[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

vnekrilov
Насколько я помню турки вроде бы делали по этой проге флештутор , сам я прогу не смотрел, так как имхо если сам винрар не востановит архив то другие вошебные лекаря тем более, так у них были вроде траблы с внутреней таблицей криптора..

| Сообщение посчитали полезным:

pavka пишет:
Насколько я помню турки вроде бы делали по этой проге флештутор

Я не видел флештутор турков. А, с точки зрения восстановления архивов, неплохо работает программа RAR Recovery Toolbox. Эту программу я просто использовал в качестве примера, запакованную EXECryptor.

| Сообщение посчитали полезным:

vnekrilov пишет:
Я не видел флештутор турков.
Я к тому у них была широкая дискусия по поводу того что выложеный с тутором файл не запускался на разных осях..

| Сообщение посчитали полезным:

pavka пишет:
vnekrilov пишет:
Я не видел флештутор турков.
Я к тому у них была широкая дискусия по поводу того что выложеный с тутором файл не запускался на разных осях..

ага, только что глянул, у меня завалялся тутор (Unpacking & Cracking RAR Repair Tool 3.0 by Why Not Bar) pdf (не суть важно) и фаел к нему, там действительно трабл с импортом kernel32 =)

З.Ы.
Ни этот тутор, ни другие не похожи на туторы тов. vnekrilov'а =) Всё последоветельно и чётко, разобрал для себя то, что не пог уловить у других авторов.

| Сообщение посчитали полезным:

pavka пишет:
В смысле Нарваха реверсер и писатель плохой?

где я это сказал? я не знаю испанский язык и поэтому не могу с уверенностью говорють о уровне Нарвахи, но если судить по его циклы об Ольге для новичков, то парень пишет толково.

pavka пишет:
Имхо сравнение с Нарвахой не самый плохой вариант ;)

Арчи не сравнил, а обвинил в плагиате. Ну или я не доконца понимаю некоторые аспекты русского языка и не так понял Арчи.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Арчи не сравнил, а обвинил в плагиате.

Не думаю, что Archer обвиняет меня в плагиате. Действительно, методика распаковки разных пакеров практически одинакова: Поиск ОЕР -> Восстановление IAT -> Восстановление VM -> Получение рабочего дампа. Да и подходы к решению этих задач практически одинаковы, за исключением небольших нюансов. Поэтому, когда кто-то пишет туториал, он объясняет этот процесс распаковки программы, как может. Кто-то объясняет это лучше, кто-то хуже. С точки зрения отточенности объяснения, очень хорошо пишут туториалы Ulaterc, Ricardo Narvaja и Solid. Во всяком случае, их стиль написания мне очень близок по духу. Так, например, Ulaterc предложил прекрасную таблицу для восстановления таблицы INIT для программ Delphi. В своем туториале по распаковке AsProtect я использовал его метод использования таблицы для объяснения процесса восстановления INIT, чтобы это было понятно читателям (естественно, со ссылкой на него). Возможно, по этой причине, мои статьи напомнили Archer статьи CrackLatinos.

| Сообщение посчитали полезным:

vnekrilov пишет:
очень хорошо пишут туториалы Ulaterc, Ricardo Narvaja и Solid
Мне у них больше всего нравятся туторы Моралеса У него очень неординарный подход и пожалуй имхо это самый полезный автор у них ;)

| Сообщение посчитали полезным:

Хочу сразу прояснять ситуацию-никаких обвинений/наездов/оскорблений и тд не было, просто общее оформление похоже, вот стало любопытно, я и спросил.

| Сообщение посчитали полезным:

Мне кажется что всё таки надо признать,и отдать должное Внекрылову.И стар(звезда) и млад,каждый возьмёт для себя что нибудь на заметку.
И как пример,вот лучше и доходчивей туториалов не встречал.
Что у кого позаимствовано уже не важно,Валя молодец,пиши дальше!!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

sER пишет:
ага, только что глянул, у меня завалялся тутор (Unpacking & Cracking RAR Repair Tool 3.0 by Why Not Bar) pdf (не суть важно) и фаел к нему, там действительно трабл с импортом kernel32 =)
да этот он не турок а вьетнамец вроде бы ;)
sER пишет:
Ни этот тутор, ни другие не похожи на туторы тов. vnekrilov'а =)
дело не в том похож или не похож ... Как я понимаю vnekrilov так же не делал фикс для осей как и Why Not Bar?

| Сообщение посчитали полезным:

Здраствйте, есть программа SSWx65, надо распаковать, чтобы в дальнейшем покапаться в ней.

PEid выдает как UPX 0.80 - 0.84 -> Markus & Laszlo
DIE эврестическим анализом показывает ExeCryptor 2.1.x

В IDA посомтрел на EP сразу джамп а потом просто идет сигнатура UPX
По названиям секций тоже больше похоже на ExeCryptor


Прога старая и версия на самом деле может быть такая, навороченной антиатладки по ходу нет.
Т.к. у меня в olly shadow без игры с планиами ollyAdvanced и Phantom нормально работает

OEP - 4014A6

сдампил.

IAT - я считаю по адресам:
start 404190
end 4048FA
length 769

Решил попробывать восстановить импорт с помощью скрипта от PE_Kill, но тут загвоздка, как не пробую уже на второй записи пишет, что запись is bad и т.д.

Я понимаю, что проблема скорее всего с руками и где-то я туплю.
Не могли бы вы помочь мне разобраться с этой проблемой.Просьба сильно не ругаться Заранее благодарен.

Положил архив программы на разные файлообменники.

[url=http://rapidshare.com/files/53511010/SSWx65.rar.html] rapidshare.com/files/53511010/SSWx65.rar.html
[/url]
ifolder.ru/3235579
slil.ru/24815968

| Сообщение посчитали полезным:

kukuruku создай плиз отдельную тему, и уже там все будут флудить...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

pavka пишет:
Как я понимаю vnekrilov так же не делал фикс для осей как и Why Not Bar?

раз в туторе этого нет - сталобыть - не делал.

| Сообщение посчитали полезным:

странно что до сих пор скрипта по фиксу для осей нет

| Сообщение посчитали полезным:

...r99 пишет:
странно что до сих пор скрипта по фиксу для осей нет

я так и не разобрался как фикс можно сделать... может кто подскажет, особенно если это зависит от метаморфного кода криптора, сдампленного на другой оси...

| Сообщение посчитали полезным:

RSI пишет:
я так и не разобрался как фикс можно сделать... может кто подскажет, особенно если это зависит от метаморфного кода криптора, сдампленного на другой оси...
Где то в одной из последних тем по криптору разбирали недавно ..

| Сообщение посчитали полезным:

pavka пишет: Где то в одной из последних тем по криптору разбирали недавно ..
Может тут?
http://www.exelab.ru/f/action=vthread&forum=1&topic=9454&p age=0#30

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

RSI,

после распаковки программы криптор сохраняет адреса начала библиотек и функций в своей секции. Значения эти раскиданы по секции, некоторые хранятся в открытом виде, а некоторые изменяются с помощью сдвига на определенное значение, различное для каждого адреса (что-то вроде shr eax, X), и потом сохраняются. При вызове значение обратно сдвигается и затем используется.

Поэтому писал, что нужно дампить секции после их заполнения и исправления адресов переходов (имхо, это проще, чем забивать нулями раскиданные по секции адреса).

Еще криптор хранит в секции кода программы адрес функции GetModuleHandleA. А в своей секции хранит указатель на этот адрес. Если указатель не обнулить (при выполнении он проверяется, если там 0 — адрес функции заново вычисляется) или не исправить, чтобы он указывал на эту функцию в восстановленном импорте, то тоже будет вылетать ошибка.

Найти место можно по строке VirtualFree (рядом с ней еще функции будут). Если такая есть в секции кода, то после нее обычно хранится адрес, по бряку на котором (или в Иде через ссылки) можно найти указатель в секции криптора.

| Сообщение посчитали полезным:

kioresk
Спасибо!
Мне интересно откуда такая информация и можно ли где-нить еще новое узнать ( можно в ЛС :s1.
Или это твои личные наблюдения и выводы?

| Сообщение посчитали полезным:

kioresk пишет:
после распаковки программы криптор сохраняет адреса начала библиотек и функций в своей секции. Значения эти раскиданы по секции, некоторые хранятся в открытом виде, а некоторые изменяются с помощью сдвига на определенное значение, различное для каждого адреса (что-то вроде shr eax, X), и потом сохраняются. При вызове значение обратно сдвигается и затем используется.
да это и без тебя давным давно выяснили чего повторять одно и то же тем более сказаное кем то ... Речь идет об автоматизации процесса ;)

| Сообщение посчитали полезным:

pavka пишет: Речь идет об автоматизации процесса ;)
Додо, мы давно говориле что надо писать стрипер, тем более что все данные уже есть.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

RSI пишет:
Мне интересно откуда такая информация и можно ли где-нить еще новое узнать

Прочти туториал "ExeCryptor official crackme" by haggar, в котором он описал эти проблемы с дампом, и предложил пути для их разрешения.

| Сообщение посчитали полезным:

vnekrilov пишет:
и предложил пути для их разрешения.
Хм .. насколько я помню там снимаеться довольно древняя версия криптора и предложен метод инжекта кода для заполнения базовых адресов длл , есть методы и попроще

| Сообщение посчитали полезным:

Все разобрался, оказалось все как kioresk говорил и про секции и про указатель на GetModuleHandleA. Если кому интересно то это прога из запросов на 30 странице - Mototool 1.30 ,
вот я ее ни как не мог заставить работать на 2-х осях...

| Сообщение посчитали полезным:

RSI выложи свой дамп Mototool

| Сообщение посчитали полезным:

pavka пишет:
есть методы и попроще

Ну так напиши о них как раз тема подходящая, а то постоянно только: мы это знаем и то знаем, ну хоть немного поделись с общественностью своими знаниями в этой области(или же ссылками на нужные источники), желательно простым языком, а то иногда у меня создается такое ощущения, что разговар идет на разных языках. Просто у тебя большой опыт снятия протов, и поэтому ты иногда не замечаешь что некоторые вещи которые тебе и так понятны просто остаются за кадром

З.Ы. не хотел ни чем обидеть...

| Сообщение посчитали полезным:

r99 пишет:
выложи свой дамп Mototool

Вот: ifolder.ru/3256549

| Сообщение посчитали полезным:

r99 пишет:
странно что до сих пор скрипта по фиксу для осей нет
видимо раз r99 удивляеться он давным, давно сделал такой скрипт )

| Сообщение посчитали полезным:

вот мой скрипт - www.fairdell.com/hexcmp/HexCmp2_Setup.exe

| Сообщение посчитали полезным:

pavka пишет:
Додо, мы давно говориле что надо писать стрипер, тем более что все данные уже есть.
угу, я щас пишу восстановление импорта на основе скрипта пе килла, а там оеп finder и все в ажуре...

| Сообщение посчитали полезным: