Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

Гуру, так кто сможет поиметь это: Satfinder http://www.satcore.info/files/FSF2.2.9_Setup.exe
Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44

| Сообщение посчитали полезным:

Djeck пишет:
RSI первый облом
Прога Direct WAV MP3 Splitter

Читай внимательно readme.txt, я ее распаковывал, все ОК, и не надо импорт восстанавливать. Там таблица ваще не спертая и даже не динамическая, поэтому надо просто снять галку Reconstruct Dinamic Import и все бут сразу ОК.

Bronco
Спасиб! попробую разобраться, если бут работать то прикручу

| Сообщение посчитали полезным:

RSI
Решил протестить твой анпакер...
на игрушке Magic Tetcolor.

При распакрвке убрал галочки:
"Patch message "Debugger Detected"
"Cut last sections"
"Reconstruct Dynamic Import"
"Disabled Dynamic Import"
"Find VM OEP"
"Fix Dump -> ImpREC.dll"

вот лог.
Create Process...
PID = 0x348 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "8c1htc21" - YES
Unpacking section "2fpxr2pl" - YES
Unpacking section "vzc0etn5" - YES
Set memory breakpoint for Extra code section... Done
Find and Correct CRC... Done
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
Correct TLS... TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA: Not Found
Restore Original IAT... Done
Exit Process... Done

Также пробовал другие варианты включения/выключены галочек..
Распакованный файл не запускается и не выдает никакой ошибки
(при двойном щелчке на него). Он даже в процессах не появляется...
Могу прикрепить...весит около 900 кб..

P.S. у меня windows 2000 + SP4

| Сообщение посчитали полезным:

Mavlyudov пишет:
Могу прикрепить...весит около 900 кб..
не "могу",а прикрепляй. ща онпакнем...=)

| Сообщение посчитали полезным:

Mavlyudov
Выкладывай. но все равно возникает вопрос, так на всякий случай, ты внимательно читал readme.txt

| Сообщение посчитали полезным:

MilitaryMan пишет:
Гуру, так кто сможет поиметь это: Satfinder
Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44

Итак все там ок анпакается.

Значит:
1) В анпакере выставляй все галки кроме: Disabled Dynamic Import, Find VN OEP, Fix Dump...
2) Жми Unpack, когда появится сообщение, не закрывая его - бери ImpREC 1.4.x и вводи туда:
RVA OEP: 36483
RVA IAT: 4C000
SIZE IAT: 378
После прикручивай полученный импорт к дампу. на этом распаковка закончена.

3) Чтобы обойти внутреннюю защиту проги ( тип когда вылетает ошибка при запуске ),
открой распакованный вариант в любом хекс редакторе, можно и ольке и вбей в эти ячейки

адреса:

MOV EAX,FastSatf.0043A332
MOV DWORD PTR DS:[46CA00],EAX
MOV DWORD PTR DS:[46CA04],FastSatf.00439A2E
MOV DWORD PTR DS:[46CA08],FastSatf.004399EC
MOV DWORD PTR DS:[46CA0C],FastSatf.00439A20
MOV DWORD PTR DS:[46CA10],FastSatf.00439996
MOV DWORD PTR DS:[46CA14],EAX
MOV DWORD PTR DS:[46CA18],FastSatf.0043A2AC
MOV DWORD PTR DS:[46CA1C],FastSatf.004399AC
MOV DWORD PTR DS:[46CA20],FastSatf.00439916
MOV DWORD PTR DS:[46CA24],FastSatf.004398A5

После этого все будет работать без проблем.

4) Если мешают треды с антиотладкой, то впиши:

[63bd6e] = 0xC3
[6bd301] = 0x00

Все! анпакер тут не причем, т.к. эт собственная защита проги ;)

З.Ы. А ломай уже сам!

| Сообщение посчитали полезным:

RSI может и не в тему,но со временем вот это:
RSI пишет:
В анпакере выставляй все галки кроме
Надо как то автоматизировать.Ибо немного заёбывает ставить\снимать галки.Я имею ввиду оставить самый урезанный минимум.Например как в стрипере к аспру и армадилло.Я понимаю,что это только первый релиз,но ИМХО к этому надо стремиться.

| Сообщение посчитали полезным:

Djeck
Ну ввобще-то опции специально выносились отдельно чтобы можно было отключать то че не надо или то че плохо работает. Я итак оставил нужный набор, если ты запустишь бету и посмотришь что там из того что я выбрал отличаетс, то увидишь тока 2 частные опции. Как в этом говне можно что-то автоматизировать, эт тебе и ни аспр и ни арма, где код остается нормальный.

| Сообщение посчитали полезным:

RSI пишет:
Как в этом говне можно что-то автоматизировать, эт тебе и ни аспр и ни арма, где код остается нормальный.
Впринципе я с тобой согласен и тоже думал об этом.Конечно понажимать галку не вызывает ни какой проблемы,тем более в любом случае это быстрее чем вручную распаковывать.Просто я анпакнул распаковщиком десяток прог и опции у меня впринципе не сильно меняются.Вот например опция Cut last section у меня вообще не пашет,поэтому постоянно в отключке.Вообщем направление у тебя правильное,но только умаляю сделай в следующем релизе drag-drop.Я тебе за это 2 раза спасибо скажу

| Сообщение посчитали полезным:

sniperZ пишет:
не "могу",а прикрепляй. ща онпакнем...=)
вот
Сам файл http://www.zerowaitingtime.com/28529-download-TetcolorSetup.rar
Зеркала:
1 http://cocoshare.cc/1096919505/TetcolorSetup.rar
2 http://meetfile.com/files/37718/TetcolorSetup.rar.html
3 http://slil.ru/24945276
4 http://ifolder.ru/3626638
последняя сылка это установочный exe файл..До этого были rar. На всякий случай..мало ли, будет битый архив..
RSI пишет:
но все равно возникает вопрос, так на всякий случай, ты внимательно читал readme.txt
Читал несколько раз...правда у меня болела голова...

| Сообщение посчитали полезным:

Mavlyudov пишет:
Читал несколько раз
Хоть читай,хоть не читай,легче не станет..
Тулза конечно облегчила жИтуху,но на широкого пользователя всё таки не расчитана.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco ты верно сказал, а так её ещё надо тестировать и тестировать да плюс дорабатывать . А так тулза прикольная. И ещё чем дискусии разводить давайте лучше поможем чем сможем чел старается как может . И как говориться в пословице одна голова хорошо, а больше голдов ещё лучше. а для RSI если нужна какая-либо помощь напиши чем смогу помогу.

| Сообщение посчитали полезным:

RSI пишет:
MilitaryMan пишет:
Гуру, так кто сможет поиметь это: Satfinder
Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44

Итак все там ок анпакается.
Респект и уважуха!!! У меня чей-то с поиском оеп большие проблемы были )) Еще раз сэнкс

| Сообщение посчитали полезным:

Bronco
Еще раз спасиб за SDK ap0x, прикрутил восстановление импорта - работает как часы.

З.Ы. Знал бы раньше, было б в разы легче писать...

| Сообщение посчитали полезным:

Mavlyudov пишет:
Решил протестить твой анпакер...
на игрушке Magic Tetcolor.

анпакер тут совсем не катит
и CRC чекает не там где надо (если по сигнатуре ищется - то надо искать новую)

Правда тут и CRC memory вмешивается - на которую анпакер еще вроде не заточен

| Сообщение посчитали полезным:

Mavlyudov
r99
Такой тип проверки CRC ловится на побайтном чтении секции кода и убивается джампом с этого места на инлайн с кодом убития этого треда. Результат такой проверки выражается в тихом схлопывании проги без всяких "File corrupted". Поймать такую проверку статически, вряд ли получится, т.к. типовой и одновременно специфичной сигнатуры тут нет, т.е. в анпакере можно это реализовать только в режиме дебага, что, понятно, будет непросто.

P.S. Кстати, может я и не прав, но такой тип проверки встречается только на прогах, покрытых старыми (до 2.2.4 включительно) версиях прота. На последних версиях, а что-то ее не встречал.

| Сообщение посчитали полезным:

YDS
немного не понял как ловить.
Ну так я же прогу выложил..неужели ее анпакнуть не получается? и у меня, кстати, тоже...
не запускакется файл и всё.
RSI
снятик галочки пропатчивания CRC тоже не помогла...Буду пад если подскажешь, какие опции выставить...
Хотя вручную анпакать тоже не получается....

| Сообщение посчитали полезным:

Mavlyudov
Бряком на чтение секции кода. Будет что-то вроде такого: MOVZX EAX,BYTE PTR DS:[EAX]. Делаем с этого места джамп на инлайн, где делаем TherminateThread.
Может также прокатить вариант, если сразу поставить бряк на CreateThread, отследить при появлении какого трида прога схлопывается, и по адресу ThreadFunction (см.в окне стэка) положить ret (C3).

| Сообщение посчитали полезным:

YDS
попробую.
а если нить всего одна?

| Сообщение посчитали полезным:

Mavlyudov
Спасиб за файл! пофиксил несколько неприятных ошибок...
эта бета пока его не распакует, скажу сразу что импорт чистый...

Если хочешь распаковать бери мой дампер beta2, снимай им дамп затем бери PE Tools и правь в дампе

RVA IAT: 38578
RVA OEP: 11580

А чтобы файл запускался надо в [50E6BD] вписать 0xC3.
После этого надо бут пофискить проверку CRC которая в потоках...

YDS
Ты что мне предлагаешь отладчик для криптора писать??? пока это и не будет фиксится
я видел на 2.2.4, 2.2.6 и 2.3.9. такую проверку.

| Сообщение посчитали полезным:

RSI пишет:
Ты что мне предлагаешь отладчик для криптора писать??? пока это и не будет фиксится
Да нет, конечно ;) Просто попытался объяснить, как это дело можно пофиксить ручками.

Mavlyudov
а если нить всего одна?
Это в проге покрытой криптором? ;) Сильно сомневаюсь, что там только одна нить.

| Сообщение посчитали полезным:

Mavlyudov пишет:
а если нить всего одна?

Минимум две.

| Сообщение посчитали полезным:

YDS
NIKOLA
ну так несложно проверить, прогу я выложил...
нити же создаются после распковки определенной секции кода..
а при загрузке проги в Олли, нить всего одна...да и при запуске тоже...

| Сообщение посчитали полезным:

RSI пишет:
прикрутил восстановление импорта
В конец дампа,или типа в родное место?
Нало ещё поглядеть чо он шинковать не желает...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Чего-то вы странное про CRC говорите, посмотрел файл, криптор 2.4, проверка стандартная, отключается заменой по адресу 517129 команды cmp [ebp-1C], -1 (837DE4FF) на cmp eax, eax и пару nop'ов (3BC09090)

Mavlyudov,

лови распакованный модуль:

www.box.net/shared/l2z4tuqvn2 (7-Zip, 560 Кбайт)

| Сообщение посчитали полезным:

kioresk
спасибо. Расскажи плиз, какие галочки убрал в анпакере при распаковке? или ты вручную анпакал?
Я еще не смотрел подробно, но в распакованном файле новая секция .poly...вечерком еще гляну...

| Сообщение посчитали полезным:

Mavlyudov,

вручную, секция poly — это 2 секции криптора объединенные в 1. Еще подправь размер таблицы IAT, а то я забыл, с 110 на C8.

Кстати, если сравнить сколько в этой программе занимает секция кода и сколько секция криптора, то получается забавная картина: 188 и 487 Кбайт. Даешь клиент-серверного пакмана с ватермарками, онлайновой активацией и 100% виртуализацией кода на пару десятков мегабайт! Совсем люди с ума посходили…

| Сообщение посчитали полезным:

Unpacker ExeCryptor 2.x.x. version 1.0 beta2

Что нового:
- поправил небольшие баги с поиском и восстановлением динамического импорта.
- немного изменил название опций, чтобы не так путались.
- прикрутил ap0x unpack engine, а в частности запись импорта в дамп, но пишет импорт только в отдельную секцию.
- сделал авто поиск опции импорта ( т.е. если не найден импорт, то анпакер сам рестартует с др. настройками ).
- поправил поиск OEP в Delphi, т.к. на некоторых консольных версиях криптора не работал.
- добавил возможность ввода ОEP вручную, если файндер не нашел.
- сделал вывод включенных опций в лог.
- добавил поддержку drag'n'drop.

P.S. за OEP можно всегда брать EP криптора, работает в 95% случаев.

На этом пока все...

| Сообщение посчитали полезным:

че-то с аттачем, задолбался

rapidshare.com/files/61357936/Unpacker_ExeCryptor_2.x.x._beta_2.rar.html

| Сообщение посчитали полезным:

RSI
М-да, Экзекриптору похоже действительно смерть пришла. Без ручного вмешательства теперь у меня распаковались и те проги, что раньше сабж не брал. Молодца!!!

| Сообщение посчитали полезным: