угу...))))Условные рефлексы понимаешь ли...))))))
Но плаг некоторые функи определял всё таки.
Нужно просто атчить импрек к запущеной проге
А размер таблички как узнать?
В этой между блоками библ,чё-то зеро много.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
А размер таблички как узнать?

Запусти прогу, погоняй её, а потом дамп сделай, полученный дамп открой в ольке и разглядывай таблицу хоть вдоль, хоть поперёк.

| Сообщение посчитали полезным: