[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

r99 пишет:
rapidshare.com/files/35460277/et-unpacked.zip.html
благодарю. Не расскажешь, как распаковал? Я с ним промучался тоже долго.

| Сообщение посчитали полезным:

так как баротся с этой шнягой и что это детект дебага или что то другое?
LOCK INT1 ; LOCK prefix is not allowed

-----
Никто не знает столько, сколько не знаю я

| Сообщение посчитали полезным:

could you guys Unpack ExeCryptor-Protected files ??
i have a file that i want it to be unpacked, i tried so much, but i was unable to do it.

| Сообщение посчитали полезным:

Я так понимаю туторов про то как правильно падчить проверки на распакованность не было нет и не будет?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

так как баротся с этой шнягой и что это детект дебага или что то другое?
LOCK INT1 ; LOCK prefix is not allowed

- бороться можно, надо создавать дебагер новый, чем-то похожий на компилятор, может быть по-проще. Чтобы он запоминал куда прога пишет и потом использует записанное.
LOCK INT1 - это ловушка, специально придуманая под Олю. Надо чтобы на такие команды оля сразу ставила бряк на предыдущий обработчик экзепшна, (чтобы не пропустить и одной команды,) и спокойно скармливала это г...о программе. Нужен инструмент нового поколения. И тогда борьба эта закончится чисто по причине нехватки терпения юзера ждать пока программа распакуется.

| Сообщение посчитали полезным:

[удалено]

| Сообщение посчитали полезным:

Прочитал весь топик, просмотрел все туты. Но так и не нашел про методику распаковки Dll`ок упакованых
ExeCryptor`ом. Так как все предложеные методики не помогают.
Мучаюсь уже неделю с распаковкой Dll`ки. Знаю, что точно упакована ExeCryptor`ом 2.2.x-2.3.x

Может есть у кого опыт и подскажет?
Буду признателен.

1f40_10.08.2007_CRACKLAB.rU.tgz - Fire.dll

| Сообщение посчитали полезным:

Ну что дорогие ГУРУ не поделитесь секретом распаовки дллок запаковынных ExeCpyptor`ом ?

| Сообщение посчитали полезным:

Argot
Без самой проги её врядли нормально вскроешь,потому что по тем адресам, с этим имиджбейс,ольга грузить не хочет.Попробуй вскрыть из под сабжа,на экспорте которого висит библа,или выправь имиджбейс,и пробуй так.Вскрытие dll ничем не отличается от исполняемых файлов.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Без самой проги её врядли нормально вскроешь
нормально вскрывается, импорт можно выправить как у Павки в туторе про анпак happyharvester2U.exe, ОЕР не сперта. Единственное что нельзя проверить без оригинальной проги (я так понял это прибамбас для сервера LineAge2) - так это работоспособность после распаковки. Могут еще траблы с релоками быть...

| Сообщение посчитали полезным:

s0cpy
Единственное что нельзя проверить без оригинальной проги
Те же яйца,только в профиль
Может я ошибаюсь,но табличка нетронута.А вот ОЕР по ходу размазано.
Чтоб траблов с релоками не было,лучше из под сабжа вскрывать.
Хотя,я не гуру по криптору,да и вообще не гуру,но вопрос же был про то как библы вскрывать.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
А вот ОЕР по ходу размазано.
да, поспешил я с ОЕР... , сорри...
предположительно первый call должен попадать на 13145834...
а ОЕР что-то типа того...:
push ebp
mov ebp, esp
add esp, XXX
mov eax, 1315E0A8

| Сообщение посчитали полезным:

s0cpy пишет:
push ebp
mov ebp, esp
add esp, XXX
mov eax, 1315E0A8
Хм.. странное оеп для дллки ;) а табличку релоков криптор вроде не трет указать место и размер

| Сообщение посчитали полезным:

Для дельфовой нормальное начало,тока там побольше байт потырено.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Для дельфовой нормальное начало
Да нет не нормальное ;) Попробуй дойди с таким началом до процедуры инициализации
---init
131437DC 55 push ebp
131437DD 8BEC mov ebp,esp
131437DF 53 push ebx
131437E0 56 push esi
131437E1 57 push edi
131437E2 A1 38261613 mov eax,dword ptr ds:[13162638]
131437E7 85C0 test eax,eax
131437E9 74 4B je short FireU.13143836
131437EB 8B30 mov esi,dword ptr ds:[eax]
131437ED 33DB xor ebx,ebx
131437EF 8B78 04 mov edi,dword ptr ds:[eax+4]
131437F2 33D2 xor edx,edx
131437F4 55 push ebp
131437F5 68 22381413 push FireU.13143822
131437FA 64:FF32 push dword ptr fs:[edx]
131437FD 64:8922 mov dword ptr fs:[edx],esp
13143800 3BF3 cmp esi,ebx
13143802 7E 14 jle short FireU.13143818
13143804 8B04DF mov eax,dword ptr ds:[edi+ebx*8]
13143807 43 inc ebx
13143808 891D 3C261613 mov dword ptr ds:[1316263C],ebx
1314380E 85C0 test eax,eax
13143810 74 02 je short FireU.13143814
13143812 FFD0 call eax <------------------------- )
13143814 3BF3 cmp esi,ebx
13143816 ^ 7F EC jg short FireU.13143804
13143818 33C0 xor eax,eax
1314381A 5A pop edx
1314381B 59 pop ecx
1314381C 59 pop ecx
1314381D 64:8910 mov dword ptr fs:[eax],edx
13143820 EB 14 jmp short FireU.13143836
13143822 ^ E9 A5FBFFFF jmp FireU.131433CC
13143827 E8 50FFFFFF call FireU.1314377C
1314382C E8 27FDFFFF call FireU.13143558
13143831 E8 76FDFFFF call FireU.131435AC
13143836 5F pop edi
13143837 5E pop esi
13143838 5B pop ebx
13143839 5D pop ebp
1314383A C3 retn

это выход из первого кэла
131C3AAB 33C0 xor eax,eax
131C3AAD 52 push edx
131C3AAE 892C24 mov dword ptr ss:[esp],ebp
131C3AB1 50 push eax
131C3AB2 68 AD868254 push 548286AD
131C3AB7 ^ E9 0EADFFFF jmp Fire.131BE7CA

s0cpy пишет:
Единственное что нельзя проверить без оригинальной проги (я так понял это прибамбас для сервера LineAge2) - так это работоспособность после распаковки.
работоспособность вместе с прогой нельзя а работоспособность длл почему нельзя ? Оеп дописать правильно релоки и пусть дебажит ...доводит до ума..

| Сообщение посчитали полезным:

pavka
Попробуй дойди с таким началом до процедуры инициализации
ну дохожу нормально...
ОЕР у меня теперь выглядит так...:
131C3A9B 55 PUSH EBP
131C3A9C 8BEC MOV EBP,ESP
131C3A9E 83C4 AC ADD ESP,-54
131C3AA1 B8 A8E01513 MOV EAX,Fire_u2.1315E0A8
131C3AA6 E8 891DF8FF CALL Fire_u2.13145834
131C3AAB 33C0 XOR EAX,EAX
131C3AAD 52 PUSH EDX
131C3AAE 892C24 MOV DWORD PTR SS:[ESP],EBP
131C3AB1 50 PUSH EAX
131C3AB2 68 AD868254 PUSH 548286AD
131C3AB7 E9 0EADFFFF JMP Fire_u2.131BE7CA

в процессе инициализации, вот в этом месте...:
1315C778 832D 0C3E1613 01 SUB DWORD PTR DS:[13163E0C],1
1315C77F 73 1A JNB SHORT Fire_u2.1315C79B
1315C781 E9 A2030400 JMP Fire_u2.1319CB28
--------------------
skip
--------------------
1315C79B C3 RETN
а именно JMP Fire_u2.1319CB28 - переход в код криптора...

| Сообщение посчитали полезным:

s0cpy
Сори Чет последнее время все с сишными длл возился ну и переклинило в итоге к то му же пришел
1315E3E6 55 push ebp
1315E3E7 8BEC mov ebp,esp
1315E3E9 83C4 C4 add esp,-3C
1315E3EC B8 A8E01513 mov eax,FireU.1315E0A8
1315E3F1 E8 3E74FEFF call FireU.13145834
1315E3F6 - E9 B0560600 jmp FireU.131C3AAB

| Сообщение посчитали полезным:

Ребят извините если не в тему,а распаковщик для этого говна ни кто не видал?Просто прог с этим протом последнее время очень много попадается,а ручками распаковывать не получается.

| Сообщение посчитали полезным:

Djeck пишет:
а распаковщик для этого говна ни кто не видал?

думаю, что даже в привате пока нет. хотя, судя по послдним постингам это не надолго

| Сообщение посчитали полезным:

С этой библиотекой интересно другое. Она производит перехват пары функций из юзер.ддл. А что вроде бы вызов API, а на самом деле поисходит вызов процедуры программы. Естественно после восстановления импорта этот код теряется. Раньше я такого не встречал, хотя возможно мне это всё показалось.

| Сообщение посчитали полезным:

Gideon Vi пишет:
думаю, что даже в привате пока нет. хотя, судя по послдним постингам это не надолго
Если честно парни вообще молодцы,так ExeCryptor крамсают.Аспр окончательно убили,теперь за это взялись.Да EXECryptor тебе не долго осталось.
P.S> Будем ждать распаковщик!!!

| Сообщение посчитали полезным:

Djeck пишет:
Да EXECryptor тебе не долго осталось.

Надеюсь потом убьют фемиду.

| Сообщение посчитали полезным:

Djeck пишет:
Да EXECryptor тебе не долго осталось.
Да, собственно, с ним уже и сейчас проблем особых нет. Вся необходимая база знаний по распаковке и инлайну есть на форуме. Достаточно уметь пользоваться поиском и чуток мозгов.

P.S. У кого есть сигнатуры OEP для "стандартных" компиляторов, выложите, plz.

| Сообщение посчитали полезным:

diskinternals flash recovery 2.80 - diskinternals.com/flash-recovery/ - любопытный вариант защиты

| Сообщение посчитали полезным:

r99 пишет:
diskinternals flash recovery 2.80 - diskinternals.com/flash-recovery/ - любопытный вариант защиты
серьезные ребята у них все проги не хило защищены..

| Сообщение посчитали полезным:

pavka я имел ввиду что от крипторных crc они отказались и влепили свое

| Сообщение посчитали полезным:

r99, лихо... Если с них пример возьмут (((
YDS, Оффтоп : у китайцефф где-то есть сигнатуры для Фемиды 1.9

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Если с них пример возьмут (((

Пока не разберут морф криптор эта сила.
Хотя разобрать его возможно, потому как я понял, криптор берет исходный код и разбавляет его тусней регистров и переходами всякими, оставляя сам код не тронутым (не то что аспр).

Итого: при наличии трейсера который будет выкидывыть переходы не нужные и стандартный набор команд тусни регистров можно получить более менее читабельный код.
Ну и соответственно криптор, как протектор можно будет похоронить...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
потому как я понял, криптор берет исходный код и разбавляет его тусней регистров и переходами всякими, оставляя сам код не тронутым (не то что аспр).
Это называется "полиморф", видимо ты мало его смотрел, потому что криптор полностью метаморфит некоторые инструкции, превращая одну инструкцию в сотню а то и больше зависящих друг от друга инструкций, дающих на выходе тот же результат, причём довольно качественно, остальные размешивает мусором.

Maximus пишет:
Итого: при наличии трейсера который будет выкидывыть переходы не нужные
Имхо сложно сказать уверенно - что это ненужный переход, а вдруг это не мусор а реальный условный jcc?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Ну если йа не прав, значит криптор навсегда останется силой.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным: