[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

flair пишет:
создает неудаляемые скрытые ключи в реестре?
Да удалить из реестра можно,способы разные.
В какую ветку реестра записи идут?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

NIKOLA пишет:
А вы не думали что, не криптор ключик создал, а может и файлик
Думали.И регмоном и файлмоном и всякой другой хернёй проверял,но такое чувство что файл девственно чистый,без разрешения в реестр не чего не пишет,файлы не трогает и вообще на нашем компе не установлен.

| Сообщение посчитали полезным:

Djeck пишет:
И регмоном и файлмоном
И в лучшие времена,от них особого толку не было....
Шнырять по системе,по ходу бесполезно,параноей пахнет...
Надо сам криптор ковырять куды и чо он креатит,сцуко...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

flair пишет:
Вы что не знали что он создает неудаляемые скрытые ключи в реестре?Что то не помню что бы их удалял
Trial-Reset.

Удаляет. И TrashReg тоже

| Сообщение посчитали полезным:

Bronco пишет:
Шнырять по системе,по ходу бесполезно,параноей пахнет...
Надо сам криптор ковырять куды и чо он креатит,сцуко...
Отмониторьте КАМ ом все функи для работы с реестром

| Сообщение посчитали полезным:

BroncoЧто бы конкретно ветку не помню.В этом разделе HKEY_USERS
Сейчас как раз нет этого пакера под рукой.Я стараюсь просто не использовать проги с этим пакером

| Сообщение посчитали полезным:

Bronco пишет:
Вообще с утилей RCI,намного легче стало реверсить криптор.

Посмотрел я более внимательно на работу утилиты RSI, и заметил следующее. Утилита снимает дамп памяти после распаковки всего кода в память машины. При этом, непереадресованные API в таблице IAT, эта утилита заменяет порядковыми номерами, и сохраняет только переадресованные API. Это не позволяет полностью восстановить таблицу IAT.

| Сообщение посчитали полезным:

vnekrilov пишет:
Посмотрел я более внимательно на работу утилиты RSI
Увы видимо не очень внимательно ) Стоит еще раз посмотреть! Это практический уже автоанпакер ;) и снять некогда грозный криптор может пракический любой олух без особых хлопот

| Сообщение посчитали полезным:

pavka пишет:
Стоит еще раз посмотреть! Это практический уже автоанпакер
+1

Посмотрел только что, попробовал на 2.3.9 Demo - распаковал без особых проблем, импорт в принципе можно и не восстанавливать, RSI мегареспект, первая паблик тулза для снятия криптора

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

pavka пишет:
Это практический уже автоанпакер
Да пока с натяжкой,триал самого криптора он не лечит,добивать надо вручнуюно всё равно присоеденяюсь к:
Smon пишет:
RSI мегареспект
+1

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

RSI - молодец !!! Когда то я создавал топик и мне помогали распаковать кое какую программку. Там нужно было восстанавливать часть спёртого кода. Утилита справилась на пять с плюсом. Ну а file corrupted можно добить вручную. Ещё бы кто разбор полиморфа написал...

| Сообщение посчитали полезным:

ToBad пишет:
Ещё бы кто разбор полиморфа написал...
Дык..куски кода то не маленькие,прыгает сцуко тудой-сюдой,
Кабы знать чо стырил,мож проще было бы востановить.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov пишет:
При этом, непереадресованные API в таблице IAT, эта утилита заменяет порядковыми номерами, и сохраняет только переадресованные API.

Эт не моя тулза делала эт криптор так сначала распаковывает секции, затем он достает из внутреннего массива хеши и доп. инфу и на основании них вместо порядковых номеров заполняет IAT валидными ( не эмулируемыми ) адресами.

А насчет автоанпакера, то счас выложу...

| Сообщение посчитали полезным:

MilitaryMan
гы, у мну эта прога ваще не запускаеццо...=(
попробуй сам. оеп там вроже не сперто. держи:
OEP=00436483
IAT_START=0044C000 (RVA=4C000)
IAT_END=0044C378
IAT_SIZE=378

| Сообщение посчитали полезным:

На обменнике webfile.ru/1549109 я выложил статью "ExeCryptor v2.3.9 - Распаковка по vnekrilov (PrevedSMS v5.1)". В ней я подробно описал процесс ручной распаковки программы PrevedSMS v5.1, получение рабочего дампа памяти программы, который может работать на разных операционных системах, а также разобрал механизм работы криптора при выполнении украденных инструкций. Буду очень признателен за замечания, пожелания и критику.

К сожалению, я опять не могу отправить статью в раздел RAR-статьи, у меня опять обрывает связь. Если кто-то сможет, убедительная просьба отправить ее в раздел RAR-статьи. Весь необходимый материал для заполнения формы я приложил в файле readmy.txt.

| Сообщение посчитали полезным:

vnekrilov пишет:
Буду очень признателен за замечания, пожелания и критику.
НормалЁк!!!
Хотя для поиска "рабочего ОЕР" дампить не обязательно.Хватает поскролить в секции кода,или в окне дампа саму табличку(Long->Address with ascii dump),и в запущенном под Ольгой оригинале.А если через "поиск инструкции",поискать вызов(call) на процедуру инит,то пару абзацев можно кильнуть.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov пишет:
ExeCryptor v2.3.9 - Распаковка по vnekrilov (PrevedSMS v5.1)

Читаю. Bronco, я ужаснулся - зачем использовать такое кол-во хайдящих плагинов?

| Сообщение посчитали полезным:

Gideon Vi
Вообще-то я для хайда юзаю только ХайдеТулз.
А для хуков HideOD.dll и PhantOm.dll.
Остальные либы поленился кильнуть.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov-у респекты, как всегда. Статья понравилась - в копилку.

Bronco пишет:
А для хуков HideOD.dll и PhantOm.dll

Самого плага под рукой нет - глянул на скрин. Разве фантом не перекрывает его по хукам?

Bronco пишет:
Остальные либы поленился кильнуть.

Лень - великая сила

| Сообщение посчитали полезным:

Bronco пишет:
Хотя для поиска "рабочего ОЕР" дампить не обязательно

Да, конечно, можно программу и не дампить. Но, намного удобнее работать с дампом запущенной программы. Хотя это моя личная точка зрения.

И, еще я хотел обратить внимание на следующее. В крипторе имеется инструкция (в программе PrevedSMS - это инструкция MOV BYTE PTR DS:[EAX+B28B80],0), которая является волшебной для восстановления украденных инструкций. Если найти эту инструкцию, а она выполняется после восстановления значений всех регистров, то, посмотрев на восстановленные регистры и код в дампе, очень легко определить, какую инструкцию украл пакер. Мне показалось, что я не сильно акцентировал внимание в статье на эту инструкцию. По большому счету, все остальные инструкции по сохранению значений регистров и их последующему восстановлению не столь важны, как эта инструкция. Эта инструкция завершает каждый цикл работы пакера по выполнению эмуляции украденной инструкции.

| Сообщение посчитали полезным:

vnekrilov
Ну на самом деле это лишнее,способ поиска процедуры инит прокатывает на многих протах,кроме аспра и обсида.Главное запустить сабж под дебугером.Ставь на начало процедуры железяку,перезагружай,стартуй,прервёшься,ctrl+f9 (или alt+f9),и вылезешь к спёртым или реальному оер программы.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Gideon Vi пишет:
Разве фантом не перекрывает его по хукам?
Многие хуки конечно грамотней и "ровней" у Хела&Арчер.
Будет новый релиз фантома,наверно на него соскочу.Этот немного капризен...
А вообще...нужно для себя определить,какой прот чо юзает по антидебугу,и тогда картинка шире будет

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov подскажи,а как ты сделал пиктограмки основных тулз у себя в Olly

| Сообщение посчитали полезным:

Djeck пишет:
подскажи,а как ты сделал пиктограмки основных тулз у себя в Olly

Использую plugin Olly TBar Manager v0.3. Он позволяет вынести значки самых нужных программ на свою панель.

| Сообщение посчитали полезным:

vnekrilov пишет:
Мне показалось, что я не сильно акцентировал внимание в статье на эту инструкцию
Имхо зря! лучще вообще было сделать акцент на восстановлении кода , имхо конечно!
vnekrilov пишет:
Использую plugin Olly TBar Manager v0.3. Он позволяет вынести значки самых нужных программ на свою панель
У SnD есть маленькая прожка Snd bar имхо удобней

| Сообщение посчитали полезным:

pavka пишет:
У SnD есть маленькая прожка Snd bar имхо удобней

Где можно ее взять?

| Сообщение посчитали полезным:

pavka пишет:
У SnD есть маленькая прожка Snd bar имхо удобней
pavka если у тебя есть скинь плиз

| Сообщение посчитали полезным:

rapidshare.com/files/61024494/SND_BAR.rar

| Сообщение посчитали полезным:

pavka

Спасибо

| Сообщение посчитали полезным:

сегодня встретил в крипторе (прога написана на сях):

push edi ; /lParam=0
push dump_.00424D7D ; |pDlgProc = dump_.00424D7D
push eax ; |hOwner=NULL
push esi ; |pTemplate=00A87238 <------секция криптора!
push dword ptr ss:[ebp+10] ; |hInst=400000
call dword ptr ds:[<&user32.Crea>; \CreateDialogIndirectParamA

причем апи вызывается из секции кода,а дальше апи в какой-то момент передаёт управление в секцию криптора, где он и творит всякую херню. йа так понял нужно восстановить pTemplate. кто-нибудь знает как???

| Сообщение посчитали полезным: