Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

Раз уж унпакер приват, то вот ссылка на прогу, распакуйте, пожалуйста.www.skygrabber.com/site/downloads/trial/Tuner4PCSetup.exe
Это программа, которая позволяет организовывать спутниковый интернет на компьютере без установки ПО производителя, поддерживает большое количество оборудования на WDM и BDA драйверах.
Размер 5,6 МБт.
Unpacker ExeCryptor 2.x.x. version 1.0 beta 1 не справился.

| Сообщение посчитали полезным:

Nemo
http://exelab.ru/f/action=vthread&forum=1&topic=6315

| Сообщение посчитали полезным:

Nemo есть еще бета 2 и топик ссылкой выше.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Djeckэтот баг уже фиксили

| Сообщение посчитали полезным:

Headerx пишет:
Djeckэтот баг уже фиксили
Headerx ты это о чём?

| Сообщение посчитали полезным:

да он о скайграббере наверно писал и думал если я неошибаюсь

| Сообщение посчитали полезным:

Stars да о нем
depler пишет:
задолбали уже приватом чесслово. хоч это - не дам
, хоч то - тоже не дам. типа от этого разработчики разорятся бугого.. но если пр уст ЕСМ.. будет еще круче хотя хз

| Сообщение посчитали полезным:

Headerx пишет: но если пр уст ЕСМ..
Будте добры писать полностью, а то мы глупые, не разумеем...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Народ, помогите распаковать прогу. Прошлая версия точно была ExeCryptor упакована
Новую вот бета 2 не берет...

www.glscene.ru/RFRudokop_1.2.epsilon.rar

| Сообщение посчитали полезным:

Hiko пишет:
Народ, помогите распаковать прогу
Вот распаковал второй бетой:
rapidshare.com/files/73379707/RFRudokop_1.2.epsilon_dump.rar

| Сообщение посчитали полезным:

Vovan666 ты отжег, на сколько я помню прога не пакована
Рассказываю ламерам как проверить включена опция паковки в крипторе или нет:
Делаете поиск UNPROTECTED, находите, значит вам повезло, не находите, лезите только тогда за анпакером.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Гы. Тупанул видать я=)

| Сообщение посчитали полезным:

Файл упакован, наличие стоки Unprotected http://kioresk.wordpress.com/2007/11/02/execryptor_version/ не связано с компрессией, а говорит о том, что использовался SDK 2.3 (т.е. защищено криптором версии 2.3 и выше).

| Сообщение посчитали полезным:

kioresk так давай разбираться в терминах.
Файл защищен EC, но не УПАКОВАН!!! по другому сказать, его уже можно падчить, безо всяких распаковок, и без плавсредства от RSI.
После компресии строка UNPROTECTED убирается по понятным, я думаю всем, причинам.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

При чём тут строка? паковано или непаковано - это на глаз и так видно, по энтропии.

Добавлено:
что касается рудокопа - соглашусь с kioresk

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Значед в данном случае ламер я.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Народ, может кто помочь DLL распаковать замученную этой херью???
Очень надо, помогите плз!!!
Или был бы ОЧЕНЬ благодарен за сцылу_на_описание/описание как распаковать DLL замученную этой херью...
Я просто новичок, не тот профиль у мну (ПХП програмлю) но очень надо...

| Сообщение посчитали полезным:

H1dden
Ну так сначала дай ссылку, а там уже и посмотрим...

| Сообщение посчитали полезным:

H1dden действительно дай ссылку а то мы же незнаем что ты решил там распаковать .

| Сообщение посчитали полезным:

Вот ссылка на прогу с длл упакованной ЕС http://antispamsniper.com/download/sniper-mui.exe

| Сообщение посчитали полезным:

@RSI: Any new words about betas? Or is the project dead at beta 2 (for public)?

| Сообщение посчитали полезным:

Simz
А где там эта библа с криптором находится, что то я не как не могу её найти?

| Сообщение посчитали полезным:

SunBeam пишет:
@RSI: Any new words about betas? Or is the project dead at beta 2 (for public)?
Да, очень хотелось бы узнать, проект еще жив иле нет?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Проект конечно еще жив! просто счас стало маловато времени на его доработку... ( тип новая работа + сессия на носу )

Но постараюсь к новому году прикрутить свое восстановление импорта и тогда уже будет паблик билд

| Сообщение посчитали полезным:

RSI пишет:
Но постараюсь к новому году прикрутить свое восстановление импорта и тогда уже будет паблик билд
А ненужные потоки убивацца будут ? В 2.4.1 действительно есть заморочка с crc потоками, их просто так ретами и т.п. убивать нельзя, твоё решение подходит.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Насчет этого пока не знаю. но не к новому году, так точно

| Сообщение посчитали полезным:

Кстати насчет распаковки длл...

Мне не так уж часто приходилось анпакать длл ( ну тип с пакерами справлялся ). Поэтому интересно с какими траблами могу столкнуть при распаковке длл.

Взяв за пример файл от Simz.

Это плагин к Bat для антиспама, т.е. чтобы проверить его работоспособность нужен сам The Bat!

Итак, что я нашел (может что-то и неправильно ):

В папке с программой есть файл - AntispamSniper.tbp - это длл накрытая криптором.

Что можно сказать по поводу опций защиты: антиотладка выключена + импорт чистый.

В целом процесс распаковки очень напоминает exe.

RVA IAT:
Start: 11A000
Size: 5A4

т.к. таблица чистая можно сдампить до инициализации и поправить в PE директорию импорта на 00173E44.

Затем влепить [1021826E] - 0xC3

RVA OEP: F6AA0 ( похоже на правду )

Затем обнулил TLS, т.к. видно что длл на Си + еще один признак того что TLS не ее.

Исправил BaseOfCode на 0x1000 = VA первой секции ( иначе восстановитель релоков не хочет работать)

Плугом от NEOx восстановил релоки.

Но вот мля она не хочет работать!!! Уже пробовал клеить импорт с помощью импрека и с релоками пытался загонятся. все одно...

поэтому у кого есть опыт в распаковке длл прошу подсказать в чем могут быть проблемы - если в будущем доделывать анпакер на поддержку длл, то по-любому, придется столкнуться с этим.

| Сообщение посчитали полезным:

Поменяй аттрибуты секции .rdata на 40000040.

Если все равно не будет запускаться в The Bat! (Options — Preferences — Plug-Ins — Add), значит в дампе чего-то не то.

| Сообщение посчитали полезным:

RSI пишет:
Плугом от NEOx восстановил релоки.

он кривой, юзайте Relox

| Сообщение посчитали полезным:

RSI пишет:
Уже пробовал клеить импорт с помощью импрека и с релоками пытался загонятся. все одно...
Релоки однако если плугом от NEOx востанавливал значит таблица незатертая? Попробуй руками или сделай новую Reloxом

| Сообщение посчитали полезным: