Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Так вот проблема решается, если дать импреку отладочные привилегии, кто что думает по этому поводу?
Правильно. Это старая бага ImpRec-а после версии 1.4. Лечится правкой условного перехода на безусловный в API NtOpenProcess после проверки за call _SeSinglePrivilegeCheck

| Сообщение посчитали полезным:

YDS пишет:
Лечится правкой условного перехода на безусловный в API NtOpenProcess после проверки за call _SeSinglePrivilegeCheck
У меня есть свой вариант, может, кому будет интересно.

4a23_05.01.2009_CRACKLAB.rU.tgz - ImportREC_patched.exe

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

@ RSI

Here http://www.exelab.ru/f/action=vthread&forum=1&topic=10070& page=17# you helped

with hands to defeat ExeCryptor

I did a compare: You changed 10 bytes at position 0097AA02 and 1 byte at position 009F834B.

Could you explain how to do this for other exe like the newer ones from the following installers or in general:

http://www.dc-unlocker.com/uploud/uploud/uploads/dc-unlocker_client-1. 00.0137.exe

http://www.dc-unlocker.com/uploud/uploud/uploads/dc-unlocker_client-1. 00.0229.exe

Thanks in advance.

| Сообщение посчитали полезным:

Распаковал файл unpacker'ом от RSI с опцией patch message "Debug Detected", в итоге при попытке запуска данного файла из под wine или в ollydbg, все равно срабатывает защита EC с сообщением Debugger Detected с кодом выхода. Пробовал отключить треды после распаковки, как описано в rar-статьях - в итоге файл вываливается с ошибкой Error E0(224)

| Сообщение посчитали полезным:

DeSh
И чё ты хочешь? Просто решил поплакать что анпакер не справился? Файл бы хоть выложил, если помощь нужна

| Сообщение посчитали полезным:

tihiy_grom, Нет, конечно же не поплакаться!
Файл загрузил сюда (3 зеркала)
slil.ru/26533872
dump.ru/file/1420968
www.rapidshare.ru/887051

(кроме исполняемого файла в архиве минимальный набор компонентов борланд, без которых программа не запускается.)

PEID
EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1) *

Лог работы Unpacker'а от RSI

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2



- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -



- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Cut sections

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP



- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -



File: C:\Program Files\Клиника 2004\kl3000.exe

Create Process... PID = 0xF14 ... Done

Finding signature function unpacking... Done

Set breakpoint in function... Done

Unpacking section "CODE" - YES

Unpacking section "clapiy8t" - YES

Unpacking section "qujzidir" - YES

Unpacking section "x3ptrfyz" - YES

Unpacking section "2ji8igh." - YES

Set memory breakpoint for Extra code section... Done

Wait...

Fix File CRC... Done

Not Found Memory CRC

Saving Dump... Done

Clear memory breakpoint for Extra code section... Done

New TLS Directory: 0

Remove trash from PE Header... Done

Find position GetModuleHandleA:

Address GetModuleHandle [404556].

Find reference on pointer [51FA38] - Yes = Type2 - pointer clear

Save changes... Done

Patch message <Debugger Detected> (Method 3): OK

IAT Start: 0x41C438

IAT End: 0x41CC80

Check Import table for emulate API...Done -> Nothing

Fix IAT in Dump... Success!

Dynamic Finding OEP: 19C40 (Crypted code)

Exit Process... Done

| Сообщение посчитали полезным:

DeSh
для отключения потоков патчи:

1) установка таймаута 50 ms для WaitForSingleObject

004C968F B9 50000000 MOV ECX,50
004C9694 90 NOP
004C9695 870C24 XCHG DWORD PTR SS:[ESP],ECX

2) заглушка функции потока.

004DA253 C2 0400 RETN 4


DeSh пишет:
с опцией patch message "Debug Detected", в итоге при попытке запуска данного файла из под wine или в ollydbg, все равно срабатывает защита EC с сообщением Debugger Detected с кодом выхода

ты не путай. о разных вещах говоришь. анпакер фиксит примочку криптора [305] Debugger Detected.
сообщения об найденных отладчиках [224] и т.п. cюда не надо сваливать.

P.S. после киляния потоков бери фантом и достаточно только скрыть инфу из PEB чтобы файл запускался.

| Сообщение посчитали полезным:

RSI
после киляния потоков бери фантом и достаточно только скрыть инфу из PEB чтобы файл запускался
Дык, он под новым фантиком даж и с потоками запускается нормуль, но не яссо для чего нужен таймаут в 50s в WaitForSingleObject, туда по дефолту FFFF запихан.
Нето, как-то антидебаг не получаецо напрочь отломить

| Сообщение посчитали полезным:

эт привычка. в EC 2.4.1. зачастую нельзя ставить таймаут 0, т.к. нужно править код потока, чтобы он выполнился и скорректировал адресс возврата в стеке.

ну да. под фантомом летает. просто в ольке не совсем не удобно отлаживать многопоточное приложение.

| Сообщение посчитали полезным:

RSI
...зачастую нельзя ставить таймаут 0..
Во-во, тот я и думаю, чо когда пихаю в WaitForSingleObject таймаут в 0 (как во всех туторах пишут), то со стеком явно чот нето твориться.
просто в ольке не совсем не удобно отлаживать многопоточное приложение
Эт не страшно, привыкнуть мона при желании большом.
Спс, за инфу, буду пробовать так
ЗЫ. Кста, давно об этом хотел у тебя спросить и мечта т.с. сбылась

| Сообщение посчитали полезным:

RSI, Спасибо за подсказку!

| Сообщение посчитали полезным:

Честно говоря потоки лучше не отключать, лучше просто антиотладку отключить.

В принципе есть способ как найти начало крипторовской антиотладки (а также crc файла и памяти) без разбора вм, на выходных попробую описать.

| Сообщение посчитали полезным:

kioresk
Потоки нада отключать, т.к. они будут мешать работе портабла и иногда даже грузят проц.

А вот у меня к сожалению никак не выходит это отломить, вместе с антидебагом заодно. Теперь уже отломил линк уже удален.
Вопрос снят.

| Сообщение посчитали полезным:

Господа, помогите плиз с чертовым интрудером.
Я так понимаю уже некоторые справились.

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Fix Relocs: Enabled
- Correct TLS in PE header
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\novocasino\intruder.dll
Create Process... PID = 0xFC0 ... Done
Load Dll Base = 0x10000000
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section ".payload" - YES
Unpacking section "hxm1cw3d" - YES
Unpacking section "td6rbjg." - YES
Find function fix relocs... Done
Wait...
Fix File CRC... Done
Not Found Memory CRC
Saving Dump... Done
Set memory breakpoint for Extra code section... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [1001F0B4].
Not Found pointers
Patch message <Debugger Detected> (Method 3): None
IAT Start: 0x10010000
IAT End: 0x10010198
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... Success!
Fix relocs... Done
Create new reloc directory... Done
Static Finding OEP:
Finding Compiler: MS VC++ DLL
RVA OEP: 50ED
Exit Process... Done

| Сообщение посчитали полезным:

Пробовал запихивать импорт с помощью импрека.
Гружу процесс, выбираю dll, OEP он сам берет из заголовка DLL, остальное выставляю из того,
что мне говорит анпакер, находит 4 валидных и 3 - нет.
Подскажите, что можно придумать еще?
Проблема, похоже, в импорте и как ее решить я пока не придумал.

UPD. Прога выдает "Точка входа в процедуру ShellExecuteA не найдена в библиотеке DLL Kernel32.dll"
UPD2. Если тупо скопить импорт, то длл-ка тупо не цепляется, ОЕP? Как ее искать? ДЛЛка в предыдущем посте.

| Сообщение посчитали полезным:

V3
эт бага анпакера. неправильно функцию восстановил в импорте.
сделай через ImpRec только в kernel32.dll вместо ShellExecuteA вбей CreateThread.

OEP из анпакера бери.

P.S. можешь после анпакера, просто в хексе строчку поменять на CreateThread'\0'

ПРАВКА: Не постите логи в теме, лучше аттачьте и описывайте проблему!!!

| Сообщение посчитали полезным:

Ребята, а подскажите, как отключить защиту в EC с кодом выхода 224 или в чьей статье можно прочитать? В общем нужно снять EC, чтобы файл запускался в wine, без срабатывания антиотладочной защиты.

| Сообщение посчитали полезным:

RSI, thanks a lot =). Все отлично. Правда походу еще какая-то проверка осталась в дллке, буду искать.

| Сообщение посчитали полезным:

DeSh, может я чего-то не понимаю, но если удалось распаковать файл, то при чем тут ЕС, можно просто той же идой посмотреть на код, она отлично показывает трэпы...А если нет, то олли со свежим фантомом (по крайней мере у меня он вполне справляется)

| Сообщение посчитали полезным:

V3
Да, ты чего-то не понял. В проге после распаковки всёравно остаётся крипторовский код, который создаёт потоки, в которых и происходят всевозможные проверки.
Там вроде больше небыло проверок. Может быть релоки не правильно восстановились?

-----
Research For Food

| Сообщение посчитали полезным:

daFix
+1
вот его то (код) и надо весь отламывать вместе со всеми тредами, тоды и будет счастие и полный анпак.
Кста, если в ольке замочить все треды окромя основного, то прога серавно робит без глюков. Вся беда в том, чо надо это реализовать без ольки, чоб прога сама эти треды не создавала и при этом успешно запускалась. Скока сотрел туторов на ету тему, везде все не то, как надо.

| Сообщение посчитали полезным:

daFix,Valemox благодарю за инфо.
А с дллкой я пока не разобрался, она работает на машине к которой привязана криптором, а на остальных валится. Треды лишние не создаются, я думал, может GetModuleHandleA неправильный...
Вот с помощью loaddll и olly ковыряю дальше.

| Сообщение посчитали полезным:

Valemox
Распаковываю твой файл руками, распаковал, но получаю ошибки доступа к памяти:
Инструкция по адресу "0x00613fc1" обратилась к памяти по адресу "0x00168640" - при открытии
Инструкция по адресу "0x00613fc1" обратилась к памяти по адресу "0x00168640" - при закрытии
Не сталкивался с таким? Очень похоже на какую-то встроенную систему регистрации. Кажется эта ошибка происходит где-то в потоке, потому что паралельно ошибке запускается и сама прога и нормально функцианирует, пока не закрыть сообщение об ошибке

-----
Research For Food

| Сообщение посчитали полезным:

Valemox пишет:
вот его то (код) и надо весь отламывать вместе со всеми тредами, тоды и будет счастие и полный анпак.
Вот это и интересовало. Если бы кто ткнул носом в подробный мануал на данную тему, был бы премного благодарен.

| Сообщение посчитали полезным:

daFix пишет:
Там вроде больше небыло проверок. Может быть релоки не правильно восстановились?
Там - это где? В моем приаттаченом файле или где-то в другом месте?

| Сообщение посчитали полезным:

V3
Наверняка это релоки... Возьми их из dll, распакованной с помощью анпакера.

Вопрос по проту - в нём есть проверка на наличие бряка в первоб байте API. Эта проверка в проте одна на все функции или привязана только к одной функии? В конкретном случае - 0061F099

ADDED:
DeSh
Не... Я это сказал V3. Сейчас копаю файл, что выложил Valemox

ADDED:
Вопрос решён - проверка общая))

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Я его распакал анпакером, правда OEP правил руками и импорт восстанавливал сам и секцию прота последнюю отрезал (она не нужна оказалась) и файл на моей машине без проблем запускается, но треды (всего 12 штук включая основной) палят по-прежнему деб (если без фантика) и жизни не дают свободной. А при запуске и закрытии косяков не было, а рега там в самой проге реализована (не протовская). Хотел треды отломить, нифига - всякие ошибки начинают валиться по доступу чтения или записи.
ЗЫ. Думаю эт козни прота при работе тредов со стеком (махинации со стеком, хотя не факт)

| Сообщение посчитали полезным:

По ходу дела ещё один вопрос - Как правильно грохнуть поток? Если ставить RET в начале потока,
то кажись потом начинаются проблему со стеком.

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Если ставить RET в начале потока,
то кажись потом начинаются проблему со стеком.
В книге Рихтера всё как раз с точностью наоборот, он именно так делать и рекомендует. И я так в прогах, пакованных ExeCryptor'ом делал - всегда работало, но, во всяком случае, ExitThread никто не отменял

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

daFix
В том то и дело, чо если поток вначале сразу грохать, то тоды точно будут проблемы. И в WaitForSingleObject пробовал ставить таймаут и в 0 и в 50 (как грил RSI ) все беспонту, х.з. хоть код дописывай вручную, чоб мочил эти треды после запуска (это уж накрайняк и некрасиво как-то бут).
ARCHANGEL
эт намек на то, чо есть еще где-то проверка прота на выполнение тредов и ежли чо не так, то СЕХ имеем? Я ток обоими руками ЗА, чоб ети треды сразу при рождении гасить от них тока один головняк.

| Сообщение посчитали полезным: