[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

pavka
Ух ты, спасибо, неплохой тутор, спасиб.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

Тутор неплохой, но толку от него по-моему мало.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits пишет:
Тутор неплохой, но толку от него по-моему мало.
толк есть, просто распаковка программы напрямую зависит от настроек криптора

| Сообщение посчитали полезным:

нихрена там не зависит, просто никто в крипторе не разбирался, и распаковывают его каждый раз так, как будто это новый прот. А те кто разбирался писать ничего не будут, вот и появляются стотьи про снятие криптора с минимальными настройками, т.к. тогда можно и без знания криптора его снять....

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Тутор от haggar по ExeCryptor 2.3.9
www.reversing.be/article.php?story=20061206203632615

| Сообщение посчитали полезным:

pavka

Тоже самое в ПДФ.


e846_06.12.2006_CRACKLAB.rU.tgz - ExeCryptor 2.3.9 - Unpacking.pdf

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

туторы haggar'овские можно найти на оф.сайте reversing.be

| Сообщение посчитали полезным:

этот мне понравился


3057_10.03.2007_CRACKLAB.rU.tgz - ExeCryptor offcial.zip

| Сообщение посчитали полезным:

Что с аттачами? последние два не читаются... тось не находятся
можт на рапиду залейте.

-----
Researcher

| Сообщение посчитали полезным:

r99 тутор не качается кинь еще раз пожалуйста!

| Сообщение посчитали полезным:

ssasha
reversing.be/

| Сообщение посчитали полезным:

может кому сгодится
rapidshare.com/files/30189552/24rc1b2.zip.html
внутри консольная часть: оригинал и распакованная (по крайней мере на XP sp2 rus и w2ksp4rus пишет
- ключ неправильный )

| Сообщение посчитали полезным:

Помогите с распаковкой. PeId говорит EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1) *
я в этом деле новичек, вроде все сделал правильно, востановил импорт, нашел EP. Все равно не запускается. В архиве исходный файл, и распакованый + tree Importrec-a
http://slil.ru/24444691 http://slil.ru/24444691
Thanx

| Сообщение посчитали полезным:

kojak
тебе OEP нужен
спроси у Павки ( у него энциклопедия по ним)

| Сообщение посчитали полезным:

дак я нашел OEP и stolen bytes тоже. так как прога на делфи написана, изменил TLS Directory EC на делфийскою.. но не пашет чето..

| Сообщение посчитали полезным:

дык OEP должен выглядеть скорее так

push ebp
mov ebp,esp
add esp,-x
mov eax,49a6d8
call 406d00
jmp xxxxx

чем так

mov eax,49a6d8
jmp 406d00

| Сообщение посчитали полезным:

r99 пишет:
push ebp
mov ebp,esp
add esp,-x
mov eax,49a6d8
call 406d00
jmp xxxxx

чем так

mov eax,49a6d8
jmp 406d00

в принципе прога запустится и если просто в еах заслать dword
только как правило криптор тырит пять ,шесть процедур со стаба или весь стаб да при инициализации чекает пару тройку раз ;)

| Сообщение посчитали полезным:

т.е. получается то что находится по 49a6d8 не похоже на оригинальный код?
Пробовал искать референсы на 49a6d8, ниче не находит

| Сообщение посчитали полезным:

в смысле процедура по адресу 49a6d8, в оригинальном коде вызывается из OEP или еще из другой?
честно говоря мне не понятно, потому как 49a6d8 похоже на оригинальное OEP. Просветите плиз.

затыкается здесь
0044C71C 73 5E JNB SHORT Dumped3_.0044C77C

| Сообщение посчитали полезным:

kojak
Если я правилно понял то ты написал начало mov eax,49a6d8
jmp 406d00
а дальше то чего ты хочешь? какой код у тебя будет выполняться Предположим отработал у тебя первый кэлл а дальше то что куда возврат?

| Сообщение посчитали полезным:

pavka

49a6d8 - это указатель на таблицу инициализации
406d00 - адрес предполагаемого OEP

На мой взгляд ОЕП правильный так, как если поставить бп 404590 тут с ней чета делается,
вызываются другие процедуры, к примеру как с 44c704.
Но видимо чего-то не хватает, т.к. приложение закрывается, окно не появляется

| Сообщение посчитали полезным:

kojak не зли Павку
на улице +30
лучше посмотри реальную прогу на Делфи не пакованную

| Сообщение посчитали полезным:

смотрел япока не выходит каменный цветок

| Сообщение посчитали полезным:

pavka пишет:
бп 404590 тут с ней чета делается,
Там не че то должно делатся ;) Вот пример тебе
00442BBF _> 55 push ebp
00442BC0 8BEC mov ebp,esp
00442BC2 83C4 F0 add esp,-10
00442BC5 53 push ebx
00442BC6 B8 EC294400 mov eax,_CrazyMi.004429EC ; ,
00442BCB E8 0427FCFF call _CrazyMi.004052D4 <-------------------------- 1 Сall обработал таблицу
00442BD0 8B1D D0414400 mov ebx,dword ptr ds:[4441D0] это как правило сперто
00442BD6 8B03 mov eax,dword ptr ds:[ebx] исполняется в коде прота
00442BD8 E8 3B6BFEFF call _CrazyMi.00429718
00442BDD 8B0D 0C3F4400 mov ecx,dword ptr ds:[443F0C] ; _CrazyMi.0044578C
00442BE3 8B03 mov eax,dword ptr ds:[ebx]
00442BE5 8B15 586B4300 mov edx,dword ptr ds:[436B58] ; _CrazyMi.00436B98
00442BEB E8 406BFEFF call _CrazyMi.00429730
00442BF0 8B0D 64404400 mov ecx,dword ptr ds:[444064] ; _CrazyMi.0044662C
00442BF6 8B03 mov eax,dword ptr ds:[ebx]
00442BF8 8B15 48EF4300 mov edx,dword ptr ds:[43EF48] ; _CrazyMi.0043EF88
00442BFE E8 2D6BFEFF call _CrazyMi.00429730
00442C03 8B0D CC404400 mov ecx,dword ptr ds:[4440CC] ; _CrazyMi.00445794
00442C09 8B03 mov eax,dword ptr ds:[ebx]
00442C0B 8B15 6C784300 mov edx,dword ptr ds:[43786C] ; _CrazyMi.004378AC
00442C11 E8 1A6BFEFF call _CrazyMi.00429730
00442C16 8B0D 78414400 mov ecx,dword ptr ds:[444178] ; _CrazyMi.00445770
00442C1C 8B03 mov eax,dword ptr ds:[ebx]
00442C1E 8B15 28674300 mov edx,dword ptr ds:[436728] ; _CrazyMi.00436768
00442C24 E8 076BFEFF call _CrazyMi.00429730
00442C29 8B0D D8414400 mov ecx,dword ptr ds:[4441D8] ; _CrazyMi.004457B4
00442C2F 8B03 mov eax,dword ptr ds:[ebx]
00442C31 8B15 64814300 mov edx,dword ptr ds:[438164] ; _CrazyMi.004381A4
00442C37 E8 F46AFEFF call _CrazyMi.00429730
00442C3C 8B0D A4404400 mov ecx,dword ptr ds:[4440A4] ; _CrazyMi.004457BC
00442C42 8B03 mov eax,dword ptr ds:[ebx]

| Сообщение посчитали полезным:

А ктонить может обновить линк на OEPFinder v.X.Y.Z ?
ЗЫ. Зарание спс 8)

| Сообщение посчитали полезным:

xenus
Ссыль на сайт автора Deroko, наверно, там последняя hххp://deroko.phearless.org/oepfinder.zip

| Сообщение посчитали полезным:

Или сани не едут или ... или экзэшник долбанутый =)

Помогите разобараться, пробовал распоковать экзешник(в PEid написал "EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h3) *") при помощи различных туториалов(из этого поста) распоковать одну прогу но все гденить да спотыкаюсь... сперва споткнулся: OEP Finder v X.Y.Z при трэйсе экзэшника просто сильно ругался, а потом при запуске скрипта "Bypass AntiDBG OEP.txt" вопще процесс остановился на "LOCK INT3 ; LOCK prefix is not allowed" ну дальше не буду расписывать...

Помогите распаковать вот этот файлик -> hxxp://xenus-rus.hotmail.ru/ET.zip (~1.3 mb)
И буду очень благодарен если к нему еще описание по распаковке приложат =)

| Сообщение посчитали полезным:

xenus
странный exe-шник
уже 2-й такой встречаю

ps
http://slil.ru/24471443 http://slil.ru/24471443 - нулевой патч

pps
по адресу 00aa85c7 - после распаковки появляется бяка - f0 cc (lock int3)
если заменить f0 на 90 то будет легче

| Сообщение посчитали полезным:

Да олька эксепшены некоторые через задницу хендлит. Хеллспаун должен, наконец, релизнуть очередную версию плага PhantOm, где будет патч этой фиговины. Сам я не вдавался там в подробности с этими исключениями, так что может дело в них, хз.

| Сообщение посчитали полезным:

rapidshare.com/files/35460277/et-unpacked.zip.html

| Сообщение посчитали полезным: