[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

sniperZ пишет:
почему он падает на CreateDialogIndirectParamA
rf-cheats.ru/forum/showthread.php?t=1144&page=1

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Было бы интересно пообщаться с людьми с опытом разбора полиморфа. В частности, на данный момент интересует восстановление кода, имеющего ветвления (циклы, условные переходы и т.д.).

Просьба знающим людям связаться со мной с помощью пм.

| Сообщение посчитали полезным:

Bronco
вот онпукнул гуи. посмотрите работу на разных осях.
htt_p://dump.ru/files/n/n5436321856/
но мну кажется, что аффтар перестал выставлять фсе галки на прот, т.к. нах ему показывать всю мощь?

| Сообщение посчитали полезным:

sniperZ
Не заработала анпакнутая версия.
Windows Xp Sp2 без обновлений

При включеных ексепшенах в ольке тормозим вот тут:

00518307 00E9 ADD CL,CH
00518309 C019 07 RCR BYTE PTR DS:[ECX],7
0051830C 00F3 ADD BL,DH
0051830E CC INT3
0051830F - E9 E8D4FCFF JMP execrypt.004E57FC --------------------->
00518314 0BD8 OR EBX,EAX
00518316 890424 MOV DWORD PTR SS:[ESP],EAX
00518319 E8 174F0300 CALL execrypt.0054D235


| Сообщение посчитали полезным:

tempread
Мля! ставь не нужные в игнор, у тяж он брякнулся на 0051830E CC INT3
Обычно нужно пропускать:

1) 0x80000003
2) 0x80000004
3) 0xC000001E
4) 0xC0000005

| Сообщение посчитали полезным:

sniperZ,

это как это ты умудрился сделать дамп для всех осей, если внутренний импорт криптора заполнен адресами?

| Сообщение посчитали полезным:

r99 пишет:
единственный резон - почему не выкладывать анпакер к последнему криптору - проги еще не появились
им покрытые
Соло на клавиатуре 9.0 например, анпакер не берет, запрос отправлен в соответствующую ветку

| Сообщение посчитали полезным:

RSI
В игнор ексепшены конечто же ставил - при старте в MessageBox'е Оля говорит,что заоблачный EIP
Неужели разпакованный вариант у всех работает?

| Сообщение посчитали полезным:

tempread мне не понятно, ты хочешь в отладчике открыть, или запустить гуи.
если первое то sniperZ вроде не обещал что прога откроется в отладчике без проблем

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Я попробовал запустить просто в Винде - прога вылетела. Тогда я попробовал запустить в отладчике, и выдал инфу, мож кто нибудь что нибудь посоветует мне или sniperZ'у

| Сообщение посчитали полезным:

tempread
у меня все запускается и под ольгой и под виндой...
kioresk пишет:
это как это ты умудрился сделать дамп для всех осей, если внутренний импорт криптора заполнен адресами?
мля, вроде дампил после распаковки секций, хз щас гляну...

| Сообщение посчитали полезным:

вот, пофиксеный дамп. потестите на разных осях...
dump.ru/files/n/n9554011202/
kioresk
мну дампил на таком интересном месте:
006DD74B C605 DE5A6E00 50 mov byte ptr ds:[6E5ADE],50
006DD752 C605 DF5A6E00 68 mov byte ptr ds:[6E5ADF],68
006DD759 C605 E45A6E00 E9 mov byte ptr ds:[6E5AE4],0E9
006DD760 C605 73E26D00 E8 mov byte ptr ds:[6DE273],0E8
006DD767 C605 487E6E00 87 mov byte ptr ds:[6E7E48],87
006DD76E C605 E0096E00 57 mov byte ptr ds:[6E09E0],57
006DD775 C605 E1096E00 9C mov byte ptr ds:[6E09E1],9C
006DD77C C605 E2096E00 68 mov byte ptr ds:[6E09E2],68
006DD783 C605 E7096E00 E8 mov byte ptr ds:[6E09E7],0E8
006DD78A C605 EB176E00 67 mov byte ptr ds:[6E17EB],67
006DD791 C3 retn <<<------------------------------дампим тут

| Сообщение посчитали полезным:

на вин 2000

rapidshare.com/files/62962564/1.JPG.html

| Сообщение посчитали полезным:

sER, мля значит ещё раньше надо дампить...

| Сообщение посчитали полезным:

Как опрокодывалсz, так и опрокидывается (XP SP2)

| Сообщение посчитали полезным:

Мну дампил тута:
00406EBC /$ 50 PUSH EAX<------самое оно
00406EBD |. 6A 00 PUSH 0 ; /pModule = NULL
00406EBF |. E8 F8FEFFFF CALL <JMP.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
00406EC4 |. BA 08414D00 MOV EDX,dumped.004D4108
00406EC9 |. 52 PUSH EDX
00406ECA |. 8905 DC744D00 MOV DWORD PTR DS:[4D74DC],EAX
00406ED0 |. 8942 04 MOV DWORD PTR DS:[EDX+4],EAX
00406ED3 |. C742 08 00000000 MOV DWORD PTR DS:[EDX+8],0
00406EDA |. C742 0C 00000000 MOV DWORD PTR DS:[EDX+C],0
00406EE1 |. E8 8AFFFFFF CALL dumped.00406E70
00406EE6 |. 5A POP EDX
00406EE7 |. 58 POP EAX
00406EE8 |. E8 3FCBFFFF CALL dumped.00403A2C
00406EED \. C3 RETN

,и не парился с поиском ОЕР,тупо дописал 4-5 инструкций

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
гг, а надо дампить тут:
005CD176 AC lods byte ptr ds:[esi]
005CD177 D0E8 shr al,1
005CD179 80F8 74 cmp al,74
005CD17C 75 0E jnz short EXECrypt.005CD18C
005CD17E 8B06 mov eax,dword ptr ds:[esi]
005CD180 0FC8 bswap eax
005CD182 01C8 add eax,ecx
005CD184 8906 mov dword ptr ds:[esi],eax
005CD186 83C6 04 add esi,4
005CD189 83E9 04 sub ecx,4
005CD18C 49 dec ecx
005CD18D ^ 7F E7 jg short EXECrypt.005CD176
005CD18F 59 pop ecx <=================дампим
005CD190 5E pop esi
005CD191 C3 retn

| Сообщение посчитали полезным:

sniperZ
Ну во первых,ты его ещё не крякнул по полной,а только вскрыл...
Толку то от пустой болванки,стартущей на разных осях?
Во вторых,сами себе приключнения ищем,распространяя эту гадость!!!!
По консоли глянул,действительно на Фантомку замахнулись:
0046BF94 MOV EAX,EXECrypt.0048B79C ASCII "\.\SICE"
0046BFA5 MOV EAX,EXECrypt.0048B7A8 ASCII "\.\NTICE"
0046BFB6 MOV EAX,EXECrypt.0048B7B4 ASCII "\.\TRW"
0046BFC7 MOV EAX,EXECrypt.0048B7BC ASCII "\.\STRACE"
0046BFD8 MOV EAX,EXECrypt.0048B7E0 ASCII "\.\SYSERBOOT"
0046C3B4 PUSH EXECrypt.00400000 ASCII "MZP"
0046CA9A MOV EAX,EXECrypt.0048B7F0 ASCII "\.\OLLYBONE"
0046CAAB MOV EAX,EXECrypt.0048B800 ASCII "\.\FRDTSC"
0046CABC MOV EAX,EXECrypt.0048B80C ASCII "\.\FRDTSC0"
0046CACD MOV EAX,EXECrypt.0048B818 ASCII "\.\EXTREMEHIDE"
0046CCC0 MOV EAX,EXECrypt.0048B7C8 ASCII "\.\REGMON"
0046CCD1 MOV EAX,EXECrypt.0048B7D4 ASCII "\.\FILEMON"
0046CCE2 MOV EAX,EXECrypt.0048B828 ASCII "\.\KSECDD"
0046DB42 MOV EAX,EXECrypt.0048B834 ASCII "HARDWARE\DESCRIPTION\System"
0046DB84 MOV EAX,EXECrypt.0048B850 ASCII "SystemBiosDate"
0046DC00 MOV EAX,EXECrypt.0048B860 ASCII "SystemBiosVersion"
0046DE6A MOV EAX,EXECrypt.0048B77C ASCII "Clock manipulation detected!"
Не разбирал тока что это сервисы,или чо то другое?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
0046BF94 MOV EAX,EXECrypt.0048B79C ASCII "\.\SICE"
0046BFA5 MOV EAX,EXECrypt.0048B7A8 ASCII "\.\NTICE"
0046BFB6 MOV EAX,EXECrypt.0048B7B4 ASCII "\.\TRW"
0046BFC7 MOV EAX,EXECrypt.0048B7BC ASCII "\.\STRACE"
0046BFD8 MOV EAX,EXECrypt.0048B7E0 ASCII "\.\SYSERBOOT"
0046C3B4 PUSH EXECrypt.00400000 ASCII "MZP"
0046CA9A MOV EAX,EXECrypt.0048B7F0 ASCII "\.\OLLYBONE"
0046CAAB MOV EAX,EXECrypt.0048B800 ASCII "\.\FRDTSC"
0046CABC MOV EAX,EXECrypt.0048B80C ASCII "\.\FRDTSC0"
0046CACD MOV EAX,EXECrypt.0048B818 ASCII "\.\EXTREMEHIDE"
0046CCC0 MOV EAX,EXECrypt.0048B7C8 ASCII "\.\REGMON"
0046CCD1 MOV EAX,EXECrypt.0048B7D4 ASCII "\.\FILEMON"
0046CCE2 MOV EAX,EXECrypt.0048B828 ASCII "\.\KSECDD"

Это дровишки.

| Сообщение посчитали полезным:

Bronco
ога, ещё проверки после CreateFileA в открытым виде валяются...типа:
cmp eax,-1
jne label

Bronco пишет:
Ну во первых,ты его ещё не крякнул по полной,а только вскрыл...
а ты хочешь рег. алго раскопать?

| Сообщение посчитали полезным:

Во блин,как малые дети,всё в рот тянем.
Качнул вроде с этой темы,эту( [webfile.ru]_crack.rar )херню,запустил,и чуть в аут не ушёл.
"Комп заблокирован,отправте SMS"
Удалили что ли пост уже?
Оперативно однако...
Кто нить отправлял ему смс-ку?
В принципе не страшная херня,с ВынПЕ и ASWREGED вопрос решаем.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

NIKOLA пишет:
Это дровишки.
То что дровишки понятно
Я имел ввиду что криптор записи сервисов в реестре сканирует по ходу.
sniperZ
А что нужно?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Я имел ввиду что криптор записи сервисов в реестре сканирует по ходу.

угу

| Сообщение посчитали полезным:

sniperZ пишет:
гг, а надо дампить тут:
005CD176 AC lods byte ptr ds:[esi]
005CD177 D0E8 shr al,1
005CD179 80F8 74 cmp al,74
005CD17C 75 0E jnz short EXECrypt.005CD18C
005CD17E 8B06 mov eax,dword ptr ds:[esi]
005CD180 0FC8 bswap eax
005CD182 01C8 add eax,ecx
005CD184 8906 mov dword ptr ds:[esi],eax
005CD186 83C6 04 add esi,4
005CD189 83E9 04 sub ecx,4
005CD18C 49 dec ecx
005CD18D ^ 7F E7 jg short EXECrypt.005CD176
005CD18F 59 pop ecx <=================дампим
005CD190 5E pop esi
005CD191 C3 retn
Хм.. какие основания именно тут

| Сообщение посчитали полезным:

pavka
потрейсь, посмотри, тут секции ещё не инициализированы....

| Сообщение посчитали полезным:

вот, например, смотри, что следует после этого цикла:

0058665B mov byte ptr ds:[eax],0C3 //eax=005745C0
00523361 mov byte ptr ds:[eax],0C3 //eax=00532864
004EC1AF mov dword ptr ds:[58748C],eax // eax=kernel32.GetModuleHandleA
004E0FD2 mov dword ptr ds:[58749C],eax //eax=kernel32.7C800000
0052E2C0 mov dword ptr ds:[587460],eax //eax=ntdll.7C900000

там ещё много чего интерестного делается, поставь бряку на секцию кода проги и криптора и потрейсь...

| Сообщение посчитали полезным:

r99 пишет:
единственный резон - почему не выкладывать анпакер к последнему криптору - проги еще не появились
им покрытые

уже появились.

_http://www.stvsoft.com/download.php?file=SensorsViewPro31Setup.exe
1,9 мб

| Сообщение посчитали полезным:

ManHunter ну и фиг с ними, тем кто снимал ЕС анпакер и так не нужен...

Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 3 (Private)

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Program Files\SensorsViewPro31\sviewpro.exe
Create Process... PID = 0x3E8 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Unpacking section "CODE" - YES
Unpacking section "zxnxgmr8" - YES
Unpacking section "bxayx683" - YES
Unpacking section "h7mboe38" - YES
Unpacking section "5m14vcdt" - YES
Set memory breakpoint for Extra code section... Done
Fix File CRC at [625C10]... Done
Not Find Memory CRC
Saving Dump... Done
Clear memory breakpoint for Extra code section... Done
Correct TLS...
TLS Directory: 154000
Remove trash from PE Header... Done
Find position GetModuleHandleA:
Address GetModuleHandle [5024AD].
Not Found pointers
Patch message <Debugger Detected> (Method 1):
[6411B7] = Write 0xC3
IAT Start: 0x54F1E0
IAT End: 0x54FA54
Check Import table for emulate API...Done -> Nothing
Finding Compiler: Borland Delphi
RVA OEP: 12F498
Fix IAT in Dump... Success!
Exit Process... Done

ManHunter пишет:
уже появились.

И довольно много уже народа обновило свои продукты!

| Сообщение посчитали полезным:

RSI пишет:
И довольно много уже народа обновило
Надо с аффтара процент снимать за продвижение обновы...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

гы, щас relayer заходил на форум...
йа его в списке видел, наверно смотрел новости с поя боя...

| Сообщение посчитали полезным: