Unpacker ExeCryptor 2.x.x. version 1.0 RC2 [Public Build]

Вот собственно "дампер" перерос в анпакер, вся необходимая дополнительная информация по опциям
и их применению находится в readme.txt

С пожеланиями и предложениями писать СЮДА!!!

c0c4_22.12.2008_CRACKLAB.rU.tgz - Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt.zip

| Сообщение посчитали полезным:

Djeck
ссылка со * жива. убери еще пробел после "1"

| Сообщение посчитали полезным:

gegter пишет:
ссылка со * жива. убери еще пробел после "1"
Всё gegter спасибо за разъяснения.Всё прекрасно качается

| Сообщение посчитали полезным:

билд то приватный но ключа то там все равно нет

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
билд то приватный но ключа то там все равно нет

+ без ключа теперь не упакуешь даже со стандартными опциями.

| Сообщение посчитали полезным:

Если в демке пошифрована только часть кода (антиотладка и т.п.), то в этой по всей видимости всё - Relayer & KO теперь перестраховываются

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Там походу консоль надо ковырять
Начало в дампе, в принципе можно дописать,как и в оболочке,
процедура инит доступна.
Но вот в лоб,табличку не отдерёшь
//Аттач и плуг для импрека не катит.
У мну палево и шварц(терминатиться) в итоге.
//Сучонок процесс крекатит,а проверка отладки позже.Вроде так.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco,

не пойму до конца о чем ты пишешь, но если о распаковке нового криптора, то терминатится он потому что «улучшенный антидебаг» находит фантом.

В 2.4.1 при обнаружении отладчика вызывается Sleep с средним интервалом, а затем ExitProcess.

| Сообщение посчитали полезным:

Bronco пишет:
Там походу консоль надо ковырять

kioresk, похоже Bronco затеял расковырять сам private build
Или я не так понял

| Сообщение посчитали полезным:

консольный иат
PE-kill рулит

| Сообщение посчитали полезным:

не аттачится - да и хрен с ним

| Сообщение посчитали полезным:

Bronco
Может поможет:

1) Для консоли

Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 3 (Private)
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Temp\EXECryptor.V2.4.1.Private\EXECrypt.exe

Create Process... PID = 0xD58 ... Done

Finding signature function unpacking... Done

This is EC version >= 2.4.1.0

Set breakpoint in function... Done

Unpacking section "CODE" - YES

Unpacking section "fkmbntzm" - YES

Unpacking section "4co5q4bc" - YES

Unpacking section "mutn0oel" - YES

Unpacking section "2n4cy1vw" - YES

Set memory breakpoint for Extra code section... Done

Fix Memory CRC at [46BC8D]... Done

Fix File CRC at [745023]... Done

Fix File CRC at [78184C]... Done

Saving Dump... Done

Clear memory breakpoint for Extra code section... Done

Correct TLS...

TLS Directory: 2E7000

Remove trash from PE Header... Done

Find position GetModuleHandleA:

Address GetModuleHandle [47EB56].

Not Found pointers

Patch message <Debugger Detected> (Method 1):

[701E6E] = Write 0xC3

IAT Start: 0x6E2104

IAT End: 0x6E2740

Check Import table for emulate API...Done -> Nothing

Finding Compiler: Borland Delphi

RVA OEP: 87330

Fix IAT in Dump... Success!

Exit Process... Done

2) Для гуи

Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 3 (Private)
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Temp\EXECryptor.V2.4.1.Private\EXECryptor.exe

Create Process... PID = 0xCC8 ... Done

Finding signature function unpacking... Done

This is EC version >= 2.4.1.0

Set breakpoint in function... Done

Unpacking section "CODE" - YES

Unpacking section "atl412iy" - YES

Unpacking section "zoy63r7k" - YES

Unpacking section "a8jm5bt9" - YES

Unpacking section "zfylhg7y" - YES

Set memory breakpoint for Extra code section... Done

Fix File CRC at [535438]... Done

Fix Memory CRC at [56DD39]... Done

Fix File CRC at [570FEE]... Done

Saving Dump... Done

Clear memory breakpoint for Extra code section... Done

Correct TLS...

TLS Directory: E2000

Remove trash from PE Header... Done

Find position GetModuleHandleA:

Address GetModuleHandle [4B5DBB].

Not Found pointers

Patch message <Debugger Detected> (Method 1):

[532864] = Write 0xC3

[5745C0] = Write 0xC3

IAT Start: 0x4DD168

IAT End: 0x4DD988

Check Import table for emulate API...Done -> Nothing

Finding Compiler: Borland Delphi

RVA OEP: D2AB8

Fix IAT in Dump... Success!

Exit Process... Done

P.S. Попозже потесчу поиск OEP от TrueLies и тогда дам заюзать некоторым "хорошим" людям ;)

| Сообщение посчитали полезным:

То есть решил распространять через ПМ? Гарно.

| Сообщение посчитали полезным:

Хехе.. получается как и со стриппером, пишешь в личку и тебе дают приватную версию анпакера?
это так, чисто чтобы знать...

| Сообщение посчитали полезным:

kioresk
По самому криптору всё окей,фантом пока рулит,детекта нет,злыдень у мну, под Олькой летает
Терминатиться тока частично,при востановлении таблички,и то если с оер,а не с атача брать.
Консоль увы,с аттача не возьмёшь....
Пе_киловский скрипт грамотный и с коментами,но мну больше скрипт KaGra прикалует,но они с ОЕР табличку чо то не грызут.Кажись где-то железяки вроде не срабатывают(by KaGra),надо пошагово погонять.
RSI
За лог спасибо,но лучше tree_iat.txt слей для консоли.
Насчёт унпакера сам решай,главное чтоб потом не жалел....

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco,

интересно что он у тебя фантом не детектит, надо будет поиграться ради интереса...

А таблицы для консоли и гуи 2.4.1 лови:

www.box.net/shared/erbm1gyfg6 (7-Zip, 10 Кбайт)

| Сообщение посчитали полезным:

slil.ru/24989147 - консольный иат
есть разница с предыд постом

| Сообщение посчитали полезным:

r99,

да, разница есть.

6E2518 — RegisterWindowMessageA
6E268C — DestroyIcon

6E2518 — RegisterClipboardFormatA
6E268C — DestroyCursor

Только это из-за того что ImpRec неправильно определяет функции (у тебя не вызывают подозрения идущие подряд две одинаковые функции DestroyCursor?).

Если в ImpRec'е нажмешь «Show Suspect», то он выделит эти функции. А если посмотришь в отладчике адреса куда указывают эти ячейки, то убедишься что там как раз RegisterWindowMessageA и DestroyIcon.

Хотя в принципе это мелочь и не влияет на работу дампа, т.е. если оставить RegisterClipboardFormatA/DestroyCursor, то ничего страшного не будет. Пишу просто для сведений, доверяй, но проверяй, как говорится.

| Сообщение посчитали полезным:

Китайцы-таки заломали криптор

EXECryptor.V2.4.1.CracKed.By.[CUG]



-----
in search of sunrise

| Сообщение посчитали полезным:

bloom писали про это. Они его с ключиком заломили. А с ключиком, да еще при наличии знаний как его использовать что бы не засветить ломали и наши люди проги (пример интернетаксесмонитор от санки и пекила)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Ну мля китайцы молодцы! теперь ждем пока у нас появится.

| Сообщение посчитали полезным:

Maximus А кто нам мешал?Заломать с ключиком?

| Сообщение посчитали полезным:

flair никто, но только за ключик надо заплатить кучу уев, а спонсоров нету...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Unpacker EXECryptor v2.x.x beta4 Private by RSI - [Reading Access 140] overwriter
2007-11-2
прикольно шутка что ли?

| Сообщение посчитали полезным:

pavka пишет:
прикольно шутка что ли?

почему? кто то из наших давно туда всё сливает))) мне такой доступ и не снился

з.ы. хотя по-моему кому-то давали 4-ую бетку...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

pavka пишет:
Unpacker EXECryptor v2.x.x beta4 Private by RSI - [Reading Access 140]
overwriter жжжот
он сам хоть может в свою тему зайти ?

-----
in search of sunrise

| Сообщение посчитали полезным:

Hellspawn пишет:
кому-то давали 4-ую бетку
Релиза 4 бетки вроде же не было,то наверно что-то попутали.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Релиза 4 бетки вроде же не было
Была... За разьяснениями по поводу поста у китайцев лучше заинтересованным лицам спросить у RSI

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

bloom, ага жгу))) я постил с ридингом 70 как с РСИ договорились) акцесс был поднят администратором, дабы не читали всякие .
Assass1n, мемберы могут получить прямо сейчас на мило
Bronco, неа не попутали, придет РСИ и разрулит кому дать, а кому не дать

-----
Researcher

| Сообщение посчитали полезным:

overwriter
Мну и третья пока устраивает
Треды/секции покилять,табличку перенести,спёртые дописать- этот марафет не впадлу и вручную до ума довести...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco,
Что нового в beta 4:

- Пофиксены баги в поиске OEP на VC++, Delphi.
- Добавлены сигнатуры для VB и MASM/TASM.
- Добавлены 2 метода удаления "[305]", работают в ситуации когда импорт динамичкский, но чистый.

Известные баги:

- Бага в длл от ap0x, для восстановления импорта (не определяет только функцию InitCommonControlsEx из comctl32.dll)

-----
Researcher

| Сообщение посчитали полезным: