| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x. |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 32 . 33 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 03 октября 2007 23:55 · Поправил: Модератор · Личное сообщение · #1 Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build] Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям и их применению находится в readme.txt С пожеланиями и предложениями писать СЮДА!!! 
 c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip
 |
|
|
Создано: 06 октября 2007 13:47 · Личное сообщение · #2 Гуру, так кто сможет поиметь это: Satfinder http://www.satcore.info/files/FSF2.2.9_Setup.exe Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44 |
|
|
Создано: 06 октября 2007 14:10 · Личное сообщение · #3 Djeck пишет: RSI первый облом Прога Direct WAV MP3 Splitter Читай внимательно readme.txt, я ее распаковывал, все ОК, и не надо импорт восстанавливать. Там таблица ваще не спертая и даже не динамическая, поэтому надо просто снять галку Reconstruct Dinamic Import и все бут сразу ОК. Bronco Спасиб! попробую разобраться, если бут работать то прикручу 
|
|
|
Создано: 06 октября 2007 20:08 · Личное сообщение · #4 RSI Решил протестить твой анпакер... на игрушке Magic Tetcolor. При распакрвке убрал галочки: "Patch message "Debugger Detected" "Cut last sections" "Reconstruct Dynamic Import" "Disabled Dynamic Import" "Find VM OEP" "Fix Dump -> ImpREC.dll" вот лог. Create Process... PID = 0x348 ... Done Finding signature function unpacking... Done Set breakpoint in function... Done Unpacking section ".text" - YES Unpacking section "8c1htc21" - YES Unpacking section "2fpxr2pl" - YES Unpacking section "vzc0etn5" - YES Set memory breakpoint for Extra code section... Done Find and Correct CRC... Done Saving Dump... Done Clear memory breakpoint for Extra code section... Done Correct TLS... TLS Directory: 0 Remove trash from PE Header... Done Find position GetModuleHandleA: Not Found Restore Original IAT... Done Exit Process... Done Также пробовал другие варианты включения/выключены галочек.. Распакованный файл не запускается и не выдает никакой ошибки (при двойном щелчке на него). Он даже в процессах не появляется... Могу прикрепить...весит около 900 кб.. P.S. у меня windows 2000 + SP4 |
|
|
Создано: 06 октября 2007 20:30 · Личное сообщение · #5 Mavlyudov пишет: Могу прикрепить...весит около 900 кб.. не "могу",а прикрепляй. ща онпакнем...=) |
|
|
Создано: 06 октября 2007 21:24 · Личное сообщение · #6 Mavlyudov Выкладывай. но все равно возникает вопрос, так на всякий случай, ты внимательно читал readme.txt |
|
|
Создано: 06 октября 2007 23:13 · Личное сообщение · #7 MilitaryMan пишет: Гуру, так кто сможет поиметь это: Satfinder Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44 Итак все там ок анпакается. Значит: 1) В анпакере выставляй все галки кроме: Disabled Dynamic Import, Find VN OEP, Fix Dump... 2) Жми Unpack, когда появится сообщение, не закрывая его - бери ImpREC 1.4.x и вводи туда: RVA OEP: 36483 RVA IAT: 4C000 SIZE IAT: 378 После прикручивай полученный импорт к дампу. на этом распаковка закончена. 3) Чтобы обойти внутреннюю защиту проги ( тип когда вылетает ошибка при запуске ), открой распакованный вариант в любом хекс редакторе, можно и ольке и вбей в эти ячейки адреса: MOV EAX,FastSatf.0043A332 MOV DWORD PTR DS:[46CA00],EAX MOV DWORD PTR DS:[46CA04],FastSatf.00439A2E MOV DWORD PTR DS:[46CA08],FastSatf.004399EC MOV DWORD PTR DS:[46CA0C],FastSatf.00439A20 MOV DWORD PTR DS:[46CA10],FastSatf.00439996 MOV DWORD PTR DS:[46CA14],EAX MOV DWORD PTR DS:[46CA18],FastSatf.0043A2AC MOV DWORD PTR DS:[46CA1C],FastSatf.004399AC MOV DWORD PTR DS:[46CA20],FastSatf.00439916 MOV DWORD PTR DS:[46CA24],FastSatf.004398A5 После этого все будет работать без проблем. 4) Если мешают треды с антиотладкой, то впиши: [63bd6e] = 0xC3 [6bd301] = 0x00 Все! анпакер тут не причем, т.к. эт собственная защита проги ;) З.Ы. А ломай уже сам! 
|
|
|
Создано: 06 октября 2007 23:30 · Личное сообщение · #8 RSI может и не в тему,но со временем вот это: RSI пишет: В анпакере выставляй все галки кроме Надо как то автоматизировать.Ибо немного заёбывает ставить\снимать галки.Я имею ввиду оставить самый урезанный минимум.Например как в стрипере к аспру и армадилло.Я понимаю,что это только первый релиз,но ИМХО к этому надо стремиться. |
|
|
Создано: 06 октября 2007 23:35 · Личное сообщение · #9 Djeck Ну ввобще-то опции специально выносились отдельно чтобы можно было отключать то че не надо или то че плохо работает. Я итак оставил нужный набор, если ты запустишь бету и посмотришь что там из того что я выбрал отличаетс, то увидишь тока 2 частные опции. Как в этом говне можно что-то автоматизировать, эт тебе и ни аспр и ни арма, где код остается нормальный. |
|
|
Создано: 06 октября 2007 23:52 · Личное сообщение · #10 RSI пишет: Как в этом говне можно что-то автоматизировать, эт тебе и ни аспр и ни арма, где код остается нормальный. Впринципе я с тобой согласен и тоже думал об этом.Конечно понажимать галку не вызывает ни какой проблемы,тем более в любом случае это быстрее чем вручную распаковывать.Просто я анпакнул распаковщиком десяток прог и опции у меня впринципе не сильно меняются.Вот например опция Cut last section у меня вообще не пашет,поэтому постоянно в отключке.Вообщем направление у тебя правильное,но только умаляю сделай в следующем релизе drag-drop.Я тебе за это 2 раза спасибо скажу 
|
|
|
Создано: 07 октября 2007 01:06 · Поправил: Mavlyudov · Личное сообщение · #11 sniperZ пишет: не "могу",а прикрепляй. ща онпакнем...=) вот Сам файл http://www.zerowaitingtime.com/28529-download-TetcolorSetup.rar Зеркала: 1 http://cocoshare.cc/1096919505/TetcolorSetup.rar 2 http://meetfile.com/files/37718/TetcolorSetup.rar.html 3 http://slil.ru/24945276 4 http://ifolder.ru/3626638 последняя сылка это установочный exe файл..До этого были rar. На всякий случай..мало ли, будет битый архив.. RSI пишет: но все равно возникает вопрос, так на всякий случай, ты внимательно читал readme.txt Читал несколько раз...правда у меня болела голова... |
|
|
Создано: 07 октября 2007 02:30 · Личное сообщение · #12 Mavlyudov пишет: Читал несколько раз Хоть читай,хоть не читай,легче не станет.. 
Тулза конечно облегчила жИтуху ,но на широкого пользователя всё таки не расчитана.
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 07 октября 2007 02:43 · Личное сообщение · #13 Bronco ты верно сказал, а так её ещё надо тестировать и тестировать да плюс дорабатывать . А так тулза прикольная. И ещё чем дискусии разводить давайте лучше поможем чем сможем чел старается как может . И как говориться в пословице одна голова хорошо, а больше голдов ещё лучше. а для RSI если нужна какая-либо помощь напиши чем смогу помогу. |
|
|
Создано: 07 октября 2007 05:52 · Личное сообщение · #14 RSI пишет: MilitaryMan пишет: Гуру, так кто сможет поиметь это: Satfinder Вроде бы всё сделал, но работать не хочет. оеп беру этот: 442B44 Итак все там ок анпакается. Респект и уважуха!!! У меня чей-то с поиском оеп большие проблемы были )) Еще раз сэнкс
|
|
|
Создано: 07 октября 2007 13:26 · Личное сообщение · #15 Bronco Еще раз спасиб за SDK ap0x, прикрутил восстановление импорта - работает как часы. З.Ы. Знал бы раньше, было б в разы легче писать... |
|
|
Создано: 07 октября 2007 16:38 · Личное сообщение · #16 Mavlyudov пишет: Решил протестить твой анпакер... на игрушке Magic Tetcolor. анпакер тут совсем не катит и CRC чекает не там где надо (если по сигнатуре ищется - то надо искать новую) Правда тут и CRC memory вмешивается - на которую анпакер еще вроде не заточен |
|
|
Создано: 07 октября 2007 16:50 · Поправил: YDS · Личное сообщение · #17 Mavlyudov r99 Такой тип проверки CRC ловится на побайтном чтении секции кода и убивается джампом с этого места на инлайн с кодом убития этого треда. Результат такой проверки выражается в тихом схлопывании проги без всяких "File corrupted". Поймать такую проверку статически, вряд ли получится, т.к. типовой и одновременно специфичной сигнатуры тут нет, т.е. в анпакере можно это реализовать только в режиме дебага, что, понятно, будет непросто. P.S. Кстати, может я и не прав, но такой тип проверки встречается только на прогах, покрытых старыми (до 2.2.4 включительно) версиях прота. На последних версиях, а что-то ее не встречал. |
|
|
Создано: 07 октября 2007 17:38 · Поправил: Mavlyudov · Личное сообщение · #18 YDS немного не понял как ловить. Ну так я же прогу выложил..неужели ее анпакнуть не получается? и у меня, кстати, тоже... не запускакется файл и всё. RSI снятик галочки пропатчивания CRC тоже не помогла...Буду пад если подскажешь, какие опции выставить... Хотя вручную анпакать тоже не получается.... |
|
|
Создано: 07 октября 2007 17:54 · Личное сообщение · #19 Mavlyudov Бряком на чтение секции кода. Будет что-то вроде такого: MOVZX EAX,BYTE PTR DS:[EAX]. Делаем с этого места джамп на инлайн, где делаем TherminateThread. Может также прокатить вариант, если сразу поставить бряк на CreateThread, отследить при появлении какого трида прога схлопывается, и по адресу ThreadFunction (см.в окне стэка) положить ret (C3). |
|
|
Создано: 07 октября 2007 17:58 · Личное сообщение · #20 YDS попробую. а если нить всего одна? |
|
|
Создано: 07 октября 2007 18:07 · Личное сообщение · #21 Mavlyudov Спасиб за файл! пофиксил несколько неприятных ошибок... 
эта бета пока его не распакует, скажу сразу что импорт чистый... Если хочешь распаковать бери мой дампер beta2, снимай им дамп затем бери PE Tools и правь в дампе RVA IAT: 38578 RVA OEP: 11580 А чтобы файл запускался надо в [50E6BD] вписать 0xC3. После этого надо бут пофискить проверку CRC которая в потоках... YDS Ты что мне предлагаешь отладчик для криптора писать??? пока это и не будет фиксится
я видел на 2.2.4, 2.2.6 и 2.3.9. такую проверку. |
|
|
Создано: 07 октября 2007 18:27 · Поправил: YDS · Личное сообщение · #22 RSI пишет: Ты что мне предлагаешь отладчик для криптора писать??? пока это и не будет фиксится Да нет, конечно ;) Просто попытался объяснить, как это дело можно пофиксить ручками. Mavlyudov а если нить всего одна? Это в проге покрытой криптором? ;) Сильно сомневаюсь, что там только одна нить. |
|
|
Создано: 07 октября 2007 19:45 · Личное сообщение · #23 Mavlyudov пишет: а если нить всего одна? Минимум две. |
|
|
Создано: 07 октября 2007 20:50 · Личное сообщение · #24 YDS NIKOLA ну так несложно проверить, прогу я выложил... нити же создаются после распковки определенной секции кода.. а при загрузке проги в Олли, нить всего одна...да и при запуске тоже... |
|
|
Создано: 08 октября 2007 00:28 · Личное сообщение · #25 RSI пишет: прикрутил восстановление импорта В конец дампа,или типа в родное место?
Нало ещё поглядеть чо он шинковать не желает...
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 08 октября 2007 00:50 · Личное сообщение · #26 Чего-то вы странное про CRC говорите, посмотрел файл, криптор 2.4, проверка стандартная, отключается заменой по адресу 517129 команды cmp [ebp-1C], -1 (837DE4FF) на cmp eax, eax и пару nop'ов (3BC09090) Mavlyudov, лови распакованный модуль: www.box.net/shared/l2z4tuqvn2 (7-Zip, 560 Кбайт) |
|
|
Создано: 08 октября 2007 07:00 · Личное сообщение · #27 kioresk спасибо. Расскажи плиз, какие галочки убрал в анпакере при распаковке? или ты вручную анпакал? Я еще не смотрел подробно, но в распакованном файле новая секция .poly...вечерком еще гляну... |
|
|
Создано: 08 октября 2007 08:59 · Личное сообщение · #28 Mavlyudov, вручную, секция poly — это 2 секции криптора объединенные в 1. Еще подправь размер таблицы IAT, а то я забыл, с 110 на C8. Кстати, если сравнить сколько в этой программе занимает секция кода и сколько секция криптора, то получается забавная картина: 188 и 487 Кбайт. Даешь клиент-серверного пакмана с ватермарками, онлайновой активацией и 100% виртуализацией кода на пару десятков мегабайт! Совсем люди с ума посходили…
|
|
|
Создано: 09 октября 2007 17:14 · Личное сообщение · #29 Unpacker ExeCryptor 2.x.x. version 1.0 beta2 Что нового: - поправил небольшие баги с поиском и восстановлением динамического импорта. - немного изменил название опций, чтобы не так путались. - прикрутил ap0x unpack engine, а в частности запись импорта в дамп, но пишет импорт только в отдельную секцию. - сделал авто поиск опции импорта ( т.е. если не найден импорт, то анпакер сам рестартует с др. настройками ). - поправил поиск OEP в Delphi, т.к. на некоторых консольных версиях криптора не работал. - добавил возможность ввода ОEP вручную, если файндер не нашел. - сделал вывод включенных опций в лог. - добавил поддержку drag'n'drop. P.S. за OEP можно всегда брать EP криптора, работает в 95% случаев. На этом пока все... |
|
|
Создано: 09 октября 2007 17:15 · Поправил: RSI · Личное сообщение · #30 че-то с аттачем, задолбался
rapidshare.com/files/61357936/Unpacker_ExeCryptor_2.x.x._beta_2.rar.html |
|
|
Создано: 09 октября 2007 18:08 · Поправил: YDS · Личное сообщение · #31 RSI М-да, Экзекриптору похоже действительно смерть пришла. Без ручного вмешательства теперь у меня распаковались и те проги, что раньше сабж не брал. Молодца!!! |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 32 . 33 . >> |
|
eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x. |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати