Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

s2003r
Нашел ошибку у себя! теперь не падает.

вот что микрософт говорит про эту ошибку:

C Run-Time Error R6034

Error Message
An application has made an attempt to load the C runtime library without using a manifest. This is an unsupported way to load Visual C++ DLLs. You need to modify your application to build with a manifest. For more information, see the "Visual C++ Libraries as Shared Side-by-Side Assemblies" topic in the product documentation.

Поэтому если меняешь имя файла, то нужно править имя файла манифеста к нему.

если пригодится вот распакованный: rapidshare.com/files/85678661/Cortex_Command_u.rar.html

pavka
может ссылка сохранилась?

| Сообщение посчитали полезным:

RSI,

наши братья с unpack.cn обсуждали дыру в one-touch trial, когда при запуске отображается окно регистрации и нельзя запустить программу без правильных имени и серийника (т.е. нет кнопки Evaluate), а если окну послать сообщение WM_CLOSE, то программа спокойно запустится.

| Сообщение посчитали полезным:

All worx OKay , just read carefully all posts Thanks@RSI

| Сообщение посчитали полезным:

The software that is in link below is packed with Execryptor and I can't dump it in any way.
Someone can try unpack it for me please ?

www.dc-unlocker.com/SNreader/dc-unlocker2client_0083_setup.exe

| Сообщение посчитали полезным:

xor_axax
Has unpacked by means of Version: 1.0 RC1 [Public Build]

and hands has corrected ec threads.

rapidshare.com/files/92881050/DC-Unlocker_u.rar.html

| Сообщение посчитали полезным:

RSI writes:

xor_axax
Has unpacked by means of Version: 1.0 RC1 [Public Build]

and hands has corrected ec threads.

RSI

Many, many thanks.

| Сообщение посчитали полезным:

Unpaker вроде работает, но где сохраняется дамп программы ?
распаковывл демо версию xrumerа plаtinum editiоn
лог работы
Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Copy / Past original IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
Create Process... PID = 0x488 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "hvso8ycf" - YES
Unpacking section "u40oebf1" - YES
Exit Process... Done

| Сообщение посчитали полезным:

fdiller
Там же где и упакованная.
Только у тебя прога не распаковалась.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

fdiller
Ну так а где файлик???

| Сообщение посчитали полезным:

RSI пишет:
fdiller
Ну так а где файлик???
скачать можно после регистрации --> здесь <-- http://www.botmaster.ru/registration/ залить сейчас не могу

| Сообщение посчитали полезным:

там регистрировать не обязательно, можно через test/test войти

| Сообщение посчитали полезным:

Пока не понял из-за чего такая байда, но там криптор навешан как пакер, т.е. из опций только антиотладка + упаковка кода. Остальное все чистое!!! ( Если будут еще такие варианты буду разбираться... , а то он счас снимается почти как UPX )

P.S. Если надо могу залить распакованный файл.

| Сообщение посчитали полезным:

RSI пишет:
P.S. Если надо могу залить распакованный файл.
да конечно надо

| Сообщение посчитали полезным:

Название: xpymep_u.rar
Размер: 3.03 Мб
Доступен до: 2008-04-11 16:10:49
Ссылка для скачивания файла: ifolder.ru/5703856

| Сообщение посчитали полезным:

не так там все просто в оле не хочет идти xrumer ... еще socks64.dll запакован неизвестно чем

| Сообщение посчитали полезным:

fdiller,

загрузил XRumer 4.0 Demo, посмотрел, 3 файла (javareg.dll, socks64.dll, xpymep.exe) упакованы криптором, код виртуализован. Распаковать не проблема, только, имхо, смысла в этом нет, т.к. в демо-версии часть функционала просто вырезана.

| Сообщение посчитали полезным:

fdiller
может тебе ешё и хрефер поломать? или ещё какого-нибудь спам-софта?

| Сообщение посчитали полезным:

Ого! Хрумера упаковали криптором!
fdiller
Забудь нах. С 4-ой версии там привязка не только к серверу и key.lic, но еще и к xrumer_key.txt. Здесь такой софт тебе ломать никто не будет. А там где будут - тоже не даром. Да и намучено там с защитой тоже не плохо Можешь мне поверить Кста, на руборде есть баааальшая тема.

| Сообщение посчитали полезным:

kioresk пишет:
загрузил XRumer 4.0 Demo, посмотрел, 3 файла (javareg.dll, socks64.dll, xpymep.exe) упакованы криптором, код виртуализован. Распаковать не проблема, только, имхо, смысла в этом нет, т.к. в демо-версии часть функционала просто вырезана.
ok ну а вообще есть unpaker криптора для dll? или скрипт для olly?
ломать его не нужно - только распокавать

| Сообщение посчитали полезным:

RSI вроде сделал распаковщик тока он не распаковывает

| Сообщение посчитали полезным:

fdiller,

есть unpaker криптора для dll? или скрипт для olly?

Нет, библиотеки пока только вручную (на 12-й странице этой темы вкратце описывалось как восстановить релоки). Вечером выложу распакованные модули.

| Сообщение посчитали полезным:

fdiller пишет:
ну а вообще есть unpaker криптора для dll
на паблике вообще есть только один анпакер в мире (скромно, я знаю), и тот находится в этой тебе. Скрипты возможно и существуют, но без начальных знаний про криптор (собственно как и для любого другого прота) тебе скрипты не помогут, т.к. загрузить их сможет каждый, а разобраться что делать после того как скрипт отработал, какие данные тебе выдал - дано далллллеееко не каждому начинающему. (мне было не дано

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Счас времени маловато, но уже почти готова поддержка распаковки длл. ( как раз будет на чем позже потестить )

| Сообщение посчитали полезным:

fdiller,

лови распакованные модули:

XRumer 4.0 Demo - Unpacked - Kioresk http://ifolder.ru/5723505 (7-Zip, 2,5 Мбайт)


RSI,

в коде, когда будешь восстанавливать таблицу перемещений (релоков), не добавляй в нее адреса ячеек IAT (т.е пропускай адреса относящиеся к импорту), если у библиотеки защищен импорт.

| Сообщение посчитали полезным:

kioresk
Я думаю вообще конвертить релоки криптора в нормальный формат ( ну и да, соот-но, пропускать IAT )

| Сообщение посчитали полезным:

RSI
Есть одна прога...ваш унпакер распаковал все без проблем, но есть одно но которого я непонял....на проге что я распаковывал весит триал от ехекриптора(дата и количество запусков!!!)....там вот они остались....это правильно?....я думал ехекриптора больше не даст знать о себе!!!

| Сообщение посчитали полезным:

evserv
давай сюда прогу, надо патчить, а гадалок тут нед..

| Сообщение посчитали полезным:

евсерву просьба помочь, это мой друг

| Сообщение посчитали полезным:

Ara пишет:
евсерву просьба помочь, это мой друг
Так пусть выложит прогу поможем

| Сообщение посчитали полезным:

evserv это правильно, анпакер только анпакает, остальное ты должен сделать сам.
Ara странно, если evserv твой друг ты должен был хотя бы объяснить ему прописные истины, а постить тут вопросы для новичков, думаю, не правильно.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным: