| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x. |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 32 . 33 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 03 октября 2007 23:55 · Поправил: Модератор · Личное сообщение · #1 Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build] Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям и их применению находится в readme.txt С пожеланиями и предложениями писать СЮДА!!! 
 c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip
 |
|
|
Создано: 09 июля 2008 12:00 · Личное сообщение · #2 kioresk пишет: да возрадуются PolyTech Джо попадался на какой-нибудь коммерческой утили? |
|
|
Создано: 09 июля 2008 12:12 · Поправил: kioresk · Личное сообщение · #3 Gideon Vi, пару раз всего стречался с ним на каких-то бесполезных утилитах (бот для онлайн-игры и еще чего-то), а на нормальных ни разу. 
Офф: Но это в принципе и понятно, нормальная контора свой код прятать и превращать в хавно не будет. |
|
|
Создано: 09 июля 2008 13:57 · Личное сообщение · #4 kioresk пишет: чтобы поменьше лишних движений в Иде делать ДеВМ криптора в Иде пишешь что-ли? |
|
|
Создано: 09 июля 2008 14:28 · Личное сообщение · #5 temp, нет, имелось в виду чтобы при анализе кода меньше туда-сюда прыгать. |
|
|
Создано: 09 июля 2008 14:35 · Личное сообщение · #6 kioresk пишет: имелось в виду чтобы при анализе кода меньше туда-сюда прыгать ясно. а у тя деВМка статик будет ? а то я знаю одного чела, так он динамическую деВМ пишет, в виде плага для ольки |
|
|
Создано: 09 июля 2008 17:07 · Личное сообщение · #7 Да, сам двиг статический. Но ему нужны константы, которые используются при расшифровке опкодов и различаются для каждой программы, и получить их получить проще всего трейсом. Поэтому деВМ состоит из скрипта и бинарника. Скрипт собирает константы, загружает в память двиг и передает ему управление и ссылку на константы. А плагин имхо гиморнее писать. |
|
|
Создано: 13 июля 2008 18:53 · Личное сообщение · #8 hi RSI it is great programe but i can not make unpack by it in this packed file . is there is somthing new on it ?? rapidshare.com/files/129408354/packed.rar.html |
|
|
Создано: 14 июля 2008 09:56 · Личное сообщение · #9 Ramiz He-he, It's program protect (not EC): FindWindow("Unpacker ExeCryptor 2.xx") and searching section ".idata" in file
Unpacked File: rapidshare.com/files/129557144/packed_u.rar.html |
|
|
Создано: 14 июля 2008 16:04 · Личное сообщение · #10 RSI thnx for u it is unpacked and i can run it but when i load it in olly and try to run it it is not open why ?? i use many upacked programe with this olly and working fine i need to make it working good with olly what is the trick ?? and thnx for ur help agean |
|
|
Создано: 15 июля 2008 11:39 · Личное сообщение · #11 remove threads cryptor + written stolen OEP code + kill program protection functions. rapidshare.com/files/129825349/unpacked.rar.html P.S. use Phantom for hide window olly. |
|
|
Создано: 20 июля 2008 14:40 · Личное сообщение · #12 RSI А для старых версий есть что-нибудь? ExeCryptor 1.x.x - asmtools.com/prod/idchanger.zip |
|
|
Создано: 20 июля 2008 15:51 · Личное сообщение · #13 tihiy_grom пишет: А для старых версий есть что-нибудь? ExeCryptor 1.x.x - asmtools.com/prod/idchanger.zip Это не ExeCryptor |
|
|
Создано: 20 июля 2008 17:39 · Личное сообщение · #14 Vovan666 Действительно, что-то я затупил с определением 
|
|
|
Создано: 21 июля 2008 12:19 · Личное сообщение · #15 RSI программа Folder Vault 2.0.2.32, не могу распаковать твоим анпакером, проблема в том что не находит оеп. ExeCryptor v2.2x - v2.3x прога на Visual Basic 6.0 ссылка на прогу shareua.com/files/show/1425501/Folder_Vault_Setup.rar.html ссылка на екзешник shareua.com/files/show/1425511/exe.rar.html заранее благодарен ----- minimaL_patсh на руборде |
|
|
Создано: 21 июля 2008 12:45 · Личное сообщение · #16 Зайди сюда www.tuts4you.com/download.php?100.list.52.50.download_name.ASC Там есть много анпакеров я правда не пробовал может чтонебуть и найдёш ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 21 июля 2008 12:53 · Личное сообщение · #17 ClockMan пишет: Там есть много анпакеров я правда не пробовал может чтонебуть и найдёш 4итай внимательно, это анпакми, а не автоанпакеры... ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE |
|
|
Создано: 21 июля 2008 16:21 · Личное сообщение · #18 SemDJ спасибки за помощь, но тока RC2 этим не страдает (хоть и не доделана): из лога: Fix IAT in Dump... Success! Dynamic Finding OEP: 3B48 (Crypted code) Exit Process... Done |
|
|
Создано: 17 августа 2008 07:53 · Поправил: SunBeam · Личное сообщение · #19 pavka пишет: RAZUM has it's own deVM engine for EC 2.3.9 and 2.4.x @kioresk Nice work, bro. Keep it up, you love this protector as much as I do Wish I had started with the right stuff in the first place, instead of going around in circles in VM You know what I mean, the console  Let me know, as well, of the progress on that tool. Sounds promising from even the thought of it 
|
|
|
Создано: 17 августа 2008 08:45 · Личное сообщение · #20 sound of VM is good 
|
|
|
Создано: 23 августа 2008 06:56 · Личное сообщение · #21 Hello friend download this execryptor rapidshare.com/files/138643785/EXECryptor226_By_Bijay.rar.html
|
|
|
Создано: 23 августа 2008 08:59 · Поправил: Spirit · Личное сообщение · #22 Bijay What password for install? [edited] Is this fucking RiP of old excryptor cracked by Hexer? [/edited] ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 25 августа 2008 17:37 · Поправил: tihiy_grom · Личное сообщение · #23 RSI Прога из запросов - http://exelab.ru/f/action=vthread&topic=12499&forum=2&page =4#31 Лог из RC1 File: C:\RFRudokop_1.04\RFRudokop_1.04.exe Create Process... PID = 0x584 ... Done Finding signature function unpacking... Done Set breakpoint in function... Done Unpacking section ".text" - YES Unpacking section "se73a7t8" - YES Set memory breakpoint for Extra code section... Done Wait... Fix File CRC... Done Not Find Memory CRC Saving Dump... Done Clear memory breakpoint for Extra code section... Done New TLS Directory: 0 Remove trash from PE Header... Done Find position GetModuleHandleA: Address GetModuleHandle [4AC2E4]. Not Found pointers Error find and reconstruct IAT Exit Process... Done c "Copy/Past original IAT in Dump" вроде всё делает до конца, но дамп получается нерабочий |
|
|
Создано: 25 августа 2008 17:52 · Поправил: SpoliatoR · Личное сообщение · #24 tihiy_grom File: C:\Program Files\Guitar FX BOX 2.7\RFRudokop_1.04.exe Create Process... PID = 0x1090 ... Done Finding signature function unpacking... Done Set breakpoint in function... Done Unpacking section ".text" - YES Unpacking section "se73a7t8" - YES Fix File CRC... Done Not Find Memory CRC Saving Dump... Done RVA IAT: AC230 Find position GetModuleHandleA: Address GetModuleHandle [4AC2E4]. Not Found pointers Patch message <Debugger Detected> (Method 2): None Finding Compiler: MS VC++ 7.0 RVA OEP: 28089 Exit Process... Done У меня почему то так . Хотя файл не рабочий. Может чего не хватает ? ХЗ. 
|
|
|
Создано: 26 августа 2008 10:02 · Личное сообщение · #25 tihiy_grom, SpoliatoR а у вас сам оригинал файла запускается? у меня нет - падает сразу после распаковки секций! поэтому хз че-там. нужен рабочий файл, чтобы проверять баги
|
|
|
Создано: 26 августа 2008 10:54 · Личное сообщение · #26 RSI Да хрень это.... Он и после ручной распаковке падает. |
|
|
Создано: 26 августа 2008 11:07 · Личное сообщение · #27 RSI Человек из запросов пишет, что прога падает, потому что незарегана Так что даже не представляю, рабочий файл там или нет
|
|
|
Создано: 28 августа 2008 10:20 · Личное сообщение · #28 А для dll что-то подобное существует? |
|
|
Создано: 28 августа 2008 10:27 · Личное сообщение · #29 еще не дописано. кидай сюда длл, посмотрим, что можно сделать. ( или у кого-нить время будет ). |
|
|
Создано: 28 августа 2008 11:50 · Личное сообщение · #30 RSI slil.ru/26095664 1.55Mb судя по названиям секций - похоже он |
|
|
Создано: 28 августа 2008 18:49 · Поправил: SunBeam · Личное сообщение · #31 EC DLLs can be unpacked  The only things you need to "fix" are these:
(a) before unpacking, change PE characteristics from .DLL to .EXE (PE header) (b) after unpacking, you have to find OEP yourself The rest works 
P.S.: RSI, mind removing dll/exe type detection on next update? It's annoying to have to drop ONLY .exe. Also, can you make it so .exe/.dll files are read from their .lnk? You need only extract file path from them and voila
E D I T 1 (1) CFF Explorer > File Header > Characteristics - change from 210E to 010E (File is .exe) > Save and overwrite original file (2) Rename ChaosLM.dll to ChaosLM.exe, since RSI detects files by extension 
(3) RSI's Unpacker : Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build] - - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - - - Clear pointer GetModuleHandleA - Patch message "Debugger Detected" - Patch File CRC Check - Patch Memory CRC Check - Remove trash from header - Correct TLS in PE header - Cut sections - Reconstruct Dynamic Import: Enabled - Fix IAT in Dump - Find VM OEP - - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - - File: C:\Documents and Settings\SunBeam\Desktop\ChaosLM.exe Create Process... PID = 0xF50 ... Done Finding signature function unpacking... Done This is EC version >= 2.4.1.0 Set breakpoint in function... Done Unpacking section ".text" - YES Unpacking section "0mn.y9pu" - YES Unpacking section "2basmmbb" - YES Set memory breakpoint for Extra code section... Done Wait... Fix File CRC... Done // fake, you need to fix it manually.. Not Find Memory CRC // of course.. Saving Dump... Done Clear memory breakpoint for Extra code section... Done New TLS Directory: 0 Remove trash from PE Header... Done Find position GetModuleHandleA: Address GetModuleHandle [1000E43E]. Not Found pointers Patch message <Debugger Detected> (Method 3): None IAT Start: 0x10092000 IAT End: 0x10092298 Check Import table for emulate API...Done -> Nothing Fix IAT in Dump... Success! Finding Compiler: Not found RVA OEP: Not Found Exit Process... Done (4) 
Click NO (5) Time to find OEP by hand > OEP: 10078B1E 10078B1E > 55 PUSH EBP 10078B1F 8BEC MOV EBP,ESP 10078B21 53 PUSH EBX 10078B22 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 10078B25 56 PUSH ESI 10078B26 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 10078B29 57 PUSH EDI 10078B2A 8B7D 10 MOV EDI,DWORD PTR SS:[EBP+10] 10078B2D 85F6 TEST ESI,ESI 10078B2F 75 09 JNZ SHORT 10078B3A ^ "stolen" bytes - - C++ 6 .DLL - - copy above, paste and save binary
(6) ChaosLM_u.exe > CFF Explorer > File Header > Characteristics - change from 010E to 210E (File is .dll) > Save and overwrite original file (7) Rename ChaosLM_u.exe to ChaosLM_u.dll E D I T 2 Anti-BP BOOL >> 101EBBA2 B8 01000000 MOV EAX,1 // change to MOV EAX,0 Disable CRC >> 102F52BC 0F9545 F7 SETNE BYTE PTR SS:[EBP-9] // C6 45 F7 00 - - - - - - - - Download » [ http://www.speedyshare.com/634549906.html http://www.speedyshare.com/634549906.html ] - - - - - - - - E D I T 3 You will need PhantOm if you want to run it in Olly, because there's a check for Olly windows: 1005ADA5 55 PUSH EBP 1005ADA6 8BEC MOV EBP,ESP 1005ADA8 E8 D4931600 CALL 101C4181 //call EC_VM_look_for_Olly 1005ADAD E8 2DDF1500 CALL 101B8CDF //set_flag 1005ADB2 5D POP EBP 1005ADB3 C3 RET Either PhantOm (Load driver + Hide Olly windows) or just hex edit 1005ADA5 (55 -> C3) |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 32 . 33 . >> |
|
eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x. |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати