Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

LIZARD
спасибо всё сработало

| Сообщение посчитали полезным:

Lampik, у мну все-равно не работает. Я OEP хоть правильно определил?

| Сообщение посчитали полезным:

Ребят не знаю какую траву вы курите у меня все нормально разанпачило и работает.

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Disabled
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Program Files\Funny Creatures\FunnyCreatures.exe
Create Process... PID = 0x584 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "jv.81fv7" - YES
Unpacking section "f30ul0v1" - YES
Unpacking section "f79dxb7n" - YES
Wait...
Not Found File CRC
Not Found Memory CRC
Saving Dump... Done
RVA IAT: 54000
New TLS Directory: 58000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [454A50].
Not Found pointers
Patch message <Debugger Detected> (Method 1): None
Dynamic Finding OEP: Error dynamic OEP finder
Static Finding OEP:
Finding Compiler: Borland Delphi
RVA OEP: 4E934
Exit Process... Done

| Сообщение посчитали полезным:

Доброго времени суток ...
RSI
у меня не работает версия 1.0 RC2
Валится прямо после установки брекпоинта, сразу на Exitcode.
Изменение всех или любых опций увы не помогает ...
Вы не могли бы посмотреть, в чем собственно дело ...
Уж очень нужно, но интереснее всего, почему падает ...

Сайт разработчика - www.gdgsoft.com/pb/index.aspx
релиз - hxxp://www.torry.net/tools/install/install/pbinst.exe
Лог работы таков:

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2



- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -



- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Cut sections

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP



- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -



File: C:\Program Files\Paquet Builder\PBuilder.exe

Create Process... PID = 0xC98 ... Done

Finding signature function unpacking... Done

Set breakpoint in function... Done

Exit Process... Done

| Сообщение посчитали полезным:

gar_Maxx
Открой глаза пошире и почитай предыдущую страницу, начиная с 9 поста

| Сообщение посчитали полезным:

tihiy_grom

все - вопрос снят ...

RSI wrote:
такие баги бывают от:

1) антивирусов ( у меня с каспером не дружит )

2) если загружен драйвер фантома

3) иногда на Win2000.

ну и если енто уже не распаковать анпакером, то подскажите хоть как снять корректный дамп ?
все туторы, что я нашел (около 12 штук), не подходят для ентой проги
либо валится при memory bpx on access, то не нахожу указанные в туторах куски кода ...
кстати OEP в проге при простом тупом дапировании такое ... (ОЕР=5DA134)
только с адреса 005DA176 начинается нормальный код ...

CODE:005DA138 dd offset sub_5D994C
CODE:005DA13C ; ---------------------------------------------------------------------- -----
CODE:005DA13C jmp loc_714750
CODE:005DA141 ; ---------------------------------------------------------------------- -----
CODE:005DA141
CODE:005DA141 loc_5DA141: ; CODE XREF: CODE:005D9596j
CODE:005DA141 call sub_730950
CODE:005DA146 daa
CODE:005DA147 cmp [edx-3FF8B0B6h], ebx
CODE:005DA14D mov dh, 0E9h
CODE:005DA14F popf
CODE:005DA150 test dword ptr [edx], 8EFA8100h
CODE:005DA156 pusha
CODE:005DA157 add [ebp-15D08017h], bh
CODE:005DA15D dec dword ptr [ebx+4Bh]
CODE:005DA160 inc esp
CODE:005DA161 and al, 22h
CODE:005DA163 xlat
CODE:005DA164 mov edx, 33208964h
CODE:005DA169 rcl byte ptr [ebp+68h], cl
CODE:005DA16C bound esp, [ebx-9BFFA3h]
CODE:005DA172 xor ah, [ecx+ecx*4+22h]
CODE:005DA176 mov eax, ds:off_5E6B0C
CODE:005DA17B mov eax, [eax]
CODE:005DA17D call sub_4587B4
CODE:005DA182 mov eax, ds:off_5E6B0C
CODE:005DA187 mov eax, [eax]
CODE:005DA189 mov edx, offset dword_5DA3C0
CODE:005DA18E call sub_4583B8
CODE:005DA193 lea edx, [ebp-18h]
CODE:005DA196 xor eax, eax
CODE:005DA198 call sub_402D54
CODE:005DA19D mov eax, [ebp-18h]
CODE:005DA1A0 lea edx, [ebp-14h]


Ну вот RSI файло мне и распаковал ...
RSI
ОГРОМНОЕ СПАСИБО !!!

но я хотел-бы теперь руками снять ...
кто-нибудь поможет бедному бродяге ...?

| Сообщение посчитали полезным:

RSI
Вот наткнулся на какой-то --> бот <-- http://link_deleted_by_forum_engine/files/cg766iixj . Пейд говорит EXECryptor V2.2X

Но твой распаковщик не взял. Крутил и так и так...Импорт не видит ни в какую.И распаковывает только первую секцию. Интересно было бы снять и поковырять саму программу.

| Сообщение посчитали полезным:

Странно, версию 1.3.7h этого бота без проблем распаковало, только антиотладку вручную пришлось отключать, после удачного подмена ключа, он у меня даже запустился, только работает не правильно, в игру заходит но сделать там ничего нельзя и некоторые кнопки неправильно реагируют, но мне кажется тут я, что то напортачил..)

| Сообщение посчитали полезным:

RSI, прошу прощение, что не в запросах, думаю здесь будет вернее.



Вот тут мы имеем exception со стороны приложения (4.3 Mb) http://multi-up.com/66666 , игнорируем, получаем процесс в памяти под 25-30% CPU + окучивающий его анпакер. Ждал 2 часа, результатов не дождался. Дайте совет.

Что на файле висит EC у меня сомнений практически не осталось.

ЗЫ. Если что просмотрел в поиск, приношу свои извинения. Номер у залитого файла не шутка, так получилось )

| Сообщение посчитали полезным:

RUNaum, х.з. почему анпакер от RSI виснет (он сам ответит), но руками вроде получилось (ссыль удалена) правда, с отладко по BP, проблема попрежнему присутствует.

| Сообщение посчитали полезным:

Valemox
эт тока на одной прожке так, я знаю почему, но фиксить ради нее одной нету смысла =)

там опции криптора как у пакера(только упаковка кода), че-то часто такие примеры стали попадаться.

P.S. а какой пароль на архив?

| Сообщение посчитали полезным:

RSI пишет:
там опции криптора как у пакера...
Да я уж понял это (там и гавнотредов нету), кста, такой пример тож поймал 1-й раз тока.

| Сообщение посчитали полезным:

Доброго время дня, господа
пробую одну прогу, или "Failed to Initialize Properly" (без IAT copy/paste) или валится в дебаггер (с ним)
1) Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\123\bc\BCommander.exe
Create Process... PID = 0xD00 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "1r7gvbj8" - YES
Unpacking section "vec6aba4" - YES
Set memory breakpoint for Extra code section... Done
Wait...
Fix File CRC... Done
Test!!! Memory and File CRC on 2.4.xx ( VA = 75A8D4) ... Done
Not Found Memory CRC
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
New TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [401199].
Not Found pointers
Patch message <Debugger Detected> (Method 3): OK
IAT Start: 0x450000
IAT End: 0x4506F0Error! Terminate
Check Import table for emulate API...Done -> Error! [100] fun invalid
Error
Exit Process... Done

2) Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Copy / Past original IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\123\bc\BCommander.exe
Create Process... PID = 0x548 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section ".text" - YES
Unpacking section "1r7gvbj8" - YES
Unpacking section "vec6aba4" - YES
Wait...
Fix File CRC... Done
Test!!! Memory and File CRC on 2.4.xx ( VA = 75A8D4) ... Done
Not Found Memory CRC
Saving Dump... Done
RVA IAT: 10E5
New TLS Directory: 0
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [401199].
Not Found pointers
Copy / Past Original IAT... Done
Patch message <Debugger Detected> (Method 1): OK
Dynamic Finding OEP: 2C3EF (Non Crypted)
Exit Process... Done

сам екзе здесь htp://multi-up.com/78627,
может длл не доставать - докину

буду благодарен за помощь

| Сообщение посчитали полезным:

sendersu
ругается на отсутствие FTChipID.dll, докинь

| Сообщение посчитали полезным:

LIZARD извиняюсь, здесь (похоже будет достаточно етих двух )
htpз://multi-up.com/78944

кстати - интересное сообщение из лога - This is EC version >= 2.4.1.0 ......
ну и ето конечно -

IAT Start: 0x450000
IAT End: 0x4506F0Error! Terminate
Check Import table for emulate API...Done -> Error! [100] fun invalid

| Сообщение посчитали полезным:

sendersu
все равно вылетает с ошибкой "Error code: 0x10002", что то не хватает, видимо
но анпакается без ошибок с настройками по дефолту, хотя файл может и не рабочий

sendersu пишет:
IAT Start: 0x450000
IAT End: 0x4506F0Error! Terminate
Check Import table for emulate API...Done -> Error! [100] fun invalid

IAT Start: 0x450000
IAT End: 0x4506F0
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... Success!
Dynamic Finding OEP: 2C3EF (Non Crypted)
Exit Process... Done

rghost.ru/196337

| Сообщение посчитали полезным:

NTFS Data Recovery v.4.1.1.0
EXECryptor V2.2X-V2.4X а может и выше
Анпакер не срабатывает. Выдает
File: C:\Program Files\The Undelete Company\Ntfs Data Recovery\NTFS Data Recovery.exe
Create Process... PID = 0x5B8 ... Done
Finding signature function unpacking... Done
Set breakpoint in function... Done
Exit Process... Done

и на этом все!
ссылка на exe
multi-up.com/93272
ссылка на прогу
the-undelete.com/ntfs_data_recovery.exe

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

sendersu
а эта http://www.diskinternals.com/ntfs-recovery/ очень похожа на твою прогу но unpacker ее берет.
кто у кого содрал интересно.

| Сообщение посчитали полезным:

SemDJ
у меня нормально распаковало, видимо с аверами не дружит или фантом был включен ( хард. бряки не сработали ). так что попробуй на чистой системе

| Сообщение посчитали полезным:

SemDJ, у мну тож номан распакалось, тока с импортом придетцо пошаманить.

| Сообщение посчитали полезным:

RSI
Valemox

Блин поставил уже на варю чистую систему, запустил та же херня. Завтра попробую на другом компе, не понятно в чем трабла.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ пишет:
Блин поставил уже на варю чистую систему

не знаю за сабж, но на виртуалках работают далеко не все тулзы. Пример: армагеддон.

| Сообщение посчитали полезным:

@RSI: I have some problems here, unpacking files on Windows XP SP3. Same problem appears when I use Windows XP SP2 and update it via Microsoft Update. There's a certain KB update that makes unpacker error everytime I try to unpack ANY target.. Can this be looked over? Want me to help in any way?

--

EDIT: I saw something in your log about fixing IAT from SP0 to SP1. When app fails to unpack, it fails right in that same exact spot -> Rebuilding IAT...Error..

| Сообщение посчитали полезным:

Here you go, RSI. Maybe I can start by installing individual SP2 hotfixes and identify which of them cause this issue? o_O



And don't say "reinstall Windows", cuz it doesn't work that way. I put a clean SP2 (no hotfixes), and it WORKS. I apply all hotfixes I could find on Windows Update (SP2 hotfixes), DOESN'T WORK. Reinstalled Windows SP2, no hotfixes. Applied SP3 (which includes also the SP2 hotfixes), and STILL DOESN'T WORK.

So, you see my point..

| Сообщение посчитали полезным:

SunBeam +1, у меня есть аналогичная проблема и аналогичная ошибка. Я думал это только у меня ввиду моей программы. Оказывается нет.

| Сообщение посчитали полезным:

uselab
У проекта давно не выходили новые версии. Вы думаете авторы прота сидят сложа руки и проходят мимо него?

| Сообщение посчитали полезным:

progopis пишет:
Вы думаете авторы прота
(автор). да, так и есть, так как никаких новостей на сайте нет.

| Сообщение посчитали полезным:

progopis пишет:
У проекта давно не выходили новые версии. Вы думаете авторы прота сидят сложа руки и проходят мимо него?
А сам прот так часто обновляется, да?

SunBeam uselab
Ваще инфы до фига. Читайте, изучайте и анпачте ИМХО ручками надо, ручками.....

| Сообщение посчитали полезным:

progopis
файл нормально распаковывается, проблем не заметил

SunBeam, try it
rapidshare.com/files/245242471/PBuilder_u.rar.html

| Сообщение посчитали полезным:

tihiy_grom пишет:
файл нормально распаковывается, проблем не заметил
а это не есть проблема? hттp://s48.radikal.ru/i122/0906/71/44e2d397a5b0.jpg
а какже опция
- Patch File CRC Check
или это не криптовая проверка?

| Сообщение посчитали полезным: