[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

sniperZ

а вот и не баян...

| Сообщение посчитали полезным:

LazyCat пишет:
Именно это я и хочу сделать, а отрезание секций - это моя проблема

насчет записи импорта, чем тут обяснять, скачай статью PE_Kill из раздела Rar статьи, там это есть...

А насчет обрезания секций, то я использую PETools или CFF Explorer, ну или иногда сливаю эти секции в одну...

| Сообщение посчитали полезным:

RSI

мой вопрос то ты совсем не понял да и скрипт похоже не запускал, а раздаешь бесполезные советы !!!

| Сообщение посчитали полезным:

LazyCat пишет:
а раздаешь бесполезные советы !!!
+1...
LazyCat пишет:
Найдя свободное место в дампе, хотелось бы переместить туда импорт и отрезать ненужные секции криптора.
прогу для перемещения импорта я ещё не встречал...да и зачем? проще сразу писать куда надо...

| Сообщение посчитали полезным:

sniperZ пишет:
для перемещения импорта я ещё не встречал
Насколько понял нужно создание новой базы ИАТ.
ArmInline с этой задачей справляется лЁгко
Укажи только куда и размер,под Ольгой заинлайнит куда надо.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

LazyCat пишет:
мой вопрос то ты совсем не понял да и скрипт похоже не запускал, а раздаешь бесполезные советы !!!
Хм вопрос вообще странный LazyCat пишет:
Стандартные многошаговые приемы(с импреком) не предлагать - ведь так неинтересно и неудобно !
Ты или сам не понимаешь о чем спрашиваешь или не понимаешь что делает импрек

| Сообщение посчитали полезным:

LazyCat пишет:
хотелось бы переместить туда импорт и отрезать ненужные секции криптора

Импорт нужно сразу писать на свободное место в программе. Для программ, написанных на Delphi, предварительно, перед записью IAT, надо очистить в дампе секцию IAT (в полученном дампе заполнить эту секцию нолями), иначе ImpREC почему-то дает сбой. В других программах надо найти свободное место (предварительно проверив, чтобы туда программа ничего не писала во время своей работы), и на чистое место вставлять IAT. У криптора можно отрезать последние две секции, а первые две секции нужны для работы программы, поскольку из секции кода туда идет много прыжков.

| Сообщение посчитали полезным:

люди, у кого есть IAT Rebuilder от пе кила версии старше 1.9?

| Сообщение посчитали полезным:

Большое спасибо Bronco & vnekrilov

Вы и мне ответили, а заодно и pavke
А вопрос, действительно, в создании новой базы ИАТ(точнее в ее ремапинге). Это нужно довольно часто при оптимизации дампа после нерадивых хакеров и некоторых анпакеров, когда импорт записан в конце дампа(например импреком). Уточняю для павки, что это для УЖЕ существующих прог, а не сдампленных мною

| Сообщение посчитали полезным:

LazyCat пишет:
Вы и мне ответили, а заодно и pavke
Я вопросов глупых не задавал и прекрасно знаю как работает Импрек
LazyCat пишет:
Это нужно довольно часто при оптимизации дампа после нерадивых хакеров
Дискуссия совершенно лишена смысла ты не понимаешь простых вещей а уже берешься клейть ярлыки
Да и похоже что оптимизация для тебя темное пятно ...
vnekrilov пишет:
ImpREC почему-то дает сбой.
Импрек не дает сбой а таблица оказывается испорченой оставшимися записями ...

| Сообщение посчитали полезным:

pavka пишет:
Я вопросов глупых не задавал ...
Лично от Вас я и умных ответов не услышал. Другие, без выяснения отношений, хоть что-то ответили !!!
pavka пишет:
ты не понимаешь простых вещей а уже берешься клейть ярлыки
Ярлык профана ко мне ты приклеил первый, что неповолительно гуру(коим я теперь Вас не считаю)

| Сообщение посчитали полезным:

LazyCat
Без обид,но вопрос надо правильно поставить,так чтобы не угадывать "мелодию"
Павыч кстати эту тему открыл,и нароботки и свои,и со всего нэта сюда сливает,так что рычать на него не стоит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Павыч кстати эту тему открыл,и нароботки и свои,и со всего нэта сюда сливает,так что рычать на него не стоит
Да и смысл в рычании.Поверь мне иногда и хорошая взбучка не помешает

| Сообщение посчитали полезным:

Djeck пишет:
мне иногда и хорошая взбучка не помешает
Гладиолусов не жалко

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

LazyCat пишет:
рлык профана ко мне ты приклеил первый, что неповолительно гуру(коим я теперь Вас не считаю)
Я не гуру я простой участник форума А вопросы твои даже для сабфорума новичков откровено слабые При этом ты важно надуваешь щеки и шевелишь ушами придавя себе многозначительности изрекая при этом откровенные глупости. В этой ветке обсуждают конкретные вещи по криптору и браться за криптор нужно по крайне мере представлять некоторые элементарные вещи!

| Сообщение посчитали полезным:

Bronco пишет: Павыч кстати эту тему открыл

О великий и ужасный pavka прекланяюсь пред вами, и с радостью даю вам испить чарку высококачественного йаду... травитесь на здоровье

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
О великий и ужасный pavka прекланяюсь пред вами, и с радостью даю вам испить чарку высококачественного йаду
О Maximus уже видать курнул с утраСчастливый человек

| Сообщение посчитали полезным:

pavka пишет:
Импрек не дает сбой а таблица оказывается испорченой оставшимися записями

Это не совсем так. Если в секции что-то записано, а ImpREC пытается поверху записать таблицу IAT, он перезаписывает имеющиеся байты в секции, но при этом пишет неизвестно что. По этой причине я и написал, что ImpREC дает сбой.

| Сообщение посчитали полезным:

Maximus пишет:
и с радостью даю вам испить чарку высококачественного йаду... травитесь на здоровье
Ну я бы сильно удивился если бы эта вонючка не повякала! Жаль есть такое неприятное приложение к форуму ; ( Выделили тебе что ли отдельную ветку для даунов и назначачили тебя там модератором и резвился бы ты там со своим красноречием , шепелявил и фыкал да франкенштен твой хоть бы словарный запас тебе пополнил а то как заеженая пластинка.

| Сообщение посчитали полезным:

pavka пишет: Жаль есть такое неприятное приложение к форуму ; (
Йа рад что порчу вам жизнь, надеюсь буду доставать вашу нервную систему и дальше...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Закругляйтесь разбирайтесь в ЛС чтоли.

| Сообщение посчитали полезным:

vnekrilov пишет:
Если в секции что-то записано, а ImpREC пытается поверху записать таблицу IAT, он перезаписывает имеющиеся байты в секции, но при этом пишет неизвестно что.
О.К Обьясняю на пальцах ;) Смотри я пробую записать табличку поверх существующей в проте который использует оригинальную иат! Импрек просто не будет этого делать выдаст мессагу
Invalid RVA, it does not match a section
Пробую записать в проте что не использует оригинальную иат на пример после криптора импрек все делает получаем испорченую иат Обнуляем значение иат и грузим в олю! видим
0047020C 0007101C
00470210 7C80B529 kernel32.GetModuleHandleA <----
00470214 0007103C
00470218 0007104E

00470314 0007149C
00470318 000714B0
0047031C 77BF18BA <---
00470320 000714C6
00470324 000714D8
00470328 000714EA
0047032C 000714F8

004705C0 00071F94
004705C4 77D5749F <---
004705C8 00071FBC
004705CC 77D6EEE8 <----
004705D0 00071FD2
004705D4 00071FE8
004705D8 00071FFE
004705DC 00072014
004705E0 00072026
004705E4 0007203A
004705E8 00072048
004705EC 00072058
004705F0 77D6F3D4 <-----
004705F4 00072074
004705F8 0007208C
004705FC 000720A4

00470640 77D5DA71 <----
00470644 00000000
00470648 00000000
0047064C 00000000
00470650 0007075C
00470654 00070000
00470658 00000000


обнуляем оставшиеся не заполненые нулями значения сохраняем восстанавливаем значения иат и получаем нормальную табличку ;)

| Сообщение посчитали полезным:

Maximus пишет:
Йа рад что порчу вам жизнь, надеюсь буду доставать вашу нервную систему и дальше...
Забавный ты все же парень ;) при всех пукаешь и наивно полагаешь что это только меня касается! воздух то ты для всех портишь..

| Сообщение посчитали полезным:

Bronco пишет:
Без обид,но вопрос надо правильно поставить,так чтобы не угадывать "мелодию"
Да я и не обижаюсь, просто делаю из этого выводы. А вместо оскорблений нужно было просто поправить "вопрос". Я так понял, что смысл его так ни до кого не дошел
Павыч кстати эту тему открыл,и нароботки и свои,и со всего нэта сюда сливает
Вообще-то и я хотел поучавствовать, тем более, что есть чем поделиться. И опыта по слому криптора у меня хватает(пусть pavka думает иначе).

pavka пишет:
Я не гуру я простой участник форума
А я обращался именно к гуру(читай внимательно пост) и не понимаю, почему ты отозвался ?
А вопросы твои даже для сабфорума новичков откровено слабые
Если ты вопрос не понял, то это не значит, что вопрос слабый !
В этой ветке обсуждают конкретные вещи по криптору и браться за криптор нужно по крайне мере представлять некоторые элементарные вещи
Я и попытался это сделать, но увы не дали

| Сообщение посчитали полезным:

Чо то у мну,причино-следственные связи теряются,при чтении вольнодумства.
А воз то и по ныне там//я про криптор,точнее про полиморф
---------
Ну и так на злобу дня,....учитесь своё дерьмо,держать при себе."Пылесосить" - не мужская забава.!!!!
Если у кого то,дома теливизор поломался,это не значит,что здесь, можно погоняловом мести.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco,

ну почему же, еще в 2005 году softworm частично описал принцип работы полиморфа, а softbihu слегка дополнил его. Просто никто особо в этом направлении не копает или на паблике не распространяется.

1. softworm: EXECryptor 2.2.6 VM incomplete analysis http://bbs.pediy.com/showthread.php?t=17763
2. softbihu: EXECryptor 2.X.X VM incomplete analysis http://bbs1.pediy.com/showthread.php?t=29537

| Сообщение посчитали полезным:

kioresk пишет:

Просто никто особо в этом направлении не копает или на паблике не распространяется.

+1

Действительно, до х... тучи статей и туторов по дампу и восстановлению импорта говнопрота, масса частных примеров, а метаморф так и не проанализирован.

| Сообщение посчитали полезным:

OFFTOP

LazyCat пишет:
мой вопрос то ты совсем не понял да и скрипт похоже не запускал, а раздаешь бесполезные советы !!!

Ебть! а как же твои глупые вопросы то понимать.... такой флуд из-за тебя начался!

LazyCat пишет:
Я так понял, что смысл его так ни до кого не дошел

А ты сначала подумай может ты долбоеб и тупишь по-страшному, а все другие нормальные.

Мля терпеть не могу выскачек................

OFFTOP

Все больше не буду тут и так хватает, если человек не понимает это его проблемы....

Теперь по теме:
Sey
и какую статью ты представляешь при анализе метаморфа, мне кажется что бы человеку обьяснить надо листов 100 + исходники декриптора

ИМХО почти ни кто такую писать не будет...

| Сообщение посчитали полезным:

RSI пишет:
и какую статью ты представляешь при анализе метаморфа
видимо два поста на китайском форуме kioresk пишет:
Просто никто особо в этом направлении не копает или на паблике не распространяется.
Или не дают какLazyCat

| Сообщение посчитали полезным:

1. не дождавшись помощи и понимания, выкроил время и сам написал прогу для автоматического
ремапинга импорта, так что тема закрыта
2. kioresk - молодец, именно эти статьи меня толкнули на написание деморфера(кстати, принцип
там очень прозрачен, но я натолкнулся на 2 маленьких проблемы, по поводу которых и хотел в
дальнейшем посоветоваться)
3. но в свете тотального хамского отношения к чужому мнению на этом форуме, я думаю обсуждать здесь
что-либо бесполезно, да и вредно для нервной системы !!!

За сим откланиваюсь.
НАВСЕГДА.

| Сообщение посчитали полезным: