[url=http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repa ir_Tool_3.0.rar
]http://rapidshare.de/files/33519198/Unpacking___Cracking_RAR_Repair_T o ol_3.0.rar
[/url]
http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z http://rapidshare.de/files/30412021/OllyDbg_Execryptor.7z

| Сообщение посчитали полезным:

sniperZ пишет:
угу, я щас пишу восстановление импорта на основе скрипта пе килла, а там оеп finder и все в ажуре
Вот скоро каиф для лентяев и криворуких будет.Молодец,что ещё сказать.

| Сообщение посчитали полезным:

Djeck пишет:
Молодец,что ещё сказать.

Рано снипера хвалишь, он еще тот распиздяй, может и бросить... вот когда сделает тогда ДА!

sniperZ
Эт я так чтоб ты не расслаблялсяя.....

| Сообщение посчитали полезным:

А еще про стрипер йа все время толдычу, паффко как раз протев всяких авто процессов, ибо тогда даже максимус сможет его сломать, а этого паффко не переживет...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
я тоже одно время думал про стрип,но если написать восстановлние импорта не сложно, но оеп finder это проблема...

| Сообщение посчитали полезным:

Maximus пишет:
паффко как раз протев всяких авто процессов
Зря ты так, у Павыча просто адекватная реакция на пустые заявы.
И на слабо его не разведёшь,поэтому в его постах присутсвует сарказм.
Иногда и оправданная критика,а если стрип и появиться,то он наверно раньше всех об этом узнает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

sniperZ пишет: но оеп finder это проблема...

Я знаю что есть оеп финдер от хагара (хрен знает как он работает), и от пафки (но тогда придется по идее выбирать ОЕП из нескольких предложенных).... ну может еще есть какие хитрые методы (думаю знаед kioresk,pavka)...

Если даже сделать дамп секций криптора+проги+восстановление импорта+нахождение адресов стандартного апи+фикс crc, уже будет большой скачек, остальное можно дописать по мере необходимости.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Скрипт для Иды, приводящий код в секциях криптора к более читабельному виду:

— EXECryptor code organizer 1.0 http://www.box.net/shared/lylo32vu5j (7-Zip, 1 Кбайт)

При анализе дампов в Иде давно им пользуюсь, поскольку Ида расценивает код в секциях криптора как прямолинейный и генерирует неправильный код. Как-то раз (когда надоело вручную исправлять небольшие куски кода) набросал этот скрипт. Код не весь правильно отображается, но получше, чем при стандартном анализе Иды, да и ссылок (xref'ов) явно побольше становиться.

Логика простая:

1. Сбрасываем весь код текущей секции, т.е. делаем undefine
2. Ищем в секции команды call, jmp, jcc
3. Вычисляем адрес перехода для каждой команды
4. Если он в пределах файла, то делаем команду на этом месте и куда указывает переход
5. После команды call делаем два дворда с данными (хотя их не всегда два и иногда вообще нет)

Как использовать:

1. При загрузке файла в Иду, снимаем галку с анализа (Analysis — Enabled)
2. Ctrl+S, переходим в нужную секцию
3. Запускаем скрипт
4. Запускаем анализ файла

| Сообщение посчитали полезным:

Свежий тутор
ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN
rapidshare.com/files/55125288/ExeCryptor_2.2.x_-_2.3.x_Unpacking_tutorial_-_By_EvOlUtIoN.rar.html

| Сообщение посчитали полезным:

pavka пишет:
ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN
епт, 8мв...что там такого интерестного?

| Сообщение посчитали полезным:

sniperZ пишет:
епт, 8мв...что там такого интерестного?
Это походу видеотутор.. поэтому и размер такой

| Сообщение посчитали полезным:

sniperZ пишет:
епт, 8мв...что там такого интерестного?
"Hi, this is my last work.
I hope you like it.
I show how to completely unpack ExeCryptor protected files also for all PC's."

| Сообщение посчитали полезным:

Может выложите ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN на другой сервак (слил.ру например)

| Сообщение посчитали полезным:

долго ж он его рожал
наверно этот топик можно закрыть теперь

| Сообщение посчитали полезным:

Gmc пишет:
Может выложите ExeCryptor 2.3.x Unpacking Tutorial By EvOlUtIoN на другой сервак (слил.ру например)

dump.ru/files/j/j44931473/
www.megaupload.com/?d=ZT3RQ1R
ifolder.ru/3324389

| Сообщение посчитали полезным:

r99 пишет:
наверно этот топик можно закрыть теперь
не руби с плеча, наверняка ещё возникнет куча вопросов и после этого тутора. Возможно у кого-то возникнут свои комментарии и дополнения. Возможно кто-то сделает это лучше, а кто-то чего-то не поймёт.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

ManHunter
Спасибо!

| Сообщение посчитали полезным:

Тутор в принципе неплохой. Не видео, а PDF, только с примерами прожек и тд. Довольно хорошо написано, как дотопать до ОЕП, с импортом чуть похуже, сослался на плаги/проги. Из антиотладки в основном только треды затронул. Немного есть про лоадеры и, как и везде, вообще что-либо отсутствует про мусорный код. В общем и целом-тутор неплохой, для общего образования.

| Сообщение посчитали полезным:

ExeCryptor Dumper version 0.1 beta 1 by RSI

Вот дописал тулзу - это дампер для прог накрытых криптором.
---------------------------------------------------------------------- -------------------------------------------------------------------
Итак что он делает:
1) Дампит прогу, причем в дампе секции криптора остаются не инициализированными, т.е. этот дамп должен работать на других осях.
2) Ищет указатель на GetModuleHandleA и если находит, то обнуляет его ( эта фишка обсуждалась выше )
3) Фиксит TLS ( если она не нужна то обнуляет )
---------------------------------------------------------------------- -------------------------------------------------------------------
Теперь что он не делает (но хотелось бы ):
1) Поиск OEP
2) Восстановление импорта
3) Не фиксит проверку CRC

Потестите кому интересно, даете тулзе упакованный файл затем на выходе получаете дамп и остается восстановить импорт и найти (восстановить) OEP + если есть CRC.

P.S. Думаю что это можно считать небольшим шагом к написанию распаковщика ( поэтому специально реализовывал как библу ), следующий ход за снипером, кот. дописывает ImpRec для криптора, ну а дальше надо подумать над написанием OEP Finder...

<img src="img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","0f29_12.09.2007_CRACKLAB.rU.tgz");< /SCRIPT> - ExeCryptor_Dumper beta1.rar

| Сообщение посчитали полезным:

Не приаттачился....

0502_12.09.2007_CRACKLAB.rU.tgz - ExeCryptor_Dumper beta1.rar

| Сообщение посчитали полезным:

ппц, дамп + фикс tls 3 строчки кода.
самое сложное в : RSI пишет:
1) Поиск OEP
2) Восстановление импорта
3) фикс провери CRC
этим и надо заниматься...

| Сообщение посчитали полезным:

sniperZ пишет:
ппц, дамп + фикс tls 3 строчки кода.

Ну попробуй........

З.Ы. Ты бу лучше делом занимался, а то и так уже на 153.2 нафлудел, мож от тебя хоть какая-то польза будет кроме обсираний других...

| Сообщение посчитали полезным:

Привет всем на этом форуме !

Пишу первый раз и прошу сильно не топтать ногами Говнопротом занимаюсь не очень давно, но сильно увлекся этим. Очень помогли Ваши туторы и обсуждения. Сейчас пишу скрипт для декомпиляции полиморфа(хотя в привате он наверное давно есть, а в паблике его никогда не будет). Будет готов пререлиз, обязательно выложу.
Снимаю же прот данным скриптом и пока проблем не было.

1. загружаем прогу в OllyShadow+Fantom
2. запускаем скрипт и отвечаем на вопросы
3. дампим при помощи OllyDump

Это все... Далее можно при помощи hiew(F6) найти OEP и, при желании, спертые байты(для MSC это элементарно, а для борландовских поделок лучше не заморачиваться).
И вот вопрос к гуру. Найдя свободное место в дампе, хотелось бы переместить туда импорт и отрезать ненужные секции криптора. Какой прогой это можно сделать(ведь достаточно от всех записей IAT отнять константу), ну очень неохота писать свою прогу да и некогда.
Стандартные многошаговые приемы(с импреком) не предлагать - ведь так неинтересно и неудобно !


eea2_14.09.2007_CRACKLAB.rU.tgz - ExeCryptor By.PE_Kill.txt

| Сообщение посчитали полезным:

LazyCat пишет:
И вот вопрос к гуру. Найдя свободное место в дампе, хотелось бы переместить туда импорт и отрезать ненужные секции криптора.

Ты видимо плохо форум смотришь..., т.к. импорт можно почти всегда записать обратно в ту же секцию
( на это обычно хватает в ней места), а секции, почти никогда, отрезать не получится т.к. часть вызовов из кода переносится туда...

LazyCat пишет:
найти OEP и, при желании, спертые байты(для MSC это элементарно, а для борландовских поделок лучше не заморачиваться).

Вот если взять Borland C++, то там то как раз элементарно восстановить OEP...

А насчет скрипта, я думал что-то новенькое.....

А насчет скрипта по декомпиляции, я буду тока за, т.к. очень мало по этому инфы.

| Сообщение посчитали полезным:

LazyCat пишет:
Сейчас пишу скрипт для декомпиляции полиморфа
парень, там многослойный метаморф, удачи...

| Сообщение посчитали полезным:

sniperZ пишет:
парень, там многослойный метаморф, удачи..
Хм. деморфер, скриптом утопия

| Сообщение посчитали полезным:

RSI пишет:
Ты видимо плохо форум смотришь..., т.к. импорт можно почти всегда записать обратно в ту же секцию
Именно это я и хочу сделать, а отрезание секций - это моя проблема и спрашивал я совсем не это (внимательно нужно читать вопрос !)
pavka пишет:
Хм. деморфер, скриптом утопия
А никто и не говорил, что всю работу делает скрипт(где-то 40%) !!!
Если бы не было успехов, то я бы и не заикался об этом

| Сообщение посчитали полезным:

LazyCat пишет:
Если бы не было успехов, то я бы и не заикался об этом
гм, а можешь поделиться своими успехами? просто интерестно, что ты придумал c морфом...

| Сообщение посчитали полезным:

LazyCat пишет:
А никто и не говорил, что всю работу делает скрипт(где-то 40%) !!!
Ты о чем вообще говоришь то ? что значат эти %?

| Сообщение посчитали полезным:

ExeCryptor 2.2.x - 2.3.x (Unpacking) by EvOlUtIoN

This tutorial explain how to manually unpack all latest versions of ExeCryptor.

In my opinion EC is one of the best protections in the world, it has very good features, and in 90% of cases unpacking will be hard.

I worked for some months on different versions of protector and different targets, and at the end I think to know all possible tricks and protections that it can use, so I'm going to explain what I learnt.

The target I choose for explanation is ExeCryptor executable itself, version 2.3.9 (the last), so I'm sure that maximum protection is used.

--> Download <-- http://www.tuts4you.com/request.php?1921

| Сообщение посчитали полезным:

centner
баян, пафка уже выкладывал...
http://www.exelab.ru/f/action=vthread&forum=1&topic=6273&p age=9

| Сообщение посчитали полезным: