| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...) |
| << 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 20 сентября 2006 18:14 · Поправил: Модератор · Личное сообщение · #1 [url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar ]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar [/url] http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z  |
|
|
Создано: 18 сентября 2007 20:01 · Личное сообщение · #2 LazyCat пишет: 2. kioresk - молодец, именно эти статьи меня толкнули на написание деморфера(кстати, принцип там очень прозрачен, но я натолкнулся на 2 маленьких проблемы, по поводу которых и хотел в дальнейшем посоветоваться) гм, не стоит так все категорично воспринимать...пиши, спрашивай... 
|
|
|
Создано: 18 сентября 2007 20:16 · Личное сообщение · #3 LazyCat Надо же сколько пафоса!!!! 
Ещё раз без обид,но то что ты пишешь - это театр одного актёра.
К чему эти репризы с монологами? Пункт третий,явно протеворичить первым двум,и больше смахивает на повод соскочить,а не на вывод от местного обьщения.
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 18 сентября 2007 20:53 · Личное сообщение · #4 А где собстна сами стотьи, в постах? И если да, то как перевести.. очень интересно что там понаписали.... ----- StarForce и Themida ацтой! |
|
|
Создано: 18 сентября 2007 23:40 · Личное сообщение · #5 Взяли человека обосрали, делать нехуй чтоли ? |
|
|
Создано: 18 сентября 2007 23:57 · Личное сообщение · #6 NIKOLA пишет: Взяли человека обосрали, делать нехуй чтоли ? да чёт я тоже не въехал что это было =\ за что парня то? ну дерзок он был, дык тут половина такие же
----- [nice coder and reverser] |
|
|
Создано: 19 сентября 2007 00:53 · Личное сообщение · #7 Hellspawn пишет: за что парня то? Не выдержал экзамен на профпригодность.Говорит что имеет опыт,а азов не знает.А главное,что аргументы не свои,причём запоздалые. К примеру автор вопроса,не знал как правильно его задать(за это его никто не винит),но через сутки тулзу написал.У мну сомнения. Да и потом что значит авторемапинг?Хотелось бы подробней,без хлопанья дверьми. Табличку перенести мало,надо ещё по коду call[]/jmp[] выправить в неё.Можно конечно и скриптом это сделать под Ольгой,но ArmInline в связке с дебугером,лихо эту задачу решает.Насчёт демофера по скрипту Павка прав,что это утопия.Учитывая всё предыдущеё,тож есть повод для сомнений. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 19 сентября 2007 03:28 · Поправил: pavka · Личное сообщение · #8 Bronco пишет: Да и потом что значит авторемапинг? Тож интересно послушать ;) Вообще то свою позицию всегда доказывают делом а не пустой болтовней! Яркий пример Еволюшн ;) Вообще забавные ребята kioresk к к примеру there is simpler way to make dumped file running on different OS. You need to dump EXECryptor's sections before initialization (before dword's with API/ImageBases addresses filled): 1. Place breakpoint on write on necessary section, run, you'll land in unpacking procedure 2. Remove bp, go to the end of unpacking procedure (after jcc or jmp) 3. Place new breakpoint on write on that section, run, you'll land in address fixing procedure 4. Remove bp, go to the end of procedure (after jcc or jmp) 5. Dump section(s) and paste it into dumped file After that, if OEP is stolen and you set the beginning of stolen OEP as entry point in PE header, you need to disable CRC check and «[305] Debugger Detected…» message. Debugger detected message is displaying because section was dumped before initialization and EXECryptor didn't paste retn at some address. You can find that address by comparing uninitialized section with initialized one. There will be some retns (C3). One of them is our retn, so find that address and paste C3 there. CRC check can be removed by correcting jump after _lopen (when EXECryptor tests if file was successfully opened) or after _lclose, when it compare calculated hash of file with the stored constant (just follow some instructions and you'll find it). Ну я понимаю во это нормальная работа ExeCryptor Dumper version 0.1 beta 1 by RSI Вот дописал тулзу - это дампер для прог накрытых криптором. ---------------------------------------------------------------------- ------------------------------------------------------------------- Итак что он делает: 1) Дампит прогу, причем в дампе секции криптора остаются не инициализированными, т.е. этот дамп должен работать на других осях. 2) Ищет указатель на GetModuleHandleA и если находит, то обнуляет его ( эта фишка обсуждалась выше ) 3) Фиксит TLS ( если она не нужна то обнуляет ) а у вас сплошное словоблудие |
|
|
Создано: 19 сентября 2007 06:30 · Поправил: Maximus · Личное сообщение · #9 Больной приходит на прием и говорит - Доктор, меня все игнорируют Доктор - Следующий 
Maximus пишет: А где собстна сами стотьи, в постах? И если да, то как перевести.. очень интересно что там понаписали.... to pavka: Ну вот фигли ты до людей докапываешься... Есть йа, докапывайся до мну.. У меня нервная система крепкая, да и просто могу на йух послать (+ не боюсь если ты меня встретишь и попытаешься начистить репу, как ты обычно это делаешь с непохеками (бугого) )... гг, задовил человека своим "авторитетом".... to RSI: Уже проверял работу дампера на прогах, все работает замечательно... А в чем трудность прикрутить туда восстановления импорта и убитие проверок CRC? Может всем вместе взяться за это? ----- StarForce и Themida ацтой! |
|
|
Создано: 19 сентября 2007 09:29 · Личное сообщение · #10 Maximus пишет: Ну вот фигли ты до людей докапываешься Создаёшь впечатление,что помимо сломанного TV,ещё и подруга кинула.
Порычать не на кого?С твоим рангом,не солидно так себя позиционировать. Фуйами кидаться просто,но с дуру можно и сломать.
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 19 сентября 2007 10:26 · Поправил: Maximus · Личное сообщение · #11 Bronco вот умеешь ты смысл моих постов неулавливать, а смысл был такой Maximus пишет: А где собстна сами стотьи, в постах? И если да, то как перевести.. очень интересно что там понаписали.... Так не кто и не ответил...((( Остальное было написано не для тебя.... P.S: Додо, мы уже поняли что вы с пафкой друзья до гроба, и что вы его будете защищать до упора даже если он глубоко не прав, но я буду к пафке полюбому относится плохо, и ничего вы со мной не сделаете... да и на будущее телега у меня нет, и никогда не было, подруг достаточно что бы вы позавидовали их количеству, по этому если одна уйдет, останется еще несколько, бугого... ----- StarForce и Themida ацтой! |
|
|
Создано: 19 сентября 2007 11:24 · Личное сообщение · #12 Maximus Окей!Принцип работы бумеранга знаешь?
умеешь ты смысл моих постов неулавливать Именно этот,до сих пор не уловил, считай ты тыкнул пальцем в небо.Это причина.
Так не кто и не ответил...((( А это следствие причины.
мы уже поняли что вы с пафкой друзья до гроба Вас много? Ну я ваще на форум захожу, не ИОНУ искать.
но я буду к пафке полюбому относится плохо Дело личное,но без причины(назови хотя бы три адекватных),это признак дурачины. и ничего вы со мной не сделаете... А это как бы проявление дурачины. по этому если одна уйдет, А это как снежный ком с горы,значит есть причины,вумен трепачей не любят. Maximus пишет: Остальное было написано не для тебя.... Тоды пиши в ПМ.А иначе скинемся Ara на пулемёт.
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 19 сентября 2007 12:04 · Личное сообщение · #13 Maximus пишет: Уже проверял работу дампера на прогах, все работает замечательно... А в чем трудность прикрутить туда восстановления импорта и убитие проверок CRC? Может всем вместе взяться за это? Нашел небольшой баг при поиске указателя на GetModuleHandleA надо будет пофиксить, + на тот момент не знал про фишку с 0xC3, из-за которой вылазиет «[305] Debugger Detected…» , тож надо будет пофиксить. и подумываю дописать функу которая будет фискить CRC, уже есть наработки в этом плане ( kioresk хорошо помогает... ) Если все возмутся трудностей не будет, а пока нужно будет еще СДЕЛАТЬ восстановление импорта... |
|
|
Создано: 19 сентября 2007 13:37 · Личное сообщение · #14 Bronco Да пусть вякает! ;) Maximus пишет: У меня нервная система крепкая, Кроме пищеварительной ни какой другой системы у тебя нет да и та слабая потму как жрешь обьедки! Ну покуражься раз тебе дозвольяют повеселишь хорошо так кинем тебе чего нить на бедность Казланова ты местный;) Подруг то как зовут левая ? правая? |
|
|
Создано: 20 сентября 2007 17:43 · Личное сообщение · #15 ExeCryptor Dumper version 0.1 beta 2 Итак что нового: 1) Поправил кое-какие баги с поиском... и немного оптимизировал его. 2) Теперь ждет пока запишется 0xC3, чтобы не вылетал мессадж «[305] Debugger Detected…» 3) Добавил функцию убивания CRC ( пока на стадии тестирования ) она фиксит тока проверку CRC, а не убивает треды... Одним словом будут баги пишите...  77d4_20.09.2007_CRACKLAB.rU.tgz - ExeCryptor_Dumper beta2.rar
|
|
|
Создано: 20 сентября 2007 19:24 · Личное сообщение · #16 RSI Если это важно: Поиск адреса GetModuleHandleA... Не найден Поиск сигнатуры правки 0xC3... Не найден ----------- Компиль Borland C++ ----------- Подкинул табличку к дампу,стартует,но потом вылазит мессага EAccessViolation. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 20 сентября 2007 20:29 · Личное сообщение · #17 Bronco если EAccessViolation вылазит на твоей тачке, то это точно не GetModuleHandleA. Похоже больше на CRC проверку ----- StarForce и Themida ацтой! |
|
|
Создано: 20 сентября 2007 20:53 · Личное сообщение · #18 Bronco что за прога? |
|
|
Создано: 20 сентября 2007 21:11 · Личное сообщение · #19 Я так понял, в этот топик пишут три вида людей. 1. Авторы экзекриптора 2. Авторы полного унпуцкера ехекриптора 3. Кому делать нех Причем каждый стремится убедить другого, что ОН круче
|
|
|
Создано: 20 сентября 2007 21:28 · Личное сообщение · #20 Ara если вести статистику, то подобное в 80% топиков
Bronco Это лишь показывает что, скорее всего защита без этого или старая версия криптора. Вот если бы написало "Ошибка!", тогда... Но хотелось бы увидеть прогу, если допустимого размера. Заодно интересуют у кого есть какие версии криптора, особенно интересно было бы глянуть на 2.4.0 RC1 У меня пока есть тока 2.3.9.0
|
|
|
Создано: 20 сентября 2007 23:15 · Личное сообщение · #21 RSI пишет: скорее всего защита без этого Всё правильно,не самые злобные опции. Версию не знаю,наверно где-то 2.2.4. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 20 сентября 2007 23:32 · Личное сообщение · #22 RSI молодца,чё ещё сказать.  Ещё не много и будет анпакер к криптору.
Кстати так для справки:анпакал(дампил) ещё твоим первым релизом прог пять и одна...стала полностью функциональной без триала,ест-венно запускается и работает норм.Из гавна осталось токо триальное окно.Залез его убирать,а там код такой  .Вообщем чёрт хер там свой сломает.
|
|
|
Создано: 21 сентября 2007 11:22 · Личное сообщение · #23 Djeck Да уж! если защита криптора, то код там в гавно. Счас начал писать поиск VM OEP Finder, пока для Delphi, Borland C++, Visual Basic |
|
|
Создано: 21 сентября 2007 11:32 · Личное сообщение · #24 RSI пишет: начал писать поиск Солидно!!!! Да и на этом этапе,уже польза огромная.
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 21 сентября 2007 13:04 · Личное сообщение · #25 RSI Возможно есть,а может и нет,но плаг для имрека рабочий. Падает правда на GetProcAddress,остальные функи трейсит. С миру по нитке,мож и будет унпротер. 67e7_21.09.2007_CRACKLAB.rU.tgz - плуг.rar
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 21 сентября 2007 14:23 · Личное сообщение · #26 Bronco Спасибо! но у меня такой уже с пол года лежит, не нравится он мне, т.к. я пару раз его пробовал и плоховато, если можно так сказать, получалось. Пока разберусь с OEP, а дальше если будет время и sniperZ не напишет восстановитель, то придется писать свой. Просто хотелось бы попробовать работу на разных версиях криптора, а вот где их взять... ( анпакми не предлагать )
|
|
|
Создано: 21 сентября 2007 14:59 · Личное сообщение · #27 RSI пишет: т.к. я пару раз его пробовал и плоховато, если можно так сказать, получалось. Плуг делал Дероко! имхо проще свяжись с ним возможно поможет |
|
|
Создано: 21 сентября 2007 15:00 · Поправил: kioresk · Личное сообщение · #28 RSI, http://www.dandan.us/Tools/dir=PACK/Protectors/EXECryptor/ http://www.dandan.us/Tools/dir=PACK/Protectors/EXECryptor/ — EXECryptor 1.5.3 — EXECryptor 2.0.34 — EXECryptor 2.1.1 — EXECryptor 2.1.4 — EXECryptor 2.1.6 — EXECryptor 2.1.9 — EXECryptor 2.1.15 — EXECryptor 2.1.17 — EXECryptor 2.1.20 — EXECryptor 2.1.21 — EXECryptor 2.2.5.1 — EXECryptor 2.2.6.Cr — EXECryptor 2.2.6 — EXECryptor 2.3.0 — EXECryptor 2.3.4 — EXECryptor 2.3.7 — EXECryptor 2.3.9 — EXECryptor 2.4.rc1.b2 |
|
|
Создано: 21 сентября 2007 15:08 · Личное сообщение · #29 pavka ну пока попробуем своими силами, а там если что так и сделаю... kioresk Спасибо! то что нужно...
|
|
|
Создано: 21 сентября 2007 15:42 · Личное сообщение · #30 RSI пишет: не нравится он мне Жуём то что имеем,и рады.
В качестве банального примера расмотрим на PrevedSMS.5.1
Тупо дампим,правим tls,затираем импорт,анализируем в Ольге,дописуем начало.Твоей тулзой,так вообще всё лихо.
Трейсим в Импреке оригинал,там только с четырьмя функами косячки.Догадаться не трудно.
И криптор в этом случае,со своей антиотладкой идёт лесом. 
От таких фактов,от хохмы удержаться трудно.
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 30 сентября 2007 09:17 · Личное сообщение · #31 Вопрос для обсуждения!!! При распаковке программ, упакованных ExeCryptor, и восстановлении таблицы IAT, имеется много переадресованных APIs. Пакер находит реальные адреса API следующим образом: 1. Сначала он находит базовый адрес нужной библиотеки, который записывает по определенному адресу. 2. Затем он находит реальные адреса APIs данной библиотеки, и хэши этих APIs пакер записывает по другим заданным адресам. 3. Когда какая-то API еще раз вызывается программой, он проверяет наличие хэша для этой API, после чего, используя этот хэш, пакер определяет реальный адрес API. Когда мы восстанавливаем таблицу IAT с помощью скрипта, вместо переадресованных значений APIs, мы записываем их реальные адреса, применительно к конкретной OS, установленной на машине. При запуске ImpREC, для восстановления таблицы IAT, вместо реальных значений API, утилита записывает имена данных APIs, которые загрузчик программы, при распаковке программы в память машины, преобразует в реальные адреса APIs. Естественно, что когда имеется восстановленная таблица IAT, программа не будет использовать код пакера, связанного с определением реальных адресов APIs, а это означает, что записанные в дампе памяти программы базовые адреса библиотек и хэши APIs, которые были определены пакером при прохождении на OEP программы, программой больше не используются. Возникает вопрос, почему возникают проблемы с запуском распакованных программ на машинах с другими версиями OS? Мне понятно, почему, например, нельзя запустить дамп, полученный в Windows XP, в OS Windows 98 или ME в которых не применяется библиотека ntdll.dll. Аналогичные функции из этой бибилотеки находятся в Kernel32.dll, и чтобы программа запускалась в Windows 98 или ME, нужно сделать замену таких APIs на имеющиеся APIs в данной OS. Или имеются еще какие-то проблемы, которых я не заметил. |
| << 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 25 . 26 . >> |
|
eXeL@B —› Протекторы —› EXECryptor (Туторы, скрипты, плагины, ...) |
Для печати