Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

Okay, if it works - what Olly are you using? It has to be my Olly then..

| Сообщение посчитали полезным:

SunBeam,

don't know if you saw earlier post about API functions/hashs or not. If not — then take a look and grab list of functions/hashs there:

— Understanding what API-functions are used in EXECryptor http://kioresk.wordpress.com/2007/10/20/execryptor_api_hashs/


regarding Olly, i'm using:

1. Windows XP SP2 (usually under VMware)
2. original OllyDbg patched with Hellspawn's patch http://hellspawn.nm.ru/works/patch_for_olly.zip (Zip, 3,5 kB)
3. modified PhantOm 1.0.4 plugin http://www.box.net/shared/8eabhv5sre (7-Zip, 42 kB)

Patch not needed with new version of PhantOm, because it hides OllyDbg window.
Sometimes programs don't run under debugger with SHIFT + F9, but they run normally with F9.

| Сообщение посчитали полезным:

@kioresk: Good one ;) Runs in any Olly, it's just I got used with Shift+F9. And for this application it doesn't want to work :P I used F9 as you said, did the trick.. Cheers

| Сообщение посчитали полезным:

SunBeam
I have not seen the message about clock manipulation.
My variant + patch RSI
rapidshare.com/files/82890124/FrameShow_1.rar.html
screenshot (date=2009 year)


-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Anyplace-Control 4.3 under debugging
img168.imageshack.us/img168/9270/qq3fh9.jpg

Мде, мутный какой то буржуйчег (((

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Вот че-то и у меня такое мнение сложилось

| Сообщение посчитали полезным:

LOL. Maximus, I tested your file. I get same error (am on XP SP2). Weird!! Also, you don't need all Phant0m options enabled, just the ones I mentioned:



EDIT: My DNS is crazy. Couldn't see your imageshack picture.. Now I managed to (the one that says Mr. Rex in About window). I managed to do that already with RSI's patch. I'm not looking for ways to register the application. I'm more interested in figuring a way to patch the clock manipulation error If you register the program, then it won't pass through that section of code, thus no clock manipulation errors..

| Сообщение посчитали полезным:

SunBeam i tested this file on 2 systems with XP SP2 and have not seen errors.
Все, чувствую я вряд ли ему помогу))...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Heh. You've helped me alright ;) Don't say that. If you register the application as RSI posted, the error NEVER appears, if you change clock! That's why you don't have any errors. Try not to register it (clean key with TrialReset) and change clock. You'll see error appears. I want to patch only the error (hoping to learn something about eC) and not register the app. My goal is learning, not cracking this soft

| Сообщение посчитали полезным:

Had to introduce you guys to my team

Our Russian friends have pretty good skills In fact, they are like the best in EXECryptor. ev1l^4 from tPORt is Russian and he's done mostly inlines. r99 and pavka are also good at this, as well at ASProtect. I know Maximus (Mr. Rex) from his Anyplace Control crusades (old days). Now he's gotten addicted to EC aswell smile.gif I've met RSI just recently (3-4 months ago) when stumbling upon his unpacker. Given he's implemented most of the tricks in his unpacker, I take it he's a good EC reverser as well as the others

Little intro of our friends Cheers

Props !

| Сообщение посчитали полезным:

Сразу хочется сказать - Огроменное спасибо RSI за его труды.

А теперь о моей проблеме:
Есть прога завернутая в ExeCryptor 2.4.1
rapidshare.com/files/85296164/hrefer.zip.html

При попытках ее распаковать с помощью Unpacker ExeCryptor 2.x.x. version 1.0 RC1
стабильно получаю ошибку



- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: D:\x4\Hack\Hrefer\hrefer.exe
Create Process... PID = 0x21C ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Exit Process... Done

| Сообщение посчитали полезным:

BaksoGen2
Убери галку Reconstruct Dynamic Import.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n Перепробовал включение/выключение почти всех галок
Результат прежний Тот что на скрине.

| Сообщение посчитали полезным:

Assass1n пишет:
Убери галку Reconstruct Dynamic Import.
там импорт динамический..
BaksoGen2
распаковать хрефер нет проблем, но тебе врятли кто может, ибо софт такого рода фтопку..

p.s. мой iat rebuilder в очередной раз порвал импорт у криптора..

| Сообщение посчитали полезным:

sniperZ пишет:
распаковать хрефер нет проблем, но тебе врятли кто может, ибо софт такого рода фтопку..
Засунул в анпакер, вот делов то...
BaksoGen2
Понятия не имею, что ты там с галками мутил, но у меня всё нормально распаковывается и запускается.
В атаче распаковынный и лог

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Атачи объявили революцию в очередной раз, поэтому залил на дамп
Файл успешно закачан: dump.ru/files/n/n0556709487/
Номер файла: n0556709487

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n пишет:
Понятия не имею, что ты там с галками мутил, но у меня всё нормально распаковывается и запускается.
хаха, если ты не перестроил импорт, работать будет только у тебя..

| Сообщение посчитали полезным:

sniperZ
Не хочу, да и не буду с тобой выяснять отношения кто прав, а кто виноват. Человек попросил посмотреть - я посмотрел и сделал в меру своих возможностей, ты его мягко, но послал. Если ты считаешь, что файл не запустится - значит он не запустится. А кому надо - те скачают и проверят кто прав, а кто виноват.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

BaksoGen2
У тебя случаем на Win 2K стоит, а то как-то пару раз на ней видел в анпакере такую же картину.

Попробовал у себя на XP, вот результат ( как и говорил Assass1n )

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Downloads\hrefer\hrefer.exe
Create Process... PID = 0xBDC ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "yoyjztuv" - YES
Unpacking section "widi8pa." - YES
Unpacking section "78xk.6b7" - YES
Set memory breakpoint for Extra code section... Done
Wait...
Not Found File CRC
Not Found Memory CRC
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: 95D000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [5328B7].
Not Found pointers
Patch message <Debugger Detected> (Method 3): OK
IAT Start: 0xD591CC
IAT End: 0xD599F8
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... Success!
Finding Compiler: Borland Delphi
RVA OEP: 153C0C
Exit Process... Done

| Сообщение посчитали полезным:

Да вот еще что! счас почти доделал алго "создания вечного триала" ( т.е. это когда юзается защита криптра с его окном регистрации ), но нужно побольше таких прог, для проверки.

тип Family2007 про которую PE_Kill как-то статью писал.

поэтому если кто видел такие проги, то кидайте ссылки ( сюда наверное не надо, чтобы не захломлять, поэтому в ЛС или на мыло ( rs1@tut.by ) ).

| Сообщение посчитали полезным:

RSI мож я немного не в теме, а зачем для:
RSI пишет: когда юзается защита криптра с его окном регистрации
нужен вечный триал, анпак + восстановление нескольких байт с ОЕП и все...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

RSIУ меня Win2K3 SP2... Да и распаковывать я пытался в RC1.
Спасибо общеизвесному товарищу с этого форума, помогающему в распаковке EXECrypt и Asprot
По логам приложенным к распакованным файлам вижу что он использовал туже версию анпакера что и я... Может действительно есть ньюансы работы анпакера в различных системах?

| Сообщение посчитали полезным:

Может и мне кто подскажет...
Patch file crc check - вылетает
Reconstruct Dynamic Imports - вылетает

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Copy / Past original IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Program Files\Data Realms\Cortex Command\Cortex Command.exe
Create Process... PID = 0xFB0 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "7ft69nrw" - YES
Unpacking section "i86cva.h" - YES
Fix Memory CRC... Done
Saving Dump... Done
RVA IAT: 72E2C
New TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [472EE0].
Not Found pointers
*Copy / Past Original IAT... Done
Patch message <Debugger Detected> (Method 1): OK
Finding Compiler: Not found
RVA OEP: Not Found
*New OEP: 0729E3
Exit Process... Done
дальше вылетает R6034
cant load msvcp80.dll - file corrupt

если руками:
OEP: 000729E3
IATRVA: 00123020
IATSize: 00000598
вылетает R6034 и всё.




cd67_21.01.2008_CRACKLAB.rU.tgz - iat.rar

| Сообщение посчитали полезным:

BaksoGen2 пишет:
Может действительно есть ньюансы работы анпакера в различных системах?

Есть. Удали всё проактивное, типа аутпоста и прочих хипсов

| Сообщение посчитали полезным:

s2003r пишет:
R6034
А ты попробуй переименовать оригинальный файл и увидишь такую же табличку. Это болезнь компилятора сишного.

| Сообщение посчитали полезным:

s2003r
А где ссылка а файл?

| Сообщение посчитали полезным:

RSIДве проги ( т.е. это когда юзается защита криптра с его окном регистрации )
link_deleted_by_forum_engine/files/3183159 и link_deleted_by_forum_engine/files/3183195 две версии FastSatFinder.

| Сообщение посчитали полезным:

RSI пишет:
А где ссылка а файл?
не думал что заинтересует
www.datarealms.com/downloads/ccsetup.exe

| Сообщение посчитали полезным:

mszeus
Спасибо конечно, но это не совсем то. там юзаются АПИ криптора, а окно рисуется самой прогой и там не триал, а ограничение на время ( вроде бы 59 мин. )

| Сообщение посчитали полезным:

RSI
У китайцев была тема по триалу криптора от шу И вроде как в последней версии после выхода уже сделали фикс

| Сообщение посчитали полезным: