Не получается корректно распаковать зтот файл -> ifolder.ru/2867859
Мои действия: дамплю в ОЛЛИ, восстанавливаю импорт (корректно) в ИМРЕК, но при запуске файл вешается на EnterCriticalSection, вопрос что делал не так?

| Сообщение посчитали полезным:

DIMAIN
Действительно "мощный" приватный прот , сразу чувствуется что "выше среднего уровня"
ЗЫ: уровень ExeStealth, не более того, т.е. для новичков

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

В аттаче распакованный:


e7b8_06.08.2007_CRACKLAB.rU.tgz - unpacked.rar

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Хоть бы поделился как распаковывал, а то сразу обсерать давай
Smon пишет:
уровень ExeStealth, не более того, т.е. для новичков
Я же писал что этот чел частично использовал чтото из прота.
Вообше в норм версии не хуже аспра...

Smon
Скока весит аттач?

А еще кто нить распаковал этот злотрейнер?
У меня проблема при восстановлении импорта, когда стою в олли на оеп дамплю в PeTools, в импреке вписываю оеп жму ИАТавтосерж затем, Гетимпорт, получаю белеберду, жму Автотрейс, и вот тут самоя большая непонятка, файл находясь под оллей в суспендед, просто завершается, че за прикол?

| Сообщение посчитали полезным:

DIMAIN пишет:
Вообше в норм версии не хуже аспра...
Выложи плс норм версию

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Выложи плс норм версию
Выложу, и можно сразу в католажку
Smon
Колись как распаковывал, ресурсы целые, XM вытинуь можно или битмап

| Сообщение посчитали полезным:

Вообще эти проты не то что все привыкли видеть, это т.н. промышленные протекторы,
они используются еще на стадии компиляции т.е. внедряется некий код в исходник,
а после компиляции еще проходиться сверху протом, как то так, сам видел (описал конечно примитивно).

Вот фичи (которые известны мне) "XloX-Layer-Protector"
-VM
-ring0
-crypto
-trash engine
-Polymorph

В трейнере нечего этого нет, это 100%

| Сообщение посчитали полезным:

Где то там, за горизонтом есть "Неуловимый Джо Protector"
Фичи:
- Антидамп
- ВМ
- Метаморф
- Полиморф
- Ринг0
- Кодесплитинг
- Обфускатор всех веток кода
- Маркеры
и куча других мощных фич, правда единственное что плохо, что его никогда никто не видел и не слышал о нём )))

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Я уже над тобой ржу, и наверно не только я, мне единственное непонятно, тебе что действительно так обидно что у тебя нет этого прота...
Можеш сколько угодно утверждать о несуществовании протов, приватные они на то и есть приватные что их юзают только приближонные.
Smon
И еще добавлю, с чего ты взял что про этот прот все должны знать, писался он не для продажи...
lol

| Сообщение посчитали полезным:

DIMAIN
Да нет, мне совершенно фиолетово до него честно говоря, просто смысл тут расписывать фичи, когда ты защищенное им файло всё равно выложить не можешь, а написать можно всё что угодно, пример - на два поста выше

DIMAIN пишет:
ржу
DIMAIN пишет:
lol
смотри, доржёшься и дололаешься, отправят в
DIMAIN пишет:
в католажку за выложенные ранее приватные "творения"

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Я вообщето и не собирался про него ничего расписывать, сам начал, еслиб хотел то в первом посте написал, и вообще проты не я писал! Скажи спасибо что вообще увидел названия, будет про что внукам рассказывать...
lol lol lol

| Сообщение посчитали полезным:

DIMAIN пишет:
Вообще эти проты не то что все привыкли видеть, это т.н. промышленные протекторы,
они используются еще на стадии компиляции т.е. внедряется некий код в исходник,
а после компиляции еще проходиться сверху протом, как то так, сам видел (описал конечно примитивно).
Вот фичи (которые известны мне) "XloX-Layer-Protector"
-VM
-ring0
-crypto
-trash engine
-Polymorph
чел или дурачек или прикалывается ;) Навесили на свое говно Пекомпакт и какой то стремный криптор !
И обозвали свою шелуху сыпер пупер протекторм и запредили дебажить так как будет крах ...
Какой там импорт востанавливать! Криптор сдирается
var rgn
var sz
var va

GPA "CreateProcessA","kernel32.dll"
mov va,$RESULT
BP va
run
BC va
rtu
mov va,eip
add va,80
go va
add va,19
sti
mov rgn,eax
go va
mov sz,eax
dm rgn, sz, "dump.exe"
msg "File Unpacked"
ret
ну и пекомакт снимать кто как хочет кто руками кто любым анпакером на выбор )
Ну и само прожка такое же дерьмо ка и то что на нее навесили !

| Сообщение посчитали полезным:

DIMAIN пишет:
внедряется некий код в исходник,
а после компиляции еще проходиться сверху протом, как то так
Называются маркерами, используется во многих паблик протекторах.

DIMAIN пишет:
Вот фичи
Если бы сабж не был бы "приватным", то это можно было бы посчитать за пиар

DIMAIN пишет:
Скажи спасибо что вообще увидел названия, будет про что внукам рассказывать...
Ну увидели мы название, список фич и что? Уровень всех опций, что ты тут назвал, полностью зависит от реализации. Если бы ты выложил пакованный файл, то было бы о чем говорить, а так... что-то типа: прот крутой, но вам не дам, и не облизывайтесь! Улыбка Смона вполне уместна

| Сообщение посчитали полезным:

-ring0

ууу ))) интересно бы на это глянуть а где же так любимый народом anti-debug?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

pavka пишет:
Навесили на свое говно Пекомпакт
Ну не на свое, я не автор, а если уж на то пошло я уже несколько раз писал что этот трейнер не протекчен этим протом, на сколько я понял, чел зделал так, взял исходник трейнера добавил пару функций (SEh, etc) скомпилил, упаковал пекомпактом... Он и не афишировал этого, это я решив поковырят трейнер, заодно спросил что он зделал с файлом, вообщем без стаба и упаковки в исходном виде трейнер весит ~500кб - получается дамп будет ~800кб, плюс к этому в ресурсах (как я писал выше) должны находиться XM-TUNE, битмап как на форме.

Hellspawn, HoBleen, pavka, Smon
Я мимо делом на другой странице упомянул что в некой фирме есть приватный прот, так вы тут раздули как будто катастрофа какая то случилась, я надеюсь вы не думаете что все большие фирмы пользуются аспром или армой и уж тем более для вас не стало новостью что бывают оказывается приват проты.

Ну немогу я выложить сам прот как вы не понимаете, нету его у меня, а еслиб и был то всеравно не смог т.к. существует договор который я подписал с фирмой, в котором КРАСНЫМ ПО ЗЕЛЕНОМУ написано, о не разглошении...

| Сообщение посчитали полезным:

pavka пишет:
прожка такое же дерьмо ка и то что на нее навесили
Ну начинается, за спиной у автора т.с. какието грязные комменты, он тут вообще не причем что я его трейнеры здесь запостил, я думаю ты неправ.
И вообще я спросил нужно кому, выложить или нет, люди (которые куда то пропали) попросили выложить, вот что из этого получилось, понятно какие здесь порядки на форуме, обидно так сказать...

| Сообщение посчитали полезным:

Smon пишет:
В аттаче распакованный
Вот еще таблица импорта rapidshare.com/files/47499686/IAT_Trainer_3.txt.html
Только что вручную распаковал.
DIMAIN пишет:
там по заморочистей будет
Ничего сложного там нет. Распаковать было даже легче, чем второй. Но в отличие от второго выложенного тобой трейнера здесь используется слегка измененный PECompact 2.xx и нет второго слоя, сразу переход на OEP.
DIMAIN пишет:
на другой странице упомянул что в некой фирме есть приватный прот
А зачем было афишировать, если заранее знал, что не сможешь выложить ни прот, ни запротекченное файло.

-----
Программист SkyNet

| Сообщение посчитали полезным:

DIMAIN пишет:
Ну начинается, за спиной у автора т.с. какието грязные комменты
Хм .. это не грязные коменты а факт ...Ему же лучше позитивная критика всегда полезна! А навешивать криптор, приблуда исключительно для прятанья неумело написаных троев, вообще моветон..
Хроший прот это не только
DIMAIN пишет:
-VM
-ring0
-crypto
-trash engine
-Polymorph
Хороший прот это хроший баланс между многими факторами.. А не к примеру консоль с одной фразой и весящья при этом 800 кило и жрущая ресурсов как фотошоп..

| Сообщение посчитали полезным:

FrenFolio пишет:
измененный PECompact 2.xx и нет второго слоя, сразу переход на OEP
Ты наверно чето недопонял, скорее всего распаковал только стаб, посмотри в ресурсы есть ли там, битмап как на форме?
pavka пишет:
Хороший прот это хроший баланс между многими факторами
А кто с этим спорит? весь этот флуд не я начал, я спрашиваю как распаковывали, а мне - ПРОТ ДАВАЙ!!! вот весь разговор и ноль полезной иформации, нехорошо...

| Сообщение посчитали полезным:

DIMAIN пишет:
А кто с этим спорит? весь этот флуд не я начал, я спрашиваю как распаковывали, а мне - ПРОТ ДАВАЙ!!! вот весь разговор и ноль полезной иформации, нехорошо...

DIMAIN пишет:
Вообще есть еще немало вкусного от автора данных трейнеров, этот чел работает в фирме программером, и пишет защиты для прог той фирмы, мож кому говорят такие названия: XloX-Layer-Protector или ULTIMATE SECURE PROTECTOR ©opyright 2007 by VIAGRA_XXL, эти проты не публичные поэтому думаю никто не слышал...

Никто за язык тебя не тянул. Проблемма у тебя была в распаковке, а ты начал пиарить некого чела из виагры у которого есть приватный прот.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n пишет:
Никто за язык тебя не тянул. Проблемма у тебя была в распаковке, а ты начал пиарить некого чела из виагры у которого есть приватный прот.
Действительно, назвался груздем, полезай в кузов. К чему было разводить все это? Ты просил помочь распаковать. Помогли. А все остальное не имеет отношения к топику.
DIMAIN пишет:
посмотри в ресурсы есть ли там, битмап как на форме?
Вот это зачот!!! В натуре...




e651_07.08.2007_CRACKLAB.rU.tgz - Stalker.bmp

-----
Программист SkyNet

| Сообщение посчитали полезным:

pavka пишет:
это не грязные коменты а факт
Скажи из каких соображений делал вывод, или ты думал что это будет чтото типа GenericUnpacker'а тока
GenericTreiner - те гамы которые не знает, трейнит на угад? megaLOL

| Сообщение посчитали полезным:

DIMAIN пишет:
весь этот флуд не я начал, я спрашиваю как распаковывали, а мне - ПРОТ ДАВАЙ!!!

Да никому твой прот нафиг не уср....я

Тебе говорят файло защищенное им давай!!

| Сообщение посчитали полезным:

DIMAIN пишет:
или ты думал что это будет чтото типа GenericUnpacker'а тока
GenericTreiner - те гамы которые не знает, трейнит на угад? megaLOL
Мне вобще по фигу чего он делает я о том как он написан..

| Сообщение посчитали полезным:

pavka пишет:
чел или дурачек или прикалывается
По ходу,таким макаром "кроликов" разводят...
Ну автор трейнеров,понятно,пытается каким-то способом свой "хлеб" защитить.
DIMAIN пишет:
понятно какие здесь порядки на форуме
Бытие, определяет сознание!!!!!
При чём здесь порядки форума?
Люди по разному воспитанны.
У Вас почему-то нет уважения, к людям с опытом.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
У Вас почему-то нет уважения, к людям с опытом.
Ойёйёйёй.. сейчас начнётся: "А ты меня уважаешь...."

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n пишет:
Ойёйёйёй.. сейчас начнётся: "А ты меня уважаешь...."
Это уж от уровня "бытия"...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Скоро будут баны, если не успокоитесь

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Тут меня спросили, как распаковать 3-ий трейнер (трейнер для Сталкера). На самом деле, проще простого. Можно всего лишь посмотреть чуть повыше и увидеть скрипт от pavka. Проанализировав его работу, сразу станет все понятно.
Дело в том, что используемый здесь криптор целиком распаковывает файл по определенному адресу в памяти. Поэтому даже импорт восстанавливать не придется! Непонятно, то ли это особенность работы самого криптора, то ли что-то еще, но файл достаточно будет просто сдампить, чтобы его снять...
Оптимальным вариантом тут будет поставить хардварный бряк на API-функцию, которая точно используется в проге. Например, на CreateProcessA. К тому же, после перехода из user32.dll в код программы несколькими инструкциями ниже мы увидим два важных числа - 930000h и 9F000h. Что это? Это ничто иное как адрес памяти, куда прога полностью распаковалась, и второе значение, соответственно, размер файла - 9F000h = 651 264 байт.
Таким образом, после распаковки проги, нам достаточно просто перейти по адресу 930000h и сдампить файл, от адреса 930000h до 930000h + 9F000h = 9CF000h. Для этой цели можно использовать плагин для Ольки MemoryDump или же WinHex. Сдампим и закрываем отладчик.
Самое смешное в том, что можно обойтись и без всяких бряков. Загрузив файл в Ольку и дождавшись, пока приложение запустится (появится красивое окно трейнера), можно просто-напросто перейти по вышеуказанному адресу памяти и тупо сдампить.
После этого загрузив вновь сдампленный файл в Ольку, в начале мы увидим следующие несколько инструкций:
00401000 <> B8 A8E34900 MOV EAX,0049E3A8
00401005 50 PUSH EAX
00401006 64:FF35 00000000 PUSH DWORD PTR FS:[0]
0040100D 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00401014 33C0 XOR EAX,EAX
00401016 8908 MOV DWORD PTR DS:[EAX],ECX
00401018 50 PUSH EAX
00401019 45 INC EBP
0040101A 43 INC EBX
Это типичное начало stub'а для PECompact 2.хх. Поэтому дальше просто берем либо автоматический распаковщик, либо же распаковываем вручную. Кстати, если заглянуть в ресурсы, можно будет увидеть забавную надпись на форме, как раз ту картинку, которую я приложил к своему посту чуть выше.
Так как это ни кряк, то приаттачил в архиве 2 файла, - первый, сдампленный на 930000h, и второй, уже полностью распакованный (unpacked.exe).

b0da_19.08.2007_CRACKLAB.rU.tgz - Trainer_3_Stalker_unp.rar

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio
Попробовал этим способом распаковать >ЭТОТ< http://ifolder.ru/3081960 файл, нифига, походу другой стаб

| Сообщение посчитали полезным:

DIMAIN пишет:
Попробовал этим способом распаковать >ЭТОТ< файл, нифига, походу другой стаб
Где ты только находишь такое полчаса окошко прорисовывается а под отладчиком дак вообще уснуть можно .. Ну да ладно, все то же самое только в памяти запускаеться длл по этому CreateProcessA естественно облом ставь на VirtualAlloc и третий или четвертый бряк у меня по адр BF0000 типа того распакуется длл можешь ее взять и распаковать любым пекомпакт анпакером или поставь бряк на доступ к этому куску памяти и жди когда скопируется в новый буфер у меня 880000 ну и дальше посмотри в хидере оеп бряк на него и смотри дальше чего тебя там интересует

| Сообщение посчитали полезным: