Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

klim
Помогите распаковать EXE.
Ты действительно уверен шо он запакован?

| Сообщение посчитали полезным:

Larry пишет:
Только программа почему-то dll-ку не ловит.

А она и не должна ее ловить.

| Сообщение посчитали полезным:

Помогите распаковать. Заранее спасибо

-----
Research For Food

| Сообщение посчитали полезным:

RSI пишет:
вот проверь:
А ты релоки чем сделал? Какой утилью.

Кстати пошла интересная тенденция на игры от игровых автоматов. Dll Intruder нужна для сопряжения игры с сервером и частичной правки самой игры, чтобы та шла не прося оборудование которое стоит на аппаратах. По идее можно поправить саму Game.exe и тогда Intruder.dll становится практически не нужна, остается только ее единственная функция сопряжения сервера на выдачу кэша с игрой. Кстати кто-то добил данные комплекты игр?

| Сообщение посчитали полезным:

я релоки Relox крутил. пока свое алго не готово

| Сообщение посчитали полезным:

HNail
Выложи тут, у меня с рапидой проблемы
Кто нибудь перезалейте

-----
Research For Food

| Сообщение посчитали полезным:

[del]

| Сообщение посчитали полезным:

RSI
Кстати а ты уверен что OEP верный?
В случае у Larry OEP у тебя получился в другое место и при этом внутри EXE есть 3-и call на этот OEP.
У распакованного файла daFix более похоже на правду, да проверил OEP должен быть как у daFix.
Тогда прога dll'ку запускает нормально.

| Сообщение посчитали полезным:

HNail
Всё рабочее на 100%
Спасибо RSI, выручил

-----
Research For Food

| Сообщение посчитали полезным:

Помогите пожалуста распоковать


rapidshare.com/files/158611859/intruder_pack.rar.html

| Сообщение посчитали полезным:

HNail пишет:
Кстати пошла интересная тенденция на игры от игровых автоматов. Dll Intruder нужна для сопряжения игры с сервером и частичной правки самой игры, чтобы та шла не прося оборудование которое стоит на аппаратах. По идее можно поправить саму Game.exe и тогда Intruder.dll становится практически не нужна, остается только ее единственная функция сопряжения сервера на выдачу кэша с игрой. Кстати кто-то добил данные комплекты игр?

удалось...она наша!!!!

| Сообщение посчитали полезным:

У меня тоже получилось IgroSoft отЪучить!

| Сообщение посчитали полезным:

RC1 не берёт, видать новая версия криптроа

ccb7_07.11.2008_CRACKLAB.rU.tgz - BB5_King_Activator_V1.exe

-----
Research For Food

| Сообщение посчитали полезным:

Спасибо, чёт туплю

-----
Research For Food

| Сообщение посчитали полезным:

daFix
там импорт чистый. ( сними галку Reconstruct Import )

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Disabled
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Temp\BB5_King_Activator_V1.exe
Create Process... PID = 0xB34 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "6u05837p" - YES
Unpacking section "ke8ccccy" - YES
Fix Memory CRC... Done
Not Find File CRC
Saving Dump... Done
RVA IAT: 78000
New TLS Directory: 77000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [478F58].
Not Found pointers
Patch message <Debugger Detected> (Method 1): OK
Finding Compiler: Borland C++
RVA OEP: 1426
Exit Process... Done

| Сообщение посчитали полезным:

daFix
Тыкни пимпочку "Copy / Past original IAT in Dump"

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Copy / Past original IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: D:\BB5_King_Activator_V1.exe
Create Process... PID = 0xAB4 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "6u05837p" - YES
Unpacking section "ke8ccccy" - YES
Fix Memory CRC... Done
Not Find File CRC
Saving Dump... Done
RVA IAT: 78000
New TLS Directory: 77000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [478F58].
Not Found pointers
Copy / Past Original IAT... Done
Patch message <Debugger Detected> (Method 1): OK
Finding Compiler: Borland C++
RVA OEP: 1426
Exit Process... Done


RSI раньше отписал

| Сообщение посчитали полезным:

Is it possible to crack the activator or the main exe?

The main BB5King.exe can be unpacked by RSI unpacker.

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]



- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: D:\Nokia_bb5king_v10b.exe
Create Process... PID = 0xBCC ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "mrs16qvf" - YES
Unpacking section "9u5i.879" - YES
Unpacking section "c3goafch" - YES
Set memory breakpoint for Extra code section... Done
Wait...
Fix File CRC... Done
Fix Memory CRC... Done
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: F1000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [5620B4].
Not Found pointers
Patch message <Debugger Detected> (Method 3): OK
IAT Start: 0x4F211C
IAT End: 0x4F2F08
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... Success!
Finding Compiler: Borland C++
RVA OEP: 1596
Exit Process... Done

| Сообщение посчитали полезным:

norberto_
Now I work at main EXE, I think it is possible if you have dongle for this prog. But you messtake by topic...

klim, Yokel, vav79 кажется вам пора бы создать отдельный топик... Не надо засерать этот

-----
Research For Food

| Сообщение посчитали полезным:

ok it was just a question not more, sorry for my mistake, i know the request topic.

| Сообщение посчитали полезным:

klim пишет:
HNail пишет:
Кстати пошла интересная тенденция на игры от игровых автоматов. Dll Intruder нужна для сопряжения игры с сервером и частичной правки самой игры, чтобы та шла не прося оборудование которое стоит на аппаратах. По идее можно поправить саму Game.exe и тогда Intruder.dll становится практически не нужна, остается только ее единственная функция сопряжения сервера на выдачу кэша с игрой. Кстати кто-то добил данные комплекты игр?

удалось...она наша!!!!

Раскажите пожалуйста поподробнее как получилось отвязать от железяки......
заранее Спс.

| Сообщение посчитали полезным:

RSI, а OEP у прог написанных Borland C++ builder 5 он должен? Просто распаковал твоим распаковщиком программу, но OEP он не нашел. Потом открыл его в оле и нашел, он был не краденным. Так должно быть и какой-то глюк? Программа - solo на клавиатуре 9.0

| Сообщение посчитали полезным:

У кого есть мануалы по распаковке экзекриптора?

| Сообщение посчитали полезным:

Yokel
В rar-статьи сходи

| Сообщение посчитали полезным:

Это где?

| Сообщение посчитали полезным:

Yokel зайди и посмотри где там статьи по execryptor

http://exelab.ru/rar/

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SunBeam пишет:
EC DLLs can be unpacked The only things you need to "fix" are these:

(a) before unpacking, change PE characteristics from .DLL to .EXE (PE header)
(b) after unpacking, you have to find OEP yourself

The rest works

P.S.: RSI, mind removing dll/exe type detection on next update? It's annoying to have to drop ONLY .exe. Also, can you make it so .exe/.dll files are read from their .lnk? You need only extract file path from them and voila

E D I T 1

(1) CFF Explorer > File Header > Characteristics - change from 210E to 010E (File is .exe) > Save and overwrite original file

(2) Rename ChaosLM.dll to ChaosLM.exe, since RSI detects files by extension

(3) RSI's Unpacker :

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Documents and Settings\SunBeam\Desktop\ChaosLM.exe
Create Process... PID = 0xF50 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "0mn.y9pu" - YES
Unpacking section "2basmmbb" - YES
Set memory breakpoint for Extra code section... Done
Wait...
Fix File CRC... Done // fake, you need to fix it manually..
Not Find Memory CRC // of course..
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [1000E43E].
Not Found pointers
Patch message <Debugger Detected> (Method 3): None
IAT Start: 0x10092000
IAT End: 0x10092298
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... Success!
Finding Compiler: Not found
RVA OEP: Not Found
Exit Process... Done

(4)

Click NO

(5) Time to find OEP by hand > OEP: 10078B1E

10078B1E > 55 PUSH EBP
10078B1F 8BEC MOV EBP,ESP
10078B21 53 PUSH EBX
10078B22 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8]
10078B25 56 PUSH ESI
10078B26 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
10078B29 57 PUSH EDI
10078B2A 8B7D 10 MOV EDI,DWORD PTR SS:[EBP+10]
10078B2D 85F6 TEST ESI,ESI
10078B2F 75 09 JNZ SHORT 10078B3A

^ "stolen" bytes - - C++ 6 .DLL - - copy above, paste and save binary

(6) ChaosLM_u.exe > CFF Explorer > File Header > Characteristics - change from 010E to 210E (File is .dll) > Save and overwrite original file

(7) Rename ChaosLM_u.exe to ChaosLM_u.dll


E D I T 2

Anti-BP BOOL >> 101EBBA2 B8 01000000 MOV EAX,1 // change to MOV EAX,0

Disable CRC >> 102F52BC 0F9545 F7 SETNE BYTE PTR SS:[EBP-9] // C6 45 F7 00

- - - - - - - -

Download » [ www.speedyshare.com/634549906.html ]

- - - - - - - -

E D I T 3

You will need PhantOm if you want to run it in Olly, because there's a check for Olly windows:

1005ADA5 55 PUSH EBP
1005ADA6 8BEC MOV EBP,ESP
1005ADA8 E8 D4931600 CALL 101C4181 //call EC_VM_look_for_Olly
1005ADAD E8 2DDF1500 CALL 101B8CDF //set_flag
1005ADB2 5D POP EBP
1005ADB3 C3 RET

Either PhantOm (Load driver + Hide Olly windows) or just hex edit 1005ADA5 (55 -> C3)


Прокомментируйте этот пост пожалуйсто! Реально ли так dll'ки распаковывать?

| Сообщение посчитали полезным:

Yokel пишет:
Реально ли так dll'ки распаковывать?
а чего не реального релоки сделай

| Сообщение посчитали полезным:

pavkaподскажи пожалуйста чем релоки лучще сделать

| Сообщение посчитали полезным:

Yokel пишет:
чем релоки лучще сделать
Да хоть чем, можешь попробовать Reloz? можешь сам в ольке сделать ребейз скриптом или сделать дампы по разным базам и заюзать релокс

| Сообщение посчитали полезным:

Всем привет

в общем-то уже прошел почти год как вышла версия RC1, пора бы уже малость обновить сабж.

Итак давно уже обещал, но не хватало времени. Сразу скажу, что ничего супер нового в ней нет.
В основном исправил некоторые баги которые встретил в RC1 + добавил динамический поиск OEP и распаковку длл. Это основные изменения. Остальное читайте в ридми.

ОГРОМНОЕ СПАСИБО kioresk за то, что помогал с решением некоторых задач + доработал и перевел readme для анпакера.

сразу скажу что никаких приватных версий у мя нету

P.S. в общем это типа новогодний билд

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным: