vm for the masses - a vm compiler incl source
от автора:
hi,
i have attached the complete sourcecode of a working vm compiler. this compiler was used for the 'impossible crackme' - crackmes
i have also included a brief explanation of everything
please keep in mind that this vm underwent some major changes (read the impossible crackme threads), thats why parts of the code are messy and smelly
rapidshare.com/files/25706809/xm.zip

| Сообщение посчитали полезным:

Key features:
* Small decryption code (usually 50-200 bytes)
* Random encryption algorithm and decryptor code
* Decryptor can be put in a "cave" or a new section
* Pure X86 assembly language - No WinAPI, DLL calls, etc.
* Keeps extra data at the end of the EXE
* Console and graphical interface

ExeSax is an EXE encryptor that has a very small randomly generated decryptor
code. The decryptor is so small (50-200 bytes) that it usually can be placed
in the padding (or the "cave") after the code section, which means that the
file size won't change. If the cave is too small, or absent (which always
is the case for UPX compressed files), ExeSax will create a new section and
put the decryption code there (this can be a bit buggy, see below).

28 KB

1b01_13.04.2007_CRACKLAB.rU.tgz - exesax-0.9.1.rar

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Павке карты в руки, он у нас самый любознательный в вопросе пакеров, пусть их и ищет сам.

| Сообщение посчитали полезным:

AppPackager compresses and encrypts an EXE file, and then packs into the EXE all the DLLs, ActiveX controls and other files it uses.
This packaging is transparent to the user. He just runs the program as usual.
Packing everything into a single EXE adds extra security, especially when using security-related DLLs (such as 1Way and 1Crypt). It means that you are always sure of having an untampered version of the DLL available for your program.
Hacking the compressed and encrypted package itself would be difficult. ;))
rapidshare.com/files/28520727/AppPackager.rar
Поместить WSYS049.SYS в %windir%
To place WSYS049. SYS in %windir%

| Сообщение посчитали полезным:

pavka
AppPackager1.bin - инфицирован Trojan.MulDrop.3859

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
AppPackager1.bin - инфицирован Trojan.MulDrop.3859
Отправь разрабочику авера

| Сообщение посчитали полезным:

Aase Crypter/Binder/Packer Thing - by santasdad

bind as many files as you like make them all undetected
run binded files in memory/ extract them to file run hidden/visible
with parameters. server supports many parameters. choose output icon.
save & reload projects.

h1.ripway.com/biorante/files/aase.rar

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

SexeCrypter
file crypter make any file undetected by anti-virus

h1.ripway.com/biorante/files/SexeCrypter.rar

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Private Personal Packer (PPP) V1.0.2
Забавный пакер написаный на асме завернутый в дельфийный гуи! Что бы не грузить лишний хлам я вырезал сам пакер ;)

6447_22.05.2007_CRACKLAB.rU.tgz - packer.rar

| Сообщение посчитали полезным:

pavka
Я не увидел никакого пакера. В архиве скачивается один файл loader.exe - консольное приложение без документации по использованию. Это так и должно быть или просто архив битый?

| Сообщение посчитали полезным:

Serega
это консолька, запускай лоадер с параметром названия файла для упаковки

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Serega
Не знаю как на счет количества файлов, наверное есть гуи. Но пакер ведь работает (:

pavka
Спасибо, давненько искал эту зверяку (:

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Celsius Crypt 2.1 by Z3r0.
TripleXOR and MZ hide.

Еще одна плющка до кучки

2ba1_22.05.2007_CRACKLAB.rU.tgz - Celsiusi.Crypt.2.1.rar

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Скриптик для Private Personal Packer (PPP) V1.0.2
var p
var p1
var sz
var rgn

mov p1,eip
mov p,eip
add p,60
mov [p],#EB#
add p,93
bp p
run
bc p
mov rgn,eax
add p1,3A9
bp p1
run
bc p1
add p1,50
sti
mov sz,[esp]
bp p1
run
bc p1
dm rgn, sz, "С:\dump.exe" или кому куда ;)

Msg "File Unpacked!"
ret

| Сообщение посчитали полезным:

Обновился NTkrnl Secure Suite V0.15
NTkrnl Packer V0.15
www.ntkrnl.com/download/securesuite/ntkrnlpacker.zip
NTkrnl Protector V0.15
ntkrnl.com/download/securesuite/ntkrnlprotector.zip
и распакованые оба
rapidshare.com/files/33499266/NTktnl_Secure_Suite0.1.5.0Unpacked.rar

| Сообщение посчитали полезным:

Результаты для 6447_22.05.2007_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Empirion

И что ты этим хотел сказать ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Empirion
И не лень было?
Вероятностный характер определения наличия малвари говорит лишь об особенностях эвристики некоторых антивирусов. Например, если зайдешь на сайт Тедди Роджерса, то чуть ли не на каждый третий архив антивирь будет визжать как ненормальный. Это обусловлено также похожими сигнами на разных "зверей", использованными в пакерах.
mysterio пишет:
И что ты этим хотел сказать ?
ИМХО чел наверное хотел намекнуть о возможной опасности.

-----
Программист SkyNet

| Сообщение посчитали полезным:

Во первых большинство фалов в базы антивирей добавляют боты и естественно, что они ошибаются и пинают туда пакеры. Рагуются они на ПАКЕРЫ, а не на похожие сигны, просто пакеры редкие.

Просьба к модераторам: а можно в этом топике все посты не по теме поубивать и оставить только посты со ссылками и скриптами?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

pavka пишет:
Обновился NTkrnl Secure Suite V0.15

pavka, как он в плане распаковки? Для чего используется драйвер?

| Сообщение посчитали полезным:

Gideon Vi
вот скрипт кондишен бряк поправить для своей оси для 01 версии протектора поменять edi на esi в пакере
менять не нужно!
// WinXP SP2,OllyDbg V1.10,ODbgScript 1.48xxx1.60,FantOm plugin0,58
var br
var pt


run

mov [eip],#CC#
mov br,[esp+8]
bp br
run
bc br
gpa "LoadLibraryA","kernel32.dll"
bp $RESULT
run
bc $RESULT
rtr
mov br,eip
bpcnd br, "EDI==7C809A81"//"VirtualAlloc","kernel32.dll" в старой версии ESI==
run
bc br
sti
mov pt,eip
add pt,A8
mov [pt],#EB#

find eip,#8944241C61FFE0#
cmp $RESULT,0
je quit
mov br,$RESULT
add br,5
bp br
run
bc br
sti
cmt eip, "This is the entry point"
MSG "OEP Faund ! IAT fixed! Dump it"
ret

quit:
ret
длл из дистриба распаковываются этим же скриптом только как брякнищься на чтеней ret поменять на сс
бряк на [esp+8] выйти в длл и скрипт с этого места запустить
// WinXP SP2,OllyDbg V1.10,ODbgScript 1.48xxx1.60,FantOm plugin0,58
var br
var pt



gpa "LoadLibraryA","kernel32.dll"
bp $RESULT
run
bc $RESULT
rtr
mov br,eip
bpcnd br, "EDI==7C809A81"
run
bc br
sti
mov pt,eip
add pt,A8
mov [pt],#EB#

find eip,#8944241C61FFE0#
cmp $RESULT,0
je quit
mov br,$RESULT
add br,5
bp br
run
bc br
sti
cmt eip, "This is the entry point"
MSG "OEP Faund ! IAT fixed! Dump it"
ret

quit:
ret

P.S Не забыть для екзешников выставить tls для dll релоки восстановить вроде все

| Сообщение посчитали полезным:

Забавная реинкарнация NTkrnl Secure Suite V0.15
Exe Stealth Protector
Protect your executable (exe, scr, dll, ...) files against cracking

Anti Cracking
Full Software Licensing System
Polymorphism Engine
Metamorphism Engine
Bundle whole Application in an Unique Layer
Evaluation and Trial
Code and Resource Compression
Compatible with several Development Tools

download :
www.webtoolmaster.com/download/ExeStealth.exe
Распаковывается так же

| Сообщение посчитали полезным:

IronWall Супер пупер протектор ;) очердной в живую вроде как ни кто не видел..

Our product, the result of more than four years of coding and part-time debugging, represents a new concept in software protection. The main objective of Iron Wall is to encrypt the executable images and modify their structure in order to make rebuilding the executable to it's original state virtually impossible.

The Iron Wall protection system is not based on a ".ocx" or ".dll" file. Our protection is applied directly to the applications by wrapping them into a security envelope. This means that we can protect any kind of Win32 application regardless of the programming language used and absolutely no additional programming and source code editing is needed.


Iron Wall will encrypt and compress the code, data, import directory, resources, and other portions of the Win32 portable executables. The protection automatically decides which parts of the executable can be compressed and which parts need to be left as they are. At runtime, the portable executable is partially rebuilt in memory with no noticeable delay; the executable is at no time extracted to disk and it's never fully decrypted in memory (just one of the unique features of our protector).

The protection process is extremely simple and effective! We can create trial versions of any of your programs just in a few minutes. We can limit the use of your programs to a number of days (for example, 30 day trials), or to a number of uses (for example, 50 uses trials), or add a nag every time the program starts.

In it's encrypted form, the executable can not be analyzed by a cracker, so the protection mechanisms can not be reversed. If the cracker is a professional, he will try to decrypt the executable or dump the memory of a working copy of the protected program to disk. Iron Wall will prevent all this to happen, the encryptions are uncrackable and the program will never be fully decrypted in memory, so dumping it to disk in that state would be useless.

Another main objective of Iron Wall is to avoid "patching" of the protected executable. As the portable executable image is found highly encrypted on disk and crc checked, it would be virtually impossible for him to "patch" the data directly on disk, so he will try to patch the memory of the program, after it is loaded. Iron Wall provides very powerfull counteractions against memory patching by using checksums and the internal debugger which also acts as a guard against such attacks.

Iron Wall also features "classic" protections like anti-debugging, anti-emulator code, featuring an own debugger and a protection driver, our protection goes beyond the limits of other competitors even in anti-debugging & anti-emulator code. We have the most advanced methods of anti-emulation, like portions of code that execute through an interpreter, polymorphic code, random execution flow (the protected program has another code flow at every run, the virtual addresses in memory are always different).

We have designed this protection so that it would be impossible for someone to create a deprotector for it. Besides the highly customized protection (the protected applications are very different from one to another), one of the reasons such deprotector would be impossible to code is that we give a personalized version to every client
www.queen-beta.com/

| Сообщение посчитали полезным:

pavka пишет:
IronWall Супер пупер протектор ;)

Loool
All rights reserved. ©2004 Queen ßeta®
и на скринах Win32Dasm... ржу нимагу. зачем такое старье выкладывать сюда?

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
зачем такое старье выкладывать сюда?
Ну во первых не старье а народ три года тренировался может и что приличное накодил посмотреть по крайне мере мне было бы интересно! Ну а на счет новинок ты сам знаешь что если все новинки выкладывать то некотрым может и не понравиться ...

| Сообщение посчитали полезным:

pavka пишет:
IronWall Супер пупер протектор ;)
прочитал аннотацию, чето даже жутко стало
Если я правильно понял скачать его нигде нельзя Разработчики пошли по пути StarForce

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Private Personal Packer тоже только продают (: аж 99 эвро ...

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

А есть хоть один файл запротекченый от www.queen-beta.com?
А то ребята там тааааааких понтов понакидали, прямо жуть берет.

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

pavka, ага, пасиб. Кто-то ляпнул, что там дровина не плохо хучит, а оно вот как оказалось.

| Сообщение посчитали полезным:

Luck0072.7_GUI
Простенький криптор от китайцев ! В архиве оригинал распакованый и скрипт!
rapidshare.com/files/35723418/Luck0072.7_GUI.rar

| Сообщение посчитали полезным: