[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

RSI writes:
Uninstall Tool 2.2.1:

OEP not stolen:

OEP = 448E9C

00448E9C > E8 3F880000 CALL utool.004516E0
00448EA1 ^ E9 17FEFFFF JMP utool.00448CBD
00448EA6 55 PUSH EBP

C++8 (MSVC2005)

| Сообщение посчитали полезным:

rapidshare.com/files/70199781/gui241.zip.html
первая помощь для активации cug-нутой версии

консоль делается аналогично

| Сообщение посчитали полезным:

Maximus пишет:
Вряд ли его получится легко разобрать, потому что в свою очередь он тоже смутирован.
Первая проблема,но это имхо,в том,что иногда тупо не знаешь,что искать.
Среди мусора бесполезного кода,в открытом виде ворованных инструкций почти нет,анализировать весь этот поток данных тяжеловато,тут даже эмуляцию инструкции прозевать можно.
Всё что касается востановления стандартных инструкций компиляторов,то ссылаясь на Павыча:
как правило криптор тырит пять ,шесть процедур со стаба или весь стаб,да при инициализации,чекает пару тройку раз.
можно с увереностью сказать,если есть опыт/практика и терпение/время,то разобрать что-то можно.
Но та же практика показывает что это иррационально,из-за того,что многое остаётся,и опять ссылась на пионеров исследования криптора:
чем убивать время на восстановление кода в таких прогах где можно решить все порблеммы правкой одного байта - инлайн самое оптимальное решение!
Но это было недавно,а сейчас получение рабочего дампа,хотя бы и для анализа,уже много значит.
Но это тоже было недавно,ибо сейчас с удовольствием зрим:
первая помощь для активации cug-нутой версии
r99
Пока качаю,но надеюсь,то что надо.!!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

r99
О-о, класс, активация прошла успешно!
Спасибо!

| Сообщение посчитали полезным:

I tried Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 2 with the program I posted in Crack requests forum (http://rapidshare.com/files/70002255/DC-Unlocker_1.00_0055_setup.exe. html). Original file size is 660 KB, the dump has 66.7 MB!! Is that normal?

| Сообщение посчитали полезным:

r99, спасибо.
GUI aктивация успешна, но не могут активировать консоль.
Советы?

| Сообщение посчитали полезным:

slackhead пишет:
вот это интересно что именно вы разгребаете? сам мутатор которым мутирует протектящий код и сворачиваете восстанавливая логику полностью? очень интересно
Вообще всегда все зависит от конкретной рализации! К примеру Упомянутая прога Uninstall Tool 2.2.1 ломаеться вообще без отладчика только Heiw ..

| Сообщение посчитали полезным:

mf writes:
I tried Unpacker ExeCryptor 2.x.x. Version: 1.0 beta 2 with the program I posted in Crack requests forum (http://rapidshare.com/files/70002255/DC-Unlocker_1.00_0055_setup.exe. html). Original file size is 660 KB, the dump has 66.7 MB!! Is that normal?

PEiD: EXECryptor 2.4.1 -> Normal Protection *

Beta 2 doesn't work with 2.4.1 (I think). Haven't tried to use it for unpacking this program, but it does output a 67 MB dump

| Сообщение посчитали полезным:

SunBeam beta4. Dump = +20 kb from original size ;)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

r99
перезалей, ссыль не пашед..

| Сообщение посчитали полезным:

прилепил

8434_17.11.2007_CRACKLAB.rU.tgz - gui241.zip

| Сообщение посчитали полезным:

а с консолью вопрос - или в превад или фтоппку?

| Сообщение посчитали полезным:

r99 В очередной раз сеньк.

| Сообщение посчитали полезным:

Maximus writes:
beta4. Dump = +20 kb from original size ;)

Good to know. Hopefully RSI will release it in a near-by future

| Сообщение посчитали полезным:

r99 пишет:
или в превад или фтоппку?

смысла приватить нету - китайцы просто пантуются. ты ведь отламываешь под определённый ник - девелоперы антивирусов получат соответсвующую сигнатуру и паковать именно этим протом троев-калькуляторов станет бессмысленно

| Сообщение посчитали полезным:

ну тогда полный набор


ps
глюки с дровами пофиксенного фантома - на некоторых опциях

pps
Gideon Vi но ведь и ник можно пофиксить


53f0_17.11.2007_CRACKLAB.rU.tgz - full241.zip

| Сообщение посчитали полезным:

r99 writes:
53f0_17.11.2007_CRACKLAB.rU.tgz - full241.zip

Interesting Think you can do the same for Total Uninstall ?

EDIT 1: Someone's been busy Found an anti-trial for Total Uninstall. r99 or pavka, I know it's one of you guys

Link: [ http://rapidshare.com/files/69749235/tu_setup.rar http://rapidshare.com/files/69749235/tu_setup.rar ]

EDIT 2: Good work, r99. Love your inline ;) Time to study

r99 writes:http://ifolder.ru/4137113 для экспериментаторв 4.31

| Сообщение посчитали полезным:

r99
Спасибо!

| Сообщение посчитали полезным:

r99,
Ты мой герой! Спасибо!

| Сообщение посчитали полезным:

mf
section BSS - V. Size = R. Size = 0x4112000 ~ 68 MB ( may be tricks from PEP )

SunBeam пишет:
PEiD: EXECryptor 2.4.1 -> Normal Protection *

It's not EC 2.4.1

| Сообщение посчитали полезным:

r99 пишет:
но ведь и ник можно пофиксить

Думаю, что все те ники, которые засветились на анпаке очень скоро будут в базах каспера. Спасибо за релиз

| Сообщение посчитали полезным:

Hehe. Another reversing era opener - r99 I know he's been doing this for ages

| Сообщение посчитали полезным:

свежий скрипт от волка ;)

fbf8_29.11.2007_CRACKLAB.rU.tgz - Execryptor_2.xx_IAT_Fixer_v1.02SC [2007-11-27].txt

| Сообщение посчитали полезным:

r99
thank you for the patch


| Сообщение посчитали полезным:

Источник: Disabling CRC checks in EXECryptor 2.4.x http://kioresk.wordpress.com/2008/03/12/disabling_crc_checks/

В этом небольшом туториале мы рассмотрим как легко отключить проверку CRC файла/памяти в программах, защищенных EXECryptor’ом версии 2.4.x.

Для начала немного теории. В EC 2.4.x есть функция, которая выполняется перед проверкой CRC файла/памяти и некоторых антидебаг приемов. Я называю ее Check_CPU, поскольку в одной из ее подпроцедур используется инструкция cpuid для определения процессора текущей машины.

Логика кода рядом с Check_CPU примерно такая:

…
If (Check_CPU)
{
DoSomeBadThing
}
…

Как видно, плохой код (например, проверить CRC файла/памяти) выполняется, если Check_CPU возвращает значение True (al = 1). И, естественно, он не будет выполняться, если Check_CPU будет возвращать значение False (al = 0).

Теперь посмотрим на код функции Check_CPU, выдернутый из распакованной консольной части EC 2.4.1.

0046B164 Check_CPU proc near
0046B164
0046B164 Result = byte ptr -9
0046B164 Null = dword ptr -8
0046B164 Constant = dword ptr -4
0046B164
0046B164 push ebp
0046B165 mov ebp, esp
0046B167 add esp, -0Ch
0046B16A mov [ebp-8], eax
0046B16D call Get_Constant
0046B16D
0046B172 mov [ebp-4], eax
0046B175 push ebp
0046B176 lea eax, [ebp-4]
0046B179 call Get_CPU
0046B179
0046B17E pop ecx
0046B17F mov eax, [ebp-4]
0046B182 mov edx, [ebp-8]
0046B185 xchg eax, [edx]
0046B187 xor [ebp-4], eax
0046B18A cmp dword ptr [ebp-4], 0
0046B18E setnz byte ptr [ebp-9]
0046B192 mov al, [ebp-9]
0046B195 mov esp, ebp
0046B197 pop ebp
0046B198 retn
0046B198
0046B198 Check_CPU endp

Естественно, в защищенном приложении этот код будет виртуализован и поэтому надо найти место, которое можно будет легко найти среди заморфеного кода.

«setnz byte ptr [ebp-9]]» (0F 95 45 F7) отлично подходит для этого, поскольку VM криптора не может виртуализовать/обфуцировать эту инструкцию.


Подведем итог. Чтобы отключить проверку CRC файла/памяти в программах, защищенных EC 2.4.x, необходимо:

1. найти бинарным поиском 0F 95 45 F7
2. потрейсить/проверить соседний код, чтобы он был похож на приведенный выше (поскольку setnz может много где использоваться кроме Check_CPU)
3. заменить инструцию на «mov byte ptr [ebp-9], 0» (C6 45 F7 00)

В EC 2.3.9 код функции Check_CPU выглядит немного по другому:

…
004611A2 call Get_Constant
004611A2
004611A7 mov edx, ds:ptr_AllocatedMemory
004611AD mov edx, [edx]
004611AF sub edx, eax
004611B1 mov ecx, [ebp-4]
004611B4 mov eax, 1
004611B9 shl eax, cl
004611BB and edx, eax
004611BD setnz byte ptr [ebp-5]
…

Поэтому, в случае EC 2.3.9 — надо найти 0F 95 45 FB, убедиться что мы в нужном месте, и заменить на C6 45 FB 00.

| Сообщение посчитали полезным:

AND наверно лучше чем MOV

а call Get_Constant участвует в генерации триального ключа?

| Сообщение посчитали полезным:

r99,

AND наверно лучше чем MOV

можно и AND, главное чтобы работало

а call Get_Constant участвует в генерации триального ключа?

Участвует, хотя основное назначение константы (их несколько), насколько я понял, для скрытия значений. Нужное значение модифицируется (например, value xor const), сохраняется, а позже при необходимости значение обратно восстанавливается (value xor const) и используется.

| Сообщение посчитали полезным:

I found an app called Direct MP3 Joiner (v2.23) that doesn't throw any TRUE flags on that setnz byte ptr [..] But it has a check to defend against Olly (aside from FPU stuff and detecting Olly by windows and crashing it) it uses a DWORD (sub dword ptr [EC_CRAP],1; where EC_CRAP is a DWORD in EC section with value 0; so 'sub x,1' makes it -1 and app doesn't run in Olly). If you make it 0 and not -1, app will start and not complain (am talking about the unpacked result) ;)

EDIT:

004C390C 832D 20065000 01 SUB DWORD PTR DS:[500620],1 //make it 0 to run it in Olly..

| Сообщение посчитали полезным:

---

| Сообщение посчитали полезным:

I prefer not to use them unless I have to Simple Olly with hiding windows is enough..

| Сообщение посчитали полезным: