Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

RSI
Респект тебе огромный

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit, +1
RSI пишет:
С пожеланиями и предложениями писать СЮДА!!
Жылаю доброго здравия и творческих успехов))))

-----
Researcher

| Сообщение посчитали полезным:

Нифига себе счастья привалило.
Пожеланий пока нет, но скоро будут.

| Сообщение посчитали полезным:

Вообщем,что сказать я лично только сейчас скачиваю и ещё не смотрел,но улыбка с моей рожи от удовольствия не сходит.RSI ты так сказать уже вошёл в аналы истории и ExeCryptor тебя не забудет.Впрочем как и мы.

| Сообщение посчитали полезным:

Грамотно конечно...
пока не впёр с какого боку ему импрек нужОн...
гавнопротики стартуют и так...

Да... хотелось бы,чтобы на развитие фантомки,это явище (в хорошем смысле),не повлияло...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Просто сначала думал прикрутить ImpREC.dll, а она криво фискит импорт, т.е. надо писать собстеннуые функции по вытягиванию экспорта и созданию новой IAT... а эт так геморно, вот пока решил кинуть то что есть, после если будет время то это реализую + динамический OEP файндер былобы не плохо.

Пока хотелось бы услышать какие есть баги по восстановлению динамического импорта, т.к. писал собственный метод восстановления.

| Сообщение посчитали полезным:

Grim Fandango пишет:
Пожеланий пока нет, но скоро будут.
поддержка dll, поиск OEP в программа писаных не на Delphi и Borland'e
Spirit пишет:
Респект тебе огромный
присоединяюсь

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Канеш возможно знатная софтинка получилась , вот только не пойму почему каспер не взлюбил дамп и говорит что это есть Вирь да ещё добавил Type_Win32 это только у меня такое?

| Сообщение посчитали полезным:

Rainbow
иногда проги защищают скарденными протами, и у авторов крипора есть договоренность с антивирусами, о том что бы некоторые версии помещать в блек лист, т.е. антивирь будет ругаться на прогу как на Win32.CryptExe или т.п. чтобы юзали лицензионное
Мож эт твой случай.

| Сообщение посчитали полезным:

Ну первые отзывы:
Распаковывал 3 проги:
1)UltraConverter вообще не распаковывается.Трахался я с опциями-всё бестолку.Даже ридми почитал.Всё время ошибка при инициализации приложения.Походу с импортом косяки.
2)Smart Install Maker распаковывается вроде нормально.Но..чёт я не пойму распаковал он её или нет.Триала в проге нету,так что она всегда запускается.Размер увеличивается,прога запускается пейд показывает ExeCryptor,секции остались.
3)DiskInternals CD-DVD Recovery вроде распаковал,прога запускается,триал исчез,но..старая проблема-лезешь в отладчик,а там код в гавно.
4)Я думаю в опциях галочку patch message "Debug Detected" нужно тебе выставить по умолчанию,т.к. наверное от неё хуже не будет.Лично без неё у меня ни одна прога не распаковалась.
5)Опция cut last sections вообще не работает.Анпакер при ней всегда виснет.
6)Ну и мне кажется ОБЯЗАТЕЛЬНО нужно добавить поддержку drag-drop.Причём уже сейчас,а то шнирять по диску в поисках проги уж очень заёбывает.
7)Ну и как сказали выше-поддержка dll,поиск OEP в программа писаных не на Delphi.
И самое главное не забрасывай свою тулзу.

| Сообщение посчитали полезным:

RSI пишет:
Rainbow
иногда проги защищают скарденными протами, и у авторов крипора есть договоренность с антивирусами, о том что бы некоторые версии помещать в блек лист, т.е. антивирь будет ругаться на прогу как на Win32.CryptExe или т.п. чтобы юзали лицензионное
Мож эт твой случай.

Это всё поннятно, после того как повесил каспер так и матерился типа крипт exe но уже на снятый дамп после говорит вирус Type_Win32

| Сообщение посчитали полезным:

Djeck пишет:
1)UltraConverter вообще не распаковывается.Трахался я с опциями-всё бестолку.Даже ридми почитал.Всё время ошибка при инициализации приложения.Походу с импортом косяки.

Ты импорт восстановил руками с помощью imprec или вообще не восстановливал?

Djeck пишет:
DiskInternals CD-DVD Recovery вроде распаковал,прога запускается,триал исчез,но..старая проблема-лезешь в отладчик,а там код в гавно.

Ну так это распаковщик а не декриптор , код в гавно и будет...

Djeck пишет:
4)Я думаю в опциях галочку patch message "Debug Detected" нужно тебе выставить по умолчанию,т.к. наверное от неё хуже не будет.Лично без неё у меня ни одна прога не распаковалась.

А я проверял анпакер на 58 прогах и все таки решил пускай она по умолчанию не стоит , т.к. если у тя есть фишка с [305] Debuger Detected, то ты ее сразу после распаковки увидишь, а если нет то можно получить неработоспособный дамп и не понять из-за чего.

Еб если у вас не получилось и вы пробовали и так и так то хотя бы лог прикрепи, чтобы хоть какие то сведения об ошибке были.

| Сообщение посчитали полезным:

RSI пишет:
Ты импорт восстановил руками с помощью imprec или вообще не восстановливал
Всё распаковал.Просмотрел опцию cut last sections,с ней не распаковывает-снимаешь и всё ОК.
RSI пишет:
Ну так это распаковщик а не декриптор , код в гавно и будет
Ну и хреново,чё я тебе сказать могу

| Сообщение посчитали полезным:

Попробовал распаковать вот это: [url=http://www.exelab.ru/f/action=vthread&topic=9749&foru m=5&page=-1
]http://www.exelab.ru/f/action=vthread&topic=9749&forum=5& p age=-1
[/url]

Распаковываю только экзешникдля запуска (сервис не трогаю).

Вот лог:
Create Process... PID = 0x3F4 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "j9dx9a8k" - YES
Unpacking section "mg5jr4tu" - YES
Set memory breakpoint for Extra code section... Done
Find and Correct CRC... None
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
Correct TLS...
TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [408EB8].
Find reference on pointer [4710B4] - Yes = Type2 - pointer clear
Save changes... Done
IAT Start: 0x411000
IAT End: 0x411560
Check Import table for emulate API...Done -> Nothing
Finding Compiler: Not found
RVA VM OEP: Not Found
Exit Process... Done

Прога работает.

Вопросы:
1)Почему в логе пишет о неизвестном компиляторе? Ведь прога с целым OEP...
2)В MessageBox'е указана версия ImpRec'а 1.4. Это специально так написано? Или можно свободно юзать и 1.6 ?

Предложения:
1)Не хватает стандартной кнопочки "Запустить распакованный вариант"
2)В лог можно было бы писать текущие настройки,что бы не спрашиваь потом, что и у кого включено было или выключено.

P.S. Ну и самое главное, огромное человеческое спасибо за твою работу!

| Сообщение посчитали полезным:

1.В связке с импреком - СКАЗКА!!!!!
с деэлелькой ,тупо падаем...
2.Резать секции конечно ЛИХО,но кажись сгоряча..
3.Лог конечно прикольно,но лазить там лениво,хотя не критично....
Мож вместо мессаги,форму с мемо,или с эдитами?А?
У ваньки усатова криптор навешан часто:
_http://www.iulabs.com/

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

tempread пишет:
1)Почему в логе пишет о неизвестном компиляторе? Ведь прога с целым OEP...
Сишный компилер видимо пока только борландыRSI пишет:
+ динамический OEP файндер былобы не плохо.
Принципе статический для делфи у тебя довольно надежен отлично ищет! Для сишных прог наверное нет смысла искать VM OEP так как криптор больше 15 байт не тырит

| Сообщение посчитали полезным:

Djeck пишет:
RSI пишет:
Ну так это распаковщик а не декриптор , код в гавно и будет
Ну и хреново,чё я тебе сказать могу
она: "Мне кажеться, вы слишком много кушать..."
он: "В смысле?"
она: "В смысле -ЗАЖРАЛИСЬ!"
(с) Ширли-мырли

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

RSI пишет:
Unpacker ExeCryptor 2.x.x. version 1.0 beta 1

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt
НУ наконец-то Спасибо!!!
Будем тестить.

P.S Китайцам не довайте

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
P.S Китайцам не довайте
поздно, уже слили.

RSI респект

-----
in search of sunrise

| Сообщение посчитали полезным:

Ну точно работает, по крайне мере с делфишными прогами(остальное не пробовал)

Аффтар не бросай проект ни в коем случае!
И хорошо бы еще декриптор кода в будущем добавить

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

tempread пишет:
2)В MessageBox'е указана версия ImpRec'а 1.4. Это специально так написано? Или можно свободно юзать и 1.6 ?

Ну если обычный impREC 1.6 то он напишет Can't open process, нужен либо 1.4.х или фисенный 1.6 . Я кста по этому поводу тему про MyChatServer подымал, когда учился криптор распаковывать

:tempread пишет:
1)Не хватает стандартной кнопочки "Запустить распакованный вариант"

Ну пока не напишу свой "импрек" для прикручивания импорта ИМХО нет смысла, как я узнаю какой файл нужно запускать.

tempread пишет:
2)В лог можно было бы писать текущие настройки,что бы не спрашиваь потом, что и у кого включено было или выключено.

Ну впринципе потом можно добавить, просто я и так знаю по логу какие опции были включены ( кроме cut last sections ) :s2

Bronco пишет:
Резать секции конечно ЛИХО,но кажись сгоряча..

Поэтому там все в отдельных опциях, что бы если не надо можно было отрубить.

Очень сильно в плане интерфейса и решения некоторых задач помогал kioresk - за что ему СПАСИБО

Ну а так же спасиб всем остальным кто тестит и пишет свои НОРМАЛЬНЫЕ предложения .

З.Ы. Если у кого есть свои наработки в плане восстановления таблицы IAT по адресам и создание новых дескрипторов импорта, то было б неплохо получить это ввиде dll ( как у ImpREC - тока не бажно

| Сообщение посчитали полезным:

nice пишет:
она: "Мне кажеться, вы слишком много кушать..."
он: "В смысле?"
она: "В смысле -ЗАЖРАЛИСЬ!"
(с) Ширли-мырли
Намёк понял,но мне и этого хватает.RSI действительно молодец,ему ещё раз респект

| Сообщение посчитали полезным:

Конечно, хорошо, что появился распаковщик ExeCryptor'a, но лучше бы сначала анпакер был бы приватным, а то сразу на паблик, а то какие-нить китайцы стырят ее.. =)

| Сообщение посчитали полезным:

kaiZer пишет:
а то какие-нить китайцы стырят ее
Да пусть тырят,мы то в курсАх,чья кошка, мясо сьела....
Но..."казачков" засланных неплохо бы повылавливать...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

RSI

Спасибо, круто.

Много было слов по поводу говнопрота, наконец-то реальное дело.

| Сообщение посчитали полезным:

kaiZer пишет:
на паблик, а то какие-нить китайцы стырят ее.. =)
А зачем им тырить если вы сами там выкладываете? ;)

| Сообщение посчитали полезным:

pavka пишет:
А зачем им тырить если вы сами там выкладываете? ;)
Безусловно, некоторые люди с этого форума выкладывают и катайчегам свои тулзы, а это не есть хорошо, надо бы с этим анпакером сделать так, чтобы китайцы не своровали и никто им не выложил, ибо щас у нас война с китайцами =)

| Сообщение посчитали полезным:

kaiZer пишет:
надо бы с этим анпакером сделать так, чтобы китайцы не своровали и никто им не выложил, ибо щас у нас война с китайцами
Мож на архив пасс поставить (ответ на какую-нить русскую загадку и русскими буквами :s1, так по-моему было на каком-то плеере

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
Мож на архив пасс поставить (ответ на какую-нить русскую загадку и русскими буквами :s1, так по-моему было на каком-то плеере
Ну можно и так, но все равно китайцы че-нить и с этим сделают.. лучше б приват..

| Сообщение посчитали полезным: