Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

Valemox
Это намёк на то что можно вписать эту функцию в начало треда)))
ARCHANGEL
Спасибо))

-----
Research For Food

| Сообщение посчитали полезным:

Valemox пишет:
И в WaitForSingleObject пробовал ставить таймаут и в 0 и в 50 (как грил RSI ) все беспонту, х.з. хоть код дописывай вручную

хе-хе. я же не говорил что только таймаут нужно выставить

в некоторых прогах с EC 2.4.1 были траблы, с тем что если кильнут потоки криптора, то прога начинает валиться на ошибках памяти (через стек уодит не туда ). когда мне такое попалось, я разбирался из-за чего это. в том варианте было след. образом.
стартует поток и криптор берет его HANDLE и ксорит с адресом возврата из кола в стеке. далее запускает сам поток с WaitForSingleObject( INFINITE ), поток работает и в конце своей работы делает аналогичную операцию ксора в стеке, тем самым это и был трюк, из-за которого не получалось просто убить потоки.

ВОТ поэтому я сделал WFSO на 50 ms и вставил код в начало потока.

00D7AA02 36:8B03 MOV EAX,DWORD PTR SS:[EBX]
00D7AA05 36:3143 04 XOR DWORD PTR SS:[EBX+4],EAX
00D7AA09 33C0 XOR EAX,EAX
00D7AA0B C3 RETN

и сразу все заработало! здесь возможно, что-то будет отличаться...

| Сообщение посчитали полезным:

RSI
Во млин как, вот в такое еще никто и нигде не посвящал (хитрый трюк). Опробуем его деле, СПС.
daFix
Закончишь возиться ежли, дык выложишь свою поделку для меня (хочу глянуть)?
Лана, пшел дале ковырять тоды (уже стало интереснее как-то даж).

| Сообщение посчитали полезным:

А разве если релоки кривые, прога будет работать? А в моем случае работает, но только на машине к которой привязан криптором.
ps. Какой самый свежий Relox на данный момент? Мой выдал те же самые, что и анпакер, за исключением одного RVA, в котором нашел больше адресов, но после фикса дллка вообще не ралотает.

| Сообщение посчитали полезным:

Valemox
Кинь в личку свою аську

-----
Research For Food

| Сообщение посчитали полезным:

Отлом протовских тредов делается по схеме, описанной kioresk-ом в соседнем топике по EC.

| Сообщение посчитали полезным:

RSI, огромный респект за анпакер!
Все-таки я это сделал, автор добавил в эту чОртову дллку проверку на мак компа =)
А анпакер сработал отлично (не считая косяка, про который отписался уважаемый RSI)

| Сообщение посчитали полезным:

может я чего-то недопонял, при распаковке выводит -
File: C:\proga\proga.exe
Create Process... PID = 0xE2B0 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Exit Process... Done

после этого файл остается таким же как и прежде.....

| Сообщение посчитали полезным:

vav79
это из-за ServicePack3. Поставь себе систему с SP2 и всё будет ок

| Сообщение посчитали полезным:

tihiy_grom пишет:
это из-за ServicePack3. Поставь себе систему с SP2 и всё будет ок

да как бы на SP3 всё работает

| Сообщение посчитали полезным:

Gideon Vi
RSI отписывал что могут быть проблемы с драйвером фантома. Но я себе на виртуалку ставил чистый SP3 - и такая же фигня была

| Сообщение посчитали полезным:

у меня сп3 тоже... но вроде пашет...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

tihiy_grom пишет:
RSI отписывал что могут быть проблемы с драйвером фантома

о фантике как бы речи небыло

tihiy_grom пишет:
Но я себе на виртуалку ставил чистый SP3 - и такая же фигня была

в виртуалке косяк. У меня на варе последнии версии армагеддона не работают

| Сообщение посчитали полезным:

Gideon Vi
Ну хз, что мне RSI сказал про фантом - то я и отписал тут. Да и на реальной системе (не виртуальной) с SP3 у меня тоже не работает анпакер

| Сообщение посчитали полезным:

ну, значит не судьба. Однако в целом сабж на sp3 работает и у меня не получается найти причин для того, чтобы ему не работать

| Сообщение посчитали полезным:

Может, что знающий народ подскажет. Пытаюсь распаковать это прогу
hxxp://terrnight.ru/wp-content/uploads/2008/08/nag22.rar

1. Дамп получается под 200 метров. В exe файле настораживает присутствие секции примерно такого же размера. В результате распаковка до конца не доходит.

2. Можно удачно распаковать прогу, если она сразу ключ запрашивает?

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: E:\My Downloads\2009_02_05\2\Night ArticleGen.exe
Create Process... PID = 0xD34 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "v590wjuh" - YES
Unpacking section "fuk6zyf1" - YES
Unpacking section "r9atqt88" - YES
Set memory breakpoint for Extra code section... Done
Wait...
Fix File CRC... Done
Not Found Memory CRC
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: BFAC000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [C3D60B4].
Find reference on pointer [C3E0694] - Yes = Type2 - pointer clear
Save changes... Done
Error! Can't Alloc memory
Error! Can't Alloc memory

| Сообщение посчитали полезным:

x_art

попробуй отключить опцию Find VM OEP
а секция в 200 мб (BSS) лечится в других топиках

(достаточно посмотреть как выглядят параметры секции BSS у непакованных прог)

| Сообщение посчитали полезным:

r99 пишет:
а секция в 200 мб (BSS) лечится в других топиках

Плз, ткни носом где. А то поиск задействовал - не нашел.

| Сообщение посчитали полезным:

x_art
лови
rapidshare.de/files/45071520/Night_ArticleGen_u.rar.html

| Сообщение посчитали полезным:

RSI
Большое спасибо. Для общего развития сам хотел поразбираться

| Сообщение посчитали полезным:

RSI привет вообщем расспаковал твоим анпакером, дамп получается нерабочий, посмотри пожалуйста. Очень нужна прога
ссылка на екзешник не расспакованый
shareua.com/files/show/2406191/MemoryOptimizer.rar.html
ссылка на прогу
shareua.com/files/show/2406221/setup_2.exe.html

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ
лови - rapidshare.de/files/45102825/MemoryOptimizer_u.rar.html

анпакер че-то ступил. я не думал что его будут на таких опциях защиты юзать.

чисто пакер - там только упаковка кода стоит, остальное все чистое ( импорт, OEP ).

| Сообщение посчитали полезным:

RSI Огромное Спасибо. Решили просто запаковать для уменьшения размера

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

RSI
А свой анпакер будешь по этому поводу фиксить?

| Сообщение посчитали полезным:

Анпакер зависает на строчке:
Unpacking section ".itext" - YES

Что может быть?

| Сообщение посчитали полезным:

progopis
даже не знаю, я вообще-то начал анпакер переписывать с ноля и с помощью киореска доделать восстановление спертого кода. но неизвестно как скоро это все будет.

WELL
возможно упакованный файл заинлайнен, иногда из-за этого бывают траблы.

| Сообщение посчитали полезным:

RSI хотел распаковать Funny Creatures
что-то не получилось.Может если будет время посмотришь
http://www.astatix.com/files/rus/fcreatures_rus.exe http://www.astatix.com/files/rus/fcreatures_rus.exe

| Сообщение посчитали полезным:

Lampik
Нормально распаковывает с такими настройками:
(поставь галки)
Clear pointer GetModuleHandleA
Patch message "Debugger Detected"
Method 1
Remove trash
Reconstruct Dynamic Import
Fix IAT in dump
Find OEP

| Сообщение посчитали полезным:

LIZARD
У мну и так не хочет...

з.ы ща вручную OEP нашел. Если я не ошибаюсь, 00405250

| Сообщение посчитали полезным:

SVIN95
сори, неуглядел... Remove trash тоже надо отключить

| Сообщение посчитали полезным: