[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

ManHunter
Не в том дело, на тутс4ю тоже нормальный архив, а от NikolayD какая-то хрень(не в первый раз).

| Сообщение посчитали полезным:

Vovan666, ты на что намекаешь? ))) Паковал зипом с этими опциями:


| Сообщение посчитали полезным:

Да ни на что ни намекаю, ни один стандартный архиватор не берет твои архивы.

| Сообщение посчитали полезным:

А 7-zip не стандартный архиватор!?

| Сообщение посчитали полезным:

выкинул винрар нахер, юзаю ужо пару месяцев HaoZip

Доволен как слон. Бесплатен, интерфейс один в один как у винрара. из минусов - только в рар паковать нельзя, но зато можно в 7zip. И кстати архив который давал NikolayD в нём прекрасно открываецо.

P.S.: пропиарил)

| Сообщение посчитали полезным: mak, NikolayD

NikolayD
Выбирай метод сжатия Deflate и всем будет счастье ;)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: sivorog

Все никак не найду время доделать отдеморфленные файлы криптора 2.3.9, поэтому решил выкладывать промежуточные итоги, т.к. кому-то они возможно помогут в изучении криптора.

Часть первая

http://www.revenge-crew.com/xchg/kio/EXECrypt.v2.3.9.Restored.Code.zip (Zip, 1 Мбайт)

Внутри:

1. Распакованная консольная часть криптора 2.3.9 (EXECrypt.exe)
2. Листинги восстановленного кода и вызовов API криптора из кода

Листинги кода сделаны для Multimate Assembler (MA), т.к. я восстанавливаю код с помощью него примерно так:

1. Добавляем секцию к файлу
2. Собираем восстановленный код в один текстовый файл
3. Вначале файла вставляем заголовки из восстановленного кода (то что идет до комментариев)
4. Затем вставляем сам восстановленный код

В итоге должно получить что-то вроде:

<458396> jmp @restored_code_458396
<458502> jmp @restored_code_458502
...

<адрес начала созданной секции>

@restored_code_458396:
lea edx, [ebp+FFFFFFC4]
...

@restored_code_458502:
lea edx, [ebp+FFFFFFB0h]
...
...

Затем все это дело вставляем в файл с помощью MA и потом изучаем полученный файл с помощью IDA.


Дополнение 1

Код вида

@restored_code_45D45D:
cmp dword ptr [786E44h], 43B84Ah
jnz 45D47Ah
jz @loc_7C6CCC

@loc_7C6CCC:
cmp dword ptr [786E44h], 43B84Ah
jnz 45D47Ah
jz @loc_6E5B6C

Это упрощенный/переделанный макрос CRYPT_REG/CRYPT_UNREG, т.е. к исходному коду он отношения не имеет, а был добавлен криптором при защите кода.
И само собой изначально там нет прямого сравнения только 1-й регистрационной константы (dword ptr [786E44h]) с правильным значением (43B84Ah).

Напомню, что этот макрос нужен для того чтобы выполнялся один код если прога зарегана и другой код если прога незарегана.

Дополнение 2

Файлы ecwrappers_XX - это листинги какие API криптора вызываются из восстановленного кода.
Файлы с листингом кода и вызовами API сопоставляются по адресу в имени файла (т.е. ecwrappers_45D47A.txt относится к code_45D47A.txt).

Формат простой:

1. ## - Номер
2. Address - адрес где вызывается в коде (в файле с восстановленным кодом адреса идут справа в комментариях)
3. Wrapper - адрес начала враппера к API
4. Api - адрес настоящего начала API
5. Name - тип вызываемой API

Напомню, что врапперы в крипторе используются чтобы скрыть настоящее начало API функции и чтобы даже если начало API нашли, то нельзя было посмотреть откуда она вызывается по XREF'ам.

| Сообщение посчитали полезным: yanus0, drone, mak, Jim DiGriz

нахождение некоторых полезных констант


6d89_08.09.2012_EXELAB.rU.tgz - reg-const.zip

| Сообщение посчитали полезным: DimitarSerg, Vnv, kioresk

хм, хоть бы описалово в неск. строчек, что за константы и чем полезны

| Сообщение посчитали полезным: schokk_m4ks1k

SReg
если чисто экзекрипторная регистрация в программе то в этих 8 двордах (получаемых скриптом) находится
вся инфа о зарегистрированности

| Сообщение посчитали полезным:

Ребят, подскажите пару моментом по EXECryptor"у, а то я себе уже моск сплавил...

Есть прого: http://sderni.ru/150496 (пасс: qp1212zm). На ней висит какая-то хрень. Аналайзеры орут - PeTite (что явно не оно), или вообще неупаковано, но есть основания полагать, что там EXECryptor 2.хх. Это бы ничего, но он, зараза, какой-то странный. Не могу понять, где подвох...

Импорт валяется в открытом виде. Из антидебага - только проверка контрольки памяти, которая убивается за две секунды. Сам код тоже, по идеи, никак не упакован.

Но есть пара "чудных" моментов:
Во-первых, его не берут ни одна из тулз или скриптов, что у меня в наличии.
До ОЕР дотопать ни одним из известных мне способов нифига не получается. Абсолютно по мазохистски откатываясь по процедурам назад набрел на такое место - по идее ОЕР:



но поймать момент перехода упаковщика на ОЕР (если это таки она) все равно не получается.

дальше: есть процедура проверки лицензии, которая вызывается на старте проги:



Так вот, я чего-то совсемь не доганяю:
А) на проге нет (кроме контрольки памяти) никакой защиты, нифига не попаковано, проверка серийника, которая обращается в секцию пакера и что-то там активно криптит, отламывается патчем одного перехода - как-то не слишком похоже на EXECryptor...
Б) с другой стороны, никак не могу отломать сам пакер от программы (хотя вроде как и нет смысла, но все же - спортивный интерес).

Будет свободная минутка, товарищи продвинутые, просветите, пожалуйста, что это за ересь такая.

| Сообщение посчитали полезным:

Simargl
execryptor с опциями спереть oep, виртуализация куска кода, похоже. паковки нет

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

OEP


| Сообщение посчитали полезным:

Разобрался. Всем спасибо!

tihiy_grom
буду благодарен, если подскажеш, как ты до ОЕР дошел. а то у меня по нормальному так и не получилось.
я так понимаю, прот спер ОЕР себе в секцию и первую команду завиртуалил?
откуда идет джамп я знаю, а вот первый колл все равно поймать не могу))

| Сообщение посчитали полезным:

скрипт запускать с OEP



| Сообщение посчитали полезным:

Ребят, перезалейте пожалуйста кто-небудь сборку из этого поста:
--> Link <--

tihiy_grom
я так куда то безвозвратно в дербри seh улетаю. ну, ладно, всер равно уже вроде как разобрался. спасибо.

| Сообщение посчитали полезным:

А где сам протектор Execryptor скачать ? Мне нужна версия 2.2, сейчас читаю статьи vnekrilova про распакову программы prevedsms на версии 2.2. Но не могу найти в гугле ни этой программы версии 5.1, ни протектора этого. У него хоть есть официальный сайт ?

| Сообщение посчитали полезным:

kola1357 пишет:
А где сам протектор Execryptor скачать ? Мне нужна версия 2.2, сейчас читаю статьи vnekrilova про распакову программы prevedsms на версии 2.2. Но не могу найти в гугле ни этой программы версии 5.1, ни протектора этого. У него хоть есть официальный сайт ?

Все прекрасно ищется. А сайт вот http://www.strongbit.com/execryptor.asp (первая ссылка в гугле).

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Все прекрасно ищется
А где программу взять для 5.1 ?
И не вижу ссылок на скачивание на этом сайте. Какой оттуда скачать надо ?
Я скачал этот EXECryptor 2.3.9 from 20 Mar 2006, установил, но при запуске он пишет Dubeger detected [97]
Все отладчики выключены. Что это за ошибка ? Или он на 7 не работает?

| Сообщение посчитали полезным:

kola1357:
А где сам протектор Execryptor скачать ? Мне нужна версия 2.2

Версия EXECryptor v2.2.6 лежит на форуме в разделе "скачать", подраздел "Упаковщики и протекторы"

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

kola1357 пишет:
А где программу взять для 5.1 ?
--> Link <--

| Сообщение посчитали полезным:

Спасибо за программу.

Еще одна ошибка произошла, скачал я execrypter с того сайта, попробовал им упаковать программу. Упаковал, написал что выполнено успешно. Пробую запустить программу и получаю ошибку о том, что что-то пошло не так, и программа будет закрыта.
Почему так происходит подскажите, пожалуйста. Уже не первый раз так у меня бывало, что после упаковки протектором, программа отказывается работать. ОС у меня: windows 7 32 бита.

| Сообщение посчитали полезным:

kola1357

Потому что EXECryptor v2.2.6 был изобретен задолго до 7 и даже висты, и автор не подозревал, что появятся такие оси, где exe будет грузиться в памяти куда попало.

| Сообщение посчитали полезным:

Vovan666 пишет:
EXECryptor v2.2.6 был изобретен задолго до 7
Спасибо, значит, изучать крекинг в оллудбг только на хп можно нормально, потому что на 7 все сильно лагает, к примеру, плагин olly advanced, из-за него оллу вылетает там сразу.

Также еше по Execryptor вопрос. Интересуюсь антиотладочными приемами. Читал лекции Рикардо Нарвахи, но он рассказывает самые основные. А в том же плагине olly advanced я увидел много антиотладочных функций, про которые я увы не нашел в его лекциях.

Так вот мне интересно отлаживать программу руками. Поэтому такой вопрос: какие антиотладочные приемы использует Execryptor ? Слышал про CreateThread И WaitSingleObject, про них знаю в этом протекторе. Но думаю, что он не только эти использует, а какие еще есть у него ?
Потому что чтобы мне запустить программу в отладчике, мне нужно поставить бряки на все апи функции антиотладки, которые использует этот протектор. Подскажите их, пожалуйста.

Также может кто объяснит как Execryptor определяет мой отладчик оллу, который запускается под другим именем процесса, имя окна и класс скрыты. Когда я запускаю программу, упакованную в Execryptor, вне отладчика, то отладчик сразу закрывается. Это я говорю про отладчик от Рикардо, который Parcreado4.exe

| Сообщение посчитали полезным:

kola1357
kola1357 пишет:
но он рассказывает самые основные. А в том же плагине olly advanced я увидел много антиотладочных функций, про которые я увы не нашел в его лекциях.

f3e2_06.03.2013_EXELAB.rU.tgz - ollyadvanced.chm

Add: попробую без адвенседа с одним только Фантомом, его за глаза должно хватить для криптора.

| Сообщение посчитали полезным:

Где-то на этом сайте видел статью, в которой описываются оеп программ, написанных на делфи, на си ...
Но никак найти не могу, поиск форума измучал уже.
Также вот еще 1 проблема. Написал простенький крекми на с#, пробую открыть его в олли, а он не останавливается на точке входа, а сразу запуск программы происходит. Почему так, может кто сталкивался с этим, помогите, пожалуйста.

| Сообщение посчитали полезным:

kola1357 пишет:
Где-то на этом сайте видел статью, в которой описываются оеп программ, написанных на делфи, на си ...

Зачем вам статьи откроите, любую программу в OllyDbg не запакованную на делфи, или си, и увидите как выглядит настоящие OEP. Криптор обычно, начало из OEP полиморфит вставляет джампы, чтобы затруднить поиск OEP. Но такие функции как первый
CALL GetModuleHandleA, он не трогает, это может быть первый признак что гдето рядом OEP, в rar статьях vnekrilov, об этом подробно писал. Си прогах примерно также. --> Link <--

| Сообщение посчитали полезным:

Пожалуйста, поделитесь...
EXECryptor 2.3.9 или ниже DeVirtualizer / DEVM скрипт или инструмент.

| Сообщение посчитали полезным:

NeverMore пишет:
EXECryptor 2.3.9 или ниже DeVirtualizer / DEVM скрипт или инструмент.
http://tuts4you.com/download.php?view.2863

| Сообщение посчитали полезным:

ExeCryptor Basic Unpacker 1.0 by LCF-AT (script)

--> тутси <--


a94d_05.04.2013_EXELAB.rU.tgz - ExeCryptor Basic Unpacker 1.0.rar

| Сообщение посчитали полезным: