| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x. |
| << 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 03 октября 2007 23:55 · Поправил: Модератор · Личное сообщение · #1 Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build] Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям и их применению находится в readme.txt С пожеланиями и предложениями писать СЮДА!!! 
 c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip
 |
|
|
Создано: 16 июня 2009 22:49 · Личное сообщение · #2 SReg Ты надеешься что после анпакеров прога будет полностью зарегистрирована? 
|
|
|
Создано: 17 июня 2009 01:21 · Поправил: SunBeam · Личное сообщение · #3 MasterSoft If you think I am too lazy to manually unpack or inline these targets, you're wrong I am trying to sort this problem out, to ensure full compatibility.tihiy_grom Thanks, but I've done the unpacking in vmWARE  SReg Some features are not properly solved in some targets. You need to manually fix what the unpacker doesn't do on its own. Plus, you also need to solve the registration scheme - either take kioresk's method for a spin, or just patch the conditionals (if present). If RegConsts are used, we'll be needing a license, I believe.. |
|
|
Создано: 17 июня 2009 11:12 · Личное сообщение · #4 SReg, а это не есть проблема? hттp://s48.radikal.ru/i122/0906/71/44e2d397a5b0.jpg а какже опция - Patch File CRC Check или это не криптовая проверка? Да, эта проверка CRC не EXECryptor'а. У криптора при не совпадении CRC отображается свое стандартное сообщение (File corrupted!), которое нельзя изменить. |
|
|
Создано: 17 июня 2009 11:56 · Поправил: SunBeam · Личное сообщение · #5 SReg Check these:  MD5 test fails   File Upload: PBuilder.exe MD5 value: d74465682266d0bf7996e50f402a9767 File Upload: PBuilder_u.exe MD5 value: 866a509500a09d7cd2fcf0d3f6a912c4 |
|
|
Создано: 17 июня 2009 12:30 · Личное сообщение · #6 SunBeam Thanks! hxxp://s40.radikal.ru/i090/0906/bc/8e0244faf34a.jpg |
|
|
Создано: 17 июня 2009 13:18 · Поправил: SunBeam · Личное сообщение · #7 SReg Not a good solution. The IF|ELSE function is a global one, meaning 5D758C is used for more than just that check. Here's my variant Follow the images (explanation below them)..[1] Initialization of MD5 command-line - translation: make MD5 of %PBFILE%, where %PBFILE% will be shown in a picture below. [2] [3] Here's where OPMD is set to same file (same as %PBFILE%). [4] Pre-MD5 wrapper. [5] MD5-computing caller. Result of that function will be stored in [EAX]. EAX == 13FBC0 in my case. [6] Result of MD5 on the unpacked file [13FBC0] = 866A509500A09D7CD2FCF0D3F6A912C4. This double-quad gets transformed into a string later on My suggestion is to patch this buffer right at MD5_end() Would be more than OK.
|
|
|
Создано: 18 июня 2009 20:31 · Личное сообщение · #8 у меня такой косяк при роспаковке  лог File: C:\Program Files\Pocherk\Pocherk.exe Create Process... PID = 0xF60 ... Done Finding signature function unpacking... Done Set breakpoint in function... Done Unpacking section "CODE" - YES Unpacking section "0mby0a8q" - YES Unpacking section "u554zbwq" - YES при нажатии на кнопку - выходит. в чем проблема?? |
|
|
Создано: 23 июня 2009 15:10 · Личное сообщение · #9 Back again with some more analysis on Paquet Builder It seems it uses a license  That serial will get past the "Install registered version" window, but online activation is required.. |
|
|
Создано: 24 июня 2009 00:52 · Поправил: SunBeam · Личное сообщение · #10 RSI: I debugged the unpacker and landed here with the error T_T.. on XP SP3..  Apparently, an 0xC0000005 exception is generated right after WaitForDebugEvent.. And it's not cuz of Olly.. And from what I read, 7C901228 (which is invalid) is part of this code: ntdll!RtlInitString: 7c901225 57 push edi 7c901226 8b7c240c mov edi,[esp+0xc] 7c90122a 8b542408 mov edx,[esp+0x8] 7c90122e c70200000000 mov dword ptr [edx],0x0 7c901234 897a04 mov [edx+0x4],edi 7c901237 0bff or edi,edi 7c901239 741e jz ntdll!RtlInitString+0x34 (7c901259) 7c90123b 83c9ff or ecx,0xffffffff 7c90123e 33c0 xor eax,eax 7c901240 f2ae repne scasb 7c901242 f7d1 not ecx 7c901244 81f9ffff0000 cmp ecx,0xffff 7c90124a 7605 jbe ntdll!RtlInitString+0x2c (7c901251) 7c90124c b9ffff0000 mov ecx,0xffff 7c901251 66894a02 mov [edx+0x2],cx 7c901255 49 dec ecx 7c901256 66890a mov [edx],cx 7c901259 5f pop edi 7c90125a c20800 ret 0x8 |
|
|
Создано: 14 июля 2009 12:42 · Поправил: Ramiz · Личное сообщение · #11 thnx for ur great unpacker and keep up ;) |
|
|
Создано: 01 ноября 2009 18:49 · Личное сообщение · #12 Подскажите как определить версию ExeCryptor, поскольку прога точно накрыта им, но не Peid ни RDG Packer Detector не могут определить, и кстати где взять DIE. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 02 ноября 2009 12:24 · Личное сообщение · #13 gena-m Распакуй файл и поищи строки «2.3.9» или «2.4.». |
|
|
Создано: 02 ноября 2009 12:53 · Личное сообщение · #14 оф сайт hellspawn.nm.ru/ |
|
|
Создано: 02 ноября 2009 18:49 · Личное сообщение · #15 Спс за ссылку zxcZXC. kioresk ммм даа.. - интересно, что бы распаковать желательно знать точную версию и на чем прога написана, а что бы узнать точную версию нужно распаковать. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 02 ноября 2009 19:01 · Поправил: kioresk · Личное сообщение · #16 gena-m, Точную версию протектора (как и на чем программа написана) не нужно знать, для того чтобы распаковать файл. Если с английским не проблема, то ознакомься немного с теорией в моем старом . |
|
|
Создано: 03 ноября 2009 02:26 · Личное сообщение · #17 gena-m пишет: что бы распаковать желательно знать точную версию да как-то не особо |
|
|
Создано: 07 ноября 2009 15:20 · Личное сообщение · #18 Добрый день. Второй день тока пытаюсь разбираться. Есть файл, у которого наружу торчат только методы называющиеся аналогично этому : _EXECryptor_GetDate. Из чего сделал вывод о том что он запакован ExeCryptor - ом. Скачал Unpacker. Пробую его распакавать получаю в ответ: - - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - - File: C:\Documents and Settings\Администратор\Рабочий стол\SBot_1.43a.exe Create Process... PID = 0x1E0 ... Done Finding signature function unpacking... Not Found ( Code or Data not packed ) Set memory breakpoint for Extra code section... Error Я так понимаю, что это означает отсутствие запакованных данных и кода. Но при попытке прицепится OllyDbg-ером получаю: Module 'SBot_1_4' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints! и далее: Quick statistical test of module 'SBot_1_4' reports that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can be very unreliable or simply wrong. Do you want to continue analysis? Может кто-нибудь подскажет способ сделать этот файл съедобным для OllyDbg? |
|
|
Создано: 07 ноября 2009 15:42 · Личное сообщение · #19 way попробуй на виртуалку поставить чистую систему, и распаковывай в ней |
|
|
Создано: 07 ноября 2009 16:24 · Личное сообщение · #20 tihiy_grom пишет: попробуй на виртуалку поставить чистую систему, и распаковывай в ней Я собственно под виртуалкой и пробую. Потому что надоело систему засорять не понятным мусором. Да и на виртулке снапшоты помогают очень сильно. Вначале пробовал запускать на виртальной машине с XP SP3, но там Unlocker выдает при попытке распаковки Access Violation. Побродил по ветке, увидел запись о том, что лучше под SP2 пробовать. Сегодня нашел в сети образ с SP2, развернул его и сразу стал проверять. Access Violation вылетать перестала, но тект пишет тот же, что не может найти ничего запакованного. Думал может новая версия ExeCryptor, но у них на сайте с 2007 года нет обновлений... Сейчас пытался просто приатачится с OllyDbg к запущенному процесу (после аттача, возобновить выполнение невозможно уже  ). Нашел функцию _EXECryptor_GetEXECryptorVersion. В ней есть строчка:00408136 22B8 F0565D00 AND BH,BYTE PTR DS:[EAX+5D56F0] которая после запуска анализа трансформируется в: 00408136 | 22 DB 22 ; CHAR '"' 00408137 |> \B8 F0565D00 MOV EAX,SBot_1_4.005D56F0 ; ASCII "UNPROTECTED" Это, что получается намек на то, что исполняемый файл не защищен? Кто же тогда активно мешает внутренности ковырять... Сейчас на форумах поискал в поисках чем бы еще попытаться вскрыть модуль. Нашел Syser 1.99.1900.1165. Поставил его. Под ним исполняемый файл практически сразу завершает свою работу. Т.е. отслеживает запуск из под отладчика. Мысль появилась. А не могут другие "упаковщики" под ExeCryptor мимикрировать, чтобы сбить столку... |
|
|
Создано: 07 ноября 2009 16:38 · Личное сообщение · #21 У меня тоже генаильная мысль появилась: может ты всё-таки файл выложишь? |
|
|
Создано: 07 ноября 2009 16:47 · Личное сообщение · #22 tihiy_grom пишет: У меня тоже генаильная мысль появилась: может ты всё-таки файл выложишь? Если я просто укажу урл откуда его скачал так пойдет? Со страницы bot-cave.net/ , прямой линк 89.146.215.204/download/SBot_1.45.zip |
|
|
Создано: 07 ноября 2009 18:11 · Личное сообщение · #23 way там не криптор, а Themida 2.0.5.0 |
|
|
Создано: 07 ноября 2009 18:32 · Личное сообщение · #24 tihiy_grom пишет: way там не криптор, а Themida 2.0.5.0 Спасибо. Буду рыть в этом направлении. А торчащие наружу методы с названиями _EXECryptor - это фишка Themid- ы или просто для отвода глаз? |
|
|
Создано: 07 ноября 2009 20:43 · Личное сообщение · #25 way пишет: Спасибо. Буду рыть в этом направлении. А торчащие наружу методы с названиями _EXECryptor - это фишка Themid- ы или просто для отвода глаз? Нет, это значит что к файлу присоединили модули из SDK EXECryptor'а, потом скомпилировали его, но не навесили криптор (может забыли, может не знали, может специально не защитили по каким-то соображениям). |
|
|
Создано: 21 ноября 2009 00:50 · Личное сообщение · #26 здраствуйте нужна помощь опытных людей. Есть программа накрытая ExeCryptor'ом (может темидой), но программами определяет как ехекриптором. Но суть не в этом. Аттачусь к программе олей (пробывал и 1.10 версией и 2.0) , все нормально, хочу поставить бряк на какойлибо функции, ставлю F2 - и проблемма! когда бряк как бы должен сработать подопытная программа просто тупо виснет - не критует, не вылетает, просто замораживается как бы. При этом в статусе програме в оле написано "Running", и все, ничего не происходит. Стоит только снять бряк - программа размораживается и работает дальше, как ни в чем не бывало. И так постоянно, при любой попытке бряка. Если Хардваре бряк или BPM ставить - то уже на них программа тупо вылетает с ошибкой... Пробывал и с Фантомом и с другими плагинами - безразлично..,, результат один... Может это нормальная ситуация,, но я в тупике,, погуглил такую проблемму, ничего ненашел, в опциях оли полазил, все пересчелкал, а бряки так и не пашут... как быть.. подскажите, что это за фигня...  ps при установке бряка F2 сообщение оля выдает "You want to place BP outside the code section. INT3 bp set on data will not exucute and may have disastrous influence on the debugged program. Do you really want set breakpoint here?" Может изза этого такая штука происходит, но вроде припоминаю в других программах даже с таким сообщением бряки нормально срабатывали. (объясните плз как переводиться эта ошибка и на что может повлиять), (ну я приблизительно догадываюсь что типа бряк ставиться не в программе, а на адрес гдето не в секции кода а типа на адресе виртуальном, который екзекриптор переписал этот код кудато в себя и т.д.) хз.. или если в этом проблемма, как это побороть,, отламывать прот от ехе надо чтоли... но мне этого ненужно собственно |
|
|
Создано: 21 ноября 2009 13:19 · Личное сообщение · #27 Dark40000, будет проще, если ты выложишь файл, который мучаешь. |
|
|
Создано: 21 ноября 2009 14:42 · Поправил: Dark40000 · Личное сообщение · #28 kioresk пишет: будет проще, если ты выложишь файл, который мучаешь. да вообщем это игра lineage 2. поэтмоу ее 5 гигов невыложешь... просто инетересует сам факт,, как так получается что бряк несрабатывает а загоняет программу (в моем слуае игру) в стопор,,, без ошибок, Нехочется связываться ни с какими анпакерами, ничего расспаковывать, а просто потрассировать игрушку, некоторые ее функции. а тут неполучается... что делать.. ? Раньше другие версии трассировал, ставил бряки, - все нормально работало,, а счас чтото намутили наверное с протектором... и неработает ( |
|
|
Создано: 21 ноября 2009 14:54 · Личное сообщение · #29 Dark40000 пробуй другие сборки Olly, или ставь хардварные бряки |
|
|
Создано: 21 ноября 2009 15:13 · Поправил: Dark40000 · Личное сообщение · #30 tihiy_grom пишет: пробуй другие сборки Olly, или ставь хардварные бряки перепробывал если не все,, то очень многие версии оли. во всех одно и тоже, замораживается и никаких действий. хардварные и BPM если ставлю - вылетает игра с ошибкой.... все,, решил. Замечал уже раньше, что когда аттачишся к процессу - всегда х-ня какаета нездоровая происходит. Счас наконецто запустил exeшник через олю - все бряки пашут без проблемм. ура
|
|
|
Создано: 25 ноября 2009 10:59 · Личное сообщение · #31 Свеженькое почитать, мож кому будет интересно: 1filesharing.com/download/MLLHXICO/Tutor_Inline_ExeCryptor_2.x.x_RSI_tPORt_.rar Пока в RAR статьях стоит в очереди... |
| << 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . >> |
|
eXeL@B —› Протекторы —› Unpacker ExeCryptor 2.x.x. |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати