[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

Здраствуйте.
Подскажите, как Криптор определяет привязку по железу в программе и как это выловить.
Спасибо за внимание.

| Сообщение посчитали полезным:

sergeu пишет:
Здраствуйте.
Подскажите, как Криптор определяет привязку по железу в программе и как это выловить.
Спасибо за внимание.

Ни знаю может поможет.

Инфа из SDK EXECryptor'a примерно это выглядит так на С++

Генерация HWID для определённого компьютера EXECryptor_GetHardwareID
Сюда входят

EXECryptor_VerifySerialNumber
EXECryptor_VerifySerialNumberW
EXECryptor_DecodeSerialNumber
EXECryptor_DecodeSerialNumberW


#include <windows.h>

// EXECryptor API v. 2.3

__declspec(dllexport) DWORD __stdcall EXECryptor_GetHardwareID();[/ASM]

void TKeyGen::CreateSerialNumber(const char *PrjName, const char *RegistrationName,
const char *HardwareID, char *SerialNumber)
{
if (FCreateSerialNumber != NULL)
FCreateSerialNumber(PrjName, RegistrationName, HardwareID, SerialNumber);
}

void TKeyGen::CreateSerialNumberTimeLimited(const char *PrjName,
const char *RegistrationName,
bool F1, bool F2, bool F3, bool F4, bool F5, bool F6,
int LicType, int ExpiryMonth, int ExpiryYear,
const char *HardwareID, char *SerialNumber)
{
TSerialNumberInfo li;
li.F1=F1; li.F2=F2; li.F3=F3; li.F4=F4; li.F5=F5; li.F6=F6;
li.LicType=LicType;
li.ExpiryMonth=ExpiryMonth;
li.ExpiryYear=ExpiryYear;
FCreateSerialNumberEx(PrjName,RegistrationName,HardwareID,&li,SerialNu mber);
}

void TKeyGen::CreateSerialNumberEx(const char *PrjName,
const char *RegistrationName,
bool F1, bool F2, bool F3, bool F4, bool F5, bool F6,
int LicType, int UserParam,
const char *HardwareID, char *SerialNumber)
{
TSerialNumberInfo li;
li.F1=F1; li.F2=F2; li.F3=F3; li.F4=F4; li.F5=F5; li.F6=F6;
li.LicType=LicType;
li.UserParam=UserParam;
FCreateSerialNumberEx(PrjName,RegistrationName,HardwareID,&li,SerialNu mber);
}

void TKeyGen::CreateSerialNumberW(const wchar_t *PrjName, const wchar_t *RegistrationName,
const wchar_t *HardwareID, wchar_t *SerialNumber)
{
if (FCreateSerialNumberW != NULL)
FCreateSerialNumberW(PrjName, RegistrationName, HardwareID, SerialNumber);
}


public:

void CreateSerialNumber(const char *PrjName, const char *RegistrationName,
const char *HardwareID, char *SerialNumber);
void CreateSerialNumberTimeLimited(const char *PrjName,
const char *RegistrationName,
bool F1, bool F2, bool F3, bool F4, bool F5, bool F6,
int LicType, int ExpiryMonth, int ExpiryYear,
const char *HardwareID, char *SerialNumber);
void CreateSerialNumberEx(const char *PrjName,
const char *RegistrationName,
bool F1, bool F2, bool F3, bool F4, bool F5, bool F6,
int LicType, int UserParam,
const char *HardwareID, char *SerialNumber);

void CreateSerialNumberW(const wchar_t *PrjName, const wchar_t *RegistrationName,
const wchar_t *HardwareID, wchar_t *SerialNumber);
void CreateSerialNumberTimeLimitedW(const wchar_t *PrjName,
const wchar_t *RegistrationName,
bool F1, bool F2, bool F3, bool F4, bool F5, bool F6,
int LicType, int ExpiryMonth, int ExpiryYear,
const wchar_t *HardwareID, wchar_t *SerialNumber);
void CreateSerialNumberExW(const wchar_t *PrjName,
const wchar_t *RegistrationName,
bool F1, bool F2, bool F3, bool F4, bool F5, bool F6,
int LicType, int UserParam,
const wchar_t *HardwareID, wchar_t *SerialNumber);
..... Это Не весь код остальную часть кода если интересно смотри в SDK к EXECryptor

Фсё это естественно будет виртуализировано в программе которая будет запакована EXECryptor'om

Как выйти на начало API функций EXECryptora подробно описывает kioresk.

Видео по теме
Флешь туториал ExeCryptor HWID Патчинг --> ExeCryptor HWID Patching <--

Можно поступить проще HWID это стандартное окно ExeCryptor'a после нажатие на кнопку Run ExeCryptor передаcт управление в программу на OEP.Чтобы убрать окно HWID ExeCryptor'a нужно найти место в коде где ExeCryptor передаёт управление на OEP это я так своими словами подробно об этом писал PE_Kill. И где-то я еще видел тутор от RSI по убиранию нага ExeCryptor'a HWID.

| Сообщение посчитали полезным:

ExeCryptor 2.4.x (Compressed Code)

Been a while since I touched EXECryptor ( exams and all that ), so I decided, after careful consideration, to shed a little insight on EXECryptor’s compressed code functionality. Many of you know that EC comes in 2 flavors when it comes to protected code – normal, uncompressed code, easy to read and debug AND compressed code, meaning that before execution, code is unpacked in memory and “pasted” over existing 00s in program’s sections ( .text, .data,.. ). Another thing, it’s more efficient to use inlines rather than unpacking target and facing OS compatibility issues ( I know for certain these issues happen a lot! ).

So, without further ado, let’s proceed. Many of you got accustomed to my way of explaining things, and this tutorial will prove no different. Same style, analyzing and explaining on the fly

www.tuts4you.com/request.php?2861


ExeCryptor 2.4.x (Tips and Tricks)

Posting the start of a series that might be appreciated in the near-by future. EXECryptor is a good protector, but as time passes by, it gets deprecated. I included a few articles (3 so far) that discuss in depth some of its internals (mostly practical, not theoretical). Package contains a proof of concept (implementing SDK in a test application), our real target and the tools/scripts I used. As a side note, these articles differ (in content and thematic) from what Zool@nder posted in the other thread.

www.tuts4you.com/request.php?2862


ExeCryptor 2.4.x DeVM

A script to restore ExeCryptor's virtualized machine instructions.

www.tuts4you.com/request.php?2863

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

==============================================================
Мувик по распаковки EXECryptor 2.2.x - 2.3.x на примере программы DipTrace
UnpacK_EXECryptor_2_2_x_ 2_3_x_DipTrace.rar | (3.01 МБ)

===============================================================
Мой мувик, по убиранию триального нага Криптора, в программе Family 2009 Pro r05

Unpak_Family_2009_Pror_R05_no_Trial_NAG_Scren | (11.42 MБ)
===============================================================

| Сообщение посчитали полезным:

вот что получается:
ПРога: Family_2009_Pror_R05, ось XPSP3
1. Как в инструкции распаковал с момощью Unpacker_ExeCryptor_2.x.x._v1.0_RC2.RSI.tPORt
2. нашёл OEP и оттуда сделал дамп (как в видюхе)
3. ПРобовал 2 варианта
3а. Как в видяхе ImpRec'ом восстановил ИАТ
3б. Сперва скриптом PE-Kill восстановил, а потом ImpRec (везде написало YES)
В обох случаях на xpsp3 запустилось норм.

На win7 x32 ultimate ошибка :
На win2k :
Как\что исправить чтобы работало на всех осях?

ps:сорри за такой вопрос, я новенький в вашем лагере)
спасибо, действительно, после прочтения доки по импреку, нашёл зачем эта опция, убрал и всё встало на свои места)

| Сообщение посчитали полезным:

Убери в импрек галку юзать импорт по ординалам.

| Сообщение посчитали полезным:

EXECryptor_helper v0.1
V0.1->
2010.3.3
1. The completion of the basic function of recognition
2. Do not support non-XP systems

Description:
EXECryptor for a long time are not updated, there is need to increase the point of functionality.
EXECryptor_helper analysis of PE file functions and call EXECryptor the VM console process batch processing, because only the code used EXECryptor processing capabilities and therefore I deal with after the program can use other packers tools for processing.

Note:
EXECryptor function analysis is relatively weak, if the post-processing programs error of ability, in general can be handled several times. In case of repeated testing is still an error, please wait for the next version.

I have a little dream:
So do not provide plug-in interface is not open source does not update the old shell will display a new Yen ......
www.unpack.cn/thread-46703-1-1.html

| Сообщение посчитали полезным:

EXECryptor_helper v0.1
перезалил
multi-up.com/232024

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Доброй ночи Клабовцы. Таргэт: --> SMlite v1.4.6 <-- 3 МВ. Обработал анпакерсом от товарища RSI лог в аттаче (анпакнуть чтобы прога запускалась можно только с единственной галкой на опцие Find OEP). Прога после этога запускаеться но выдаёт окошко: . Так вот проблема в том что если отрубить потоки в ручную под олькой то прога без проблем запускается без этой ошибки а если брякнуться на CreateThread посмотреть в стеке адрес перейти и заменить push ebp на retn потом WaitForSingleObject (по тутору vnekrilova) сохранить всё это дело, то прога валится на другой ошибке по адресу. В чём дело и что это за херня?

2356_07.12.2010_CRACKLAB.rU.tgz - smlite_u.log

| Сообщение посчитали полезным:

Народ выложите покряченый гавнопрот 2.4.1 за час поиска в гугле так и не нашел не фейковый архив.

PS Только не на рапиду она мне вообще ничего слить не дает.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

rghost.ru/3593416/private/7233dc3c8d71475c9687d24a51687d0b

| Сообщение посчитали полезным: PE_Kill

Господа, перевыложите, пожалуйста, покряченный гавнопорт 2.4.1?
По последней ссылке файл удален...

| Сообщение посчитали полезным:

almarin пишет:
Господа, перевыложите, пожалуйста, покряченный гавнопорт 2.4.1?
EXECryptor.V2.4.1.CracKed.By.[CUG].rar (2,8 MB)
http://www.multiupload.com/VEZ34BWZG8
пароль: cracklab.ru

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным: almarin

2[0utC4St] Скажи, пожалуйста, а как его активировать? Серийник что в его каталоге лежит без активации. в папке activator другой ключ с активацией.
Какая последовательность? Не пойму... Помоги, пожалуйста...

| Сообщение посчитали полезным:

To Centner, Bad_guy
Да киньте его уже что ли в раздел Скачать сайта.

| Сообщение посчитали полезным: almarin, tdaliviu

Нашел сам. Спасибо за наводку!

| Сообщение посчитали полезным:

Ночи доброй! Подскажите,пожалуйста,что делать ? При скане проги выяснил,что она запакована криптором:

EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly * - мне что,все способы чтоли пробывать ? Сделать хотел бы сам,хоть и мало что понимаю...Есть ли ещё какие гайды по этому криптору ? Способ довольно-таки...мм..громоздкий.Интересная,однако,особенность криптора (самого первого,что я повидал) - кривые имена некоторых(почему некоторых и что это даёт?!) секций.Однако...Заранее благодарен.

http://exelab.ru/rar/htm.php?n=0811 - линк на 2.3.9

Попутно задам вопрос - по ссылке http://www.wasm.ru/article.php?article=packlast01 автор перечислял программы - упаковщики, пакеры и крипторы. Разве упаковщик и пакер - не одно и то же ? да и вообще разве упаковщик != пакер != криптор ? Совсем запутали........

ЗЫ: Распаковывал Unpacker ExeCryptor 2.x.x....при распаковке фаил не запустился(вылетела ошибка 0х0000005 чет там исключение вроде при доступе к ячейке памяти).Я так понял,программа то бишь уже не 2.х.х криптована а 3.х.х.х ?

| Сообщение посчитали полезным:

Breetonia,

с твоим уровнем браться за криптор (в данном случае подразумевается EXECryptor) нет смысла.
Если тебе интересен реверс, то начни с более простых вещей (всему свое время), например, с формата PE (пригодится в будущем).

А пока можешь оформить запрос на взлом в соответствующей теме:
https://ssl.exelab.ru/f/action=vthread&forum=2&topic=17859&page=30

По твоим вопросам:

мне что,все способы чтоли пробывать ?

А способ всего один — надо сдампить файл, после того как он распакован в памяти, восстановить импорт (если он защищен) и исправить PE заголовок (OEP, TLS, Import). Сделать это можно вручную или с помощью RSI'ного анпакера.

Есть ли ещё какие гайды по этому криптору ?

https://ssl.exelab.ru/f/action=vthread&forum=13&topic=10070&page=30#8

Интересная,однако,особенность криптора (самого первого,что я повидал) - кривые имена некоторых(почему некоторых и что это даёт?!) секций.

Рандомные имена используются у обработанных криптором секций (секции криптора где хранится заморфленный и виртуализованный код, секция импорта/кода). Это ничего не дает.

Разве упаковщик и пакер - не одно и то же ? да и вообще разве упаковщик != пакер != криптор ?

Упаковщик == пакер != криптор

Я так понял,программа то бишь уже не 2.х.х криптована а 3.х.х.х

3-й версии не существует. Последняя версия EXECryptor'а на данный момент (и видимо не только на данный) — это 2.4.1.

| Сообщение посчитали полезным:

Всем привет, давно здесь не был — был как всегда занят.

Я сейчас работаю деморфом над криптором 2.3.9, позже будут готовы файлы с чистым кодом для изучения.

В: Зачем?
О: Чтобы можно было пристально изучить используемый крипто алгоритм (конечная цель — кейгенинг криптора).

В: А почему версия 2.3.9 а не последняя 2.4.1?
О: Потому что код такой же (касательно крипто), но он проще.

В: А деморф будет в паблике?
О: Нет, будет выдаваться точечно только своим людям.

А теперь мой вопрос — есть желающие присоединиться к исследованию?



| Сообщение посчитали полезным: ClockMan, MasterSoft, SReg, vnekrilov, BoOMBoX, _ruzmaz_, Vnv, tihiy_grom, inffo, Nightshade, NIKOLA, Fedonin, sendersu, Isaev

На днях как раз думал о том, что у криптора слишком короткие ключи, вот бы код чистый посмотреть

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

На праздниках будет время, т.е. после НГ будут чистые файлы, я их тут выложу с небольшими комментариями.

| Сообщение посчитали полезным:

kioresk
Ну не пиши уж тогда на паблике, один хрен отсюда ни кто никаких наработок не получит...

| Сообщение посчитали полезным:

Vovan666
дык помоги - и получишь

| Сообщение посчитали полезным:

Vovan666,

Пардонте, я не так выразился. Имелось в виду, что сам деморфер (т.е. инструмент, с помощью которого получен чистый код) на паблике не будет, а отдеморфленные файлы криптора 2.3.9 будут тут (и не только тут) выложены, чтобы все кому интересно могли их поковырять.

| Сообщение посчитали полезным:

origin:http://www.unpack.cn/thread-28504-1-1.html
General EXECryptor registration code generator Final
If the shell EXECryptor good use of its SDK, for good or intensity, the interface is simple.
Registed calculation also more convenient!
~ ~ ~ ~ However, it
The software used to calculate more convenient!
-------------------------------------------------- -----
1. EXECryptor read directly support the project files (*. ep2).
2. Registed in support of engineering calculations.
3. Generate support with date restrictions on the registration key.
4. Test environment: WIN2000 + EXECryptor 2.41 + EXECryptor 2.25.
atached if someone wana check ^^
and was unpacked too (original packed with mew?)


--> Link <--

| Сообщение посчитали полезным:

NikolayD
Баг винрара или что-то еще, но несколько твоих последних архивов не распаковываются.

| Сообщение посчитали полезным:

Vovan666, у меня 7zip 9.20 нормально открывает только, что проверил.

| Сообщение посчитали полезным:

7-zip только и открывает, даже на rghost превью архивов не распознает его.


| Сообщение посчитали полезным:

У мну таже фигня - WinRar не открывает (показывает только имена файлов но не распаковывает), а 7z распаковал. По ходу это один из хитрожопых архивов (созданных в WinZip или в аналогичном ему архиваторе) которые нормально можно открыть только в WinZip'e (и по счастливой случайности в 7z).

UPD: FreeArc тоже нормально распаковал. Остальные включая WinRar ругаются: Warning! requires PKZIP version 6.3 to extract. В чем (какой проге) создавался этот архив ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Вот в нормальном ZIPе

http://rghost.ru/37452421

| Сообщение посчитали полезным: