Не получается корректно распаковать зтот файл -> ifolder.ru/2867859
Мои действия: дамплю в ОЛЛИ, восстанавливаю импорт (корректно) в ИМРЕК, но при запуске файл вешается на EnterCriticalSection, вопрос что делал не так?

| Сообщение посчитали полезным:

Хоть бы чо-нибудь написал, какое ОЕП нашёл, импорт или дамп приаттачил.

| Сообщение посчитали полезным:

Archer пишет:
Хоть бы чо-нибудь написал, какое ОЕП нашёл, импорт или дамп приаттачил.
+1
Если просканить файл PEiD, то увидим грозную надпись Xtreme-Protector v1.05 *. Хотя на самом деле там безобидный NSPack. Плюс еще в самом трейнере надпись в инфо "WARNING!!! Do not debug this treiner, it will probably crash your system". Да уж, напугали...
Кстати, вот таблица импорта filesurf.ru/10912
OEP = 00455A4C

-----
Программист SkyNet

| Сообщение посчитали полезным:

Если за ОЕП брать 00455A4C, то будет падать из-за того, что LocalAlloc раньше отрабатывает и заполняет 1 адрес указателем на память выделенную.
Мну распаковал через QuickUnpack, взяв за ОЕП 48b08f. Не знаю, пашет или нет, но секция кода распакована, запустилось нормально. Короче, QU в зубы и пошёл анпачить.

| Сообщение посчитали полезным:

Archer пишет:
Мну распаковал через QuickUnpack, взяв за ОЕП 48b08f. Не знаю, пашет или нет, но запустилось нормально.
Точно! С этим OEP все нормально пашет!

-----
Программист SkyNet

| Сообщение посчитали полезным:

Archer
QuickUnpack v2 действительно с ОЕР 0048b08f распаковал, но почему автоматом находит 00455A4C?
Archer пишет:
Хоть бы чо-нибудь написал, какое ОЕП нашёл, импорт или дамп приаттачил.

Я за ОЕР брал 0048B000, вроде тоже правильно, и здесь вроде как ManualProctecion и примитивная StolenByte, или я не прав?

Почему в ручную некорректно получается. Вот в чем вопрос, а то что QuickUnpack "смог" распокавать (с божьей помощью) - это понятно, кто разъяснит?

| Сообщение посчитали полезным:

DIMAIN
Ну смотря каким автоматом. Force.dll находит так, потому что это реальное ОЕП, которое она ищет по сигнатурам. А реально на нём не работает, потому что файл правили ручками после упаковки, чтоб анпачить сложнее было.
Ну QuickUnpack не делает каких-то нечеловеческих телодвижений, которые невозможно повторить руками. Если не получаеццо руками, бери QU, анпакай им и сравнивай свой результат с его. Сравнивай импорт, ОЕП. Если ОЕП и импорт полностью совпали, при этом у тебя не работает, а у QU работает, то это уже будет странно, давай тогда дамп с импортом, будем разбираццо. Ну а если не совпали, сам накосячил, ищи ошибку.

| Сообщение посчитали полезным:

Archer пишет:
файл правили ручками после упаковки, чтоб анпачить сложнее было
В общем-то, да. Это единственная сложность при ручной распаковке, - в нахождении правильного OEP.
DIMAIN пишет:
здесь вроде как ManualProctecion и примитивная StolenByte, или я не прав?
Это же обычный NSPack. А не прот. Никаких ухищрений я там не увидел. Сейчас специально распаковал вручную. В архив положил:
1. снятый дамп;
2. таблицу импорта, найденную IMPRec;
3. дамп с пофиксенной таблицей импорта (с этой таблицей).
Все пашет. rapidshare.com/files/47064318/Trainer_Toca_race_driver_unp.rar.html
DIMAIN пишет:
Я за ОЕР брал 0048B000
Можно этот, а можно и тот, который предложил Archer - 48B08F. Будет работать нормально в обоих случаях.

-----
Программист SkyNet

| Сообщение посчитали полезным:

и ни одного слова про компилятор

| Сообщение посчитали полезным:

FrenFolio пишет:
Это же обычный NSPack

--> NsPack 3.7

r99 пишет:
и ни одного слова про компилятор

Borland Delphi

з.ы. нафиг вы ему распаковывали то? чел ничего не сделал считай... послали бы его к гугл,
распаковщиков к нспаку море)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Надо ж было попробовать QuickUnpack, заодно и попиарить. Лучше в аську выходи и плаг человеку перекомпиляй.

| Сообщение посчитали полезным:

Hellspawn пишет:
чел ничего не сделал считай
Как это, я очень даже сделал, нащел ОЕР, сдампил, восстановил импорт (все апи нашлись), но файло падало на EnterCriticalSection, в принципе я понимаю что там ничего серьезного т.к. сею прогу писал мой знакомый, но как протектил не сказал, просто попрасил затестить SpyBreaker в трейнере, а я решил еще внутри поковыряться, и из за того что у меня файл не запускался решил на форуме спросить мож антикряковый трюк какой...
А в гугл любой дурак может направить(без обид).

Hellspawn пишет:
распаковщиков к нспаку море
В том то и дело что не один не распаковал

Archer пишет:
Надо ж было попробовать QuickUnpack
Если хош затести еще и вот это ifolder.ru/2599222
QuickUnpack v2b - OEP находит правильно, но файло не пашет (смотри в PEiD)

Там прикол еще, при ручной распаковке импрек восстанавливает не весь импорт, но все работает!!!

| Сообщение посчитали полезным:

DIMAIN пишет:
QuickUnpack v2b - OEP находит правильно, но файло не пашет
У меня тоже самое. А тулза от apox - RL!dePeCompact 2.x распаковала нормально.

-----
Программист SkyNet

| Сообщение посчитали полезным:

DIMAIN
FrenFolio
Там 1 или 2 функи не восстанавливает, она полностью эмулируется, но можно поставить галку включать в импорт подозрительные функции и вписать её руками. GetProcAddress там, вроде. Может и ошибся, ибо смотрел мельком и вспомнил похожий случай.

| Сообщение посчитали полезным:

PeCompact стопудово умеет эмулить GetProcAddress, и помойму только его и умеет

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
PeCompact стопудово умеет эмулить GetProcAddress
Да, точняк! Сейчас вручную распаковал. Нераспознанные указатели, - это API GetProcAddress.
Кстати, там еще идет закос под Softwrap. чередная обманка.
DIMAIN
Если надо, могу выложить "дерево" для IMPRec с правильной таблицей импорта.

-----
Программист SkyNet

| Сообщение посчитали полезным:

Руками кто снял PECompact 2.x со второго файлика XXLTrainer?
Подскажите, как ОЕР найти. Чего то я тороможу в самом начале на SEHе. И мыслей никаких, блин.

| Сообщение посчитали полезным:

Sturgeon
Там в сехе сразу после адреса, где исключение, ставится jmp в конец файла, топаешь туда, пару страниц промотаешь вниз, будет jmp eax-это прыжок на оеп.

| Сообщение посчитали полезным:

DEL

| Сообщение посчитали полезным:

Не могу поправить предыдущее сообщение. Постоянно вылезает "защита от спама".
ОЕР=00462222 ?

| Сообщение посчитали полезным:

Sturgeon
Как раз 004D3A96 JMP NEAR EAX и будет прыжок на ОЕП. Да, именно 462222, QuickUnpack его правильно определяет. Тут можно не трассировать, а сразу бряк ставить.
Да, под PECompact ещё какая-то шняга, мну до конца не ковырял и под PECompact не заглядывал.

| Сообщение посчитали полезным:

Archer пишет:
именно 462222
Подозрительное ОЕР О_О
И с этого ОЕР Импрек почему-то восстанавливает только одну функцию VirtualProtect.
Это у меня руки такие или импрек?

| Сообщение посчитали полезным:

462222 ОЕР неверное (Fake OEP), если распоковать с этим ОЕР и посмотреть в PEiD то увидим = Softwrap (encrypted) main stub / XLok, а правильное ОЕП 004x5245, кста есть еще зловредный трейнер, если кому надо попозжа выложу, там по заморочистей будет, это я знаю сам сижу парюсь над ним уже дня три!!!

| Сообщение посчитали полезным:

DIMAIN пишет:
посмотреть в PEiD то увидим =
Softwrap (encrypted) main stub / XLok

это ниочём не говорит! там под пекомпактом ещё бяка лежит
вот правильное оеп, 6 байт я прикрепил на место

00455240 > 55 PUSH EBP
00455241 8BEC MOV EBP,ESP
00455243 83C4 F0 ADD ESP,-10
00455246 B8 B8504500 MOV EAX,XXLTrain.004550B8

з.ы. чё там ешё, выкладывай...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
это ниочём не говорит
Так я и не утверждаю что там действительно Softwrap, а просто излагаю то что выдает PEiD.

Hellspawn пишет:
чё там ешё, выкладывай
Сорри пока немогу, тока после 00:00 по Москве, GPRS траф... ((

Вообще есть еще немало вкусного от автора данных трейнеров, этот чел работает в фирме программером, и пишет защиты для прог той фирмы, мож кому говорят такие названия: XloX-Layer-Protector или ULTIMATE SECURE PROTECTOR ©opyright 2007 by VIAGRA_XXL, эти проты не публичные поэтому думаю никто не слышал...

| Сообщение посчитали полезным:

Sturgeon пишет:
Руками кто снял PECompact 2.x со второго файлика XXLTrainer?
Я снимал вручную. Первым слоем идет именно PECompact 2.x.
Ниже ссыль на архив. В архив положил:
1. снятый дамп;
2. таблицу импорта, найденную IMPRec с восстановленными указателями;
3. дамп с пофиксенной таблицей импорта (с приложенной).
rapidshare.com/files/47314244/XXLTrainer_unp.rar.html
Так как все прекрасно работало и при найденном вручную мной OEP = 462222, то на этом я и успокоился.
Sturgeon пишет:
Подскажите, как ОЕР найти. Чего то я тороможу в самом начале на SEHе.
Ставишь бряк на начало SEH-обработчика, а далее трассируешь пока не дойдешь до следующего места
004D3A90 5A POP EDX
004D3A91 5E POP ESI
004D3A92 5F POP EDI
004D3A93 59 POP ECX
004D3A94 5B POP EBX
004D3A95 5D POP EBP
004D3A96 FFE0 JMP EAX
Здесь JMP EAX - переход на OEP, который будет 462222. Это стандартный эпилог stub'а для PECompact.
Hellspawn пишет:
вот правильное оеп, 6 байт я прикрепил на место
Напишешь, как искал?
DIMAIN
Зачотные у тебя трейнеры чел пишет. Респект в общем

-----
Программист SkyNet

| Сообщение посчитали полезным:

DIMAIN пишет:
XloX-Layer-Protector или ULTIMATE SECURE PROTECTOR ©opyright 2007 by VIAGRA_XXL
А где слить запроченные файлики можно ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

FrenFolio пишет:
Зачотные у тебя трейнеры чел пишет. Респект в общем
Спасиб я ему передам, вообщето он и так бывает на этом форуме, но незареген.

Smon пишет:
А где слить запроченные файлики можно
К сожалению нигде, если получиться я сам ченить ими какнибудь запротекчу(типа блокнота), я вообщето в той же фирме работаю программером, но в другом отделе... У нас этими протами протектят свои базы данных, а точнее ЕХЕшники, ну и некоторые проги (наши) и естественно никто базы выкладовать в нет не будет. А вообще это закрытая информация, как вы сами понимаете, и доступа у меня нет ни к исходникам ни к самим протам, я у него попрошу для себя запротектить ченить...

Кста эти трейнеры были не публичными, Only for HomeNet... оттуда и слил.

| Сообщение посчитали полезным:

FrenFolio пишет:
Напишешь, как искал?
Уже и сам допер.
Трейсим по F7 (в принципе, совсем немного) до следующего места
00455360 8BC6 MOV EAX,ESI
00455362 8D0480 LEA EAX,DWORD PTR DS:[EAX+EAX*4]
00455365 3003 XOR BYTE PTR DS:[EBX],AL
00455367 43 INC EBX
00455368 81FB E3524500 CMP EBX,004552E3
0045536E ^ 75 F0 JNZ SHORT 00455360
00455370 E8 CBFEFFFF CALL 00455240
На 00455370 - переход на истинный OEP. Правда, возникнет еще трабл со Stolen bytes, но какие нужны, Hellspawn уже написал.
Что интересно, просканил файл после снятия PECompact в режиме Advanced scan и там как наиболее вероятный прот нарисовался PE Protector 0.9. Не знаю, насколько это соответствует истине, так как ни одной проги упакованной им, не встречал.

-----
Программист SkyNet

| Сообщение посчитали полезным:

Вообщем вот ЭТОТ http://ifolder.ru/2918042 файл, у меня не получилось распаковать , автор сказал что в нем защита для людей выше среднего уровня. Защита взята частично из 'XloX-Layer-Protector'

| Сообщение посчитали полезным: