vm for the masses - a vm compiler incl source
от автора:
hi,
i have attached the complete sourcecode of a working vm compiler. this compiler was used for the 'impossible crackme' - crackmes
i have also included a brief explanation of everything
please keep in mind that this vm underwent some major changes (read the impossible crackme threads), thats why parts of the code are messy and smelly
rapidshare.com/files/25706809/xm.zip

| Сообщение посчитали полезным:

чтоб не забыть асм решил тут перелопатить старый пакер spack - исправил пару косяков(вроде как щас ресурсы корректно обрабатывает), убрал всякую хрень и переделал немного саму упаковку (щас жмет в 1 секцию). пакер в аттаче с исходниками на фасме. хз нужен ли кому, но только сразу говорю что поддрежки 9x нету, пашет только на NT5 =) (на висте хз, если кто проверит как пашет в висте и скажет - буду признателен)

141b_07.09.2007_CRACKLAB.rU.tgz - QuickPack_0.1.rar

| Сообщение посчитали полезным:

BaGiE
QuickUnpack порвал QuickPack На висте работает, по крайней мере 1 файл, что я запаковал.

| Сообщение посчитали полезным:

Archer пишет:
QuickUnpack порвал QuickPack
А че там рвать Там все в открытом виде импорт не тронут Чет типа того:
var counter
var ImageBase
var OEP
var iat_start
var p
mov counter,0


gpa "GetProcAddress","kernel32.dll"
bp $RESULT
run
bc eip
rtu
gmi eip,MODULEBASE
mov ImageBase,$RESULT
gmi eip,CODEBASE
mov iat_start,esi
mov p,eip
add p,6
fill p,2,90
findop eip,#FFE0#
cmp $RESULT,0
je quit
bp $RESULT
run
sti
cmt eip,"OEP"
mov OEP,eip
sub OEP,ImageBase
sub iat_start,ImageBase
mov counter,ImageBase
add counter,3C
mov counter,[counter]
add counter,ImageBase
add counter,28
mov [counter],OEP
add counter,58
mov [counter],iat_start
dpe "dump.exe",eip
msg "File Unpacked"
ret
quit:
msg "No QuickPack"
ret

| Сообщение посчитали полезным:

всё ведь распаковать надо

Archer
сенк. значит пока что на всех НТ работает =)

| Сообщение посчитали полезным:

Archer пишет:
QuickUnpack порвал QuickPack
//Не сразу вьехал,чё это сам себя рвёт.В список грелок что ли хочет?
Странно,у меня так не фига не берёт,только в связке с аттача.Хотя сам пакер не сложный.
В Ольге правда пакнутый (я дельфовую паковал),напостое грузиться на system breakpoint.Ну это херня.
f2 на секцию кода,f9,прервёмся ниже проскролить будет типа этого:
00400249 |89E8 MOV EAX,EBP
0040024B |05 58520600 ADD EAX,65258
00400250 |FFE0 JMP EAX <----OEP
00400252 \83C8 FF OR EAX,FFFFFFFF
00400255 C3 RETN
pavka пишет:
А че там рвать
Не ну пошинковать надо всё таки.Ребилд,перестройка и всё такое...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

в симплпаке прыжок на оеп находился по фиксированному оффсету. тут наверно тоже самое будет...

| Сообщение посчитали полезным:

Интересный сабж
AntiDebugLIB V2.1 Ultimate Version V2.1

Version: V2.1 Rating:
File size: 30,526 KB Downloads: 3
Price: $299.90 Date added: 2007-08-22
OS: Windows 2000/XP/2003 Editor: Grant
Developer: AntiDebugLIB
AntiDebug LIB is a software encryption tool.

AntiDebug LIB V2.1 is an advanced software encryption tool for windows.

AntiDebug LIB V2.1 is an advanced software encryption tool for windows ,which helps software developers protect their applications against advanced reverse engineering and software cracking. It offers a powerful advanced license control which allow developers to securely distribute trial versions of their applications.

Once a programme is encrypted by AntiDebug LIB V2.1,it can't be debuged by any programme debug tools,can't be analysed statically and dynamically ,can't be dumped from memory,can't be revised.

Eagle Protector V2.1 is a PE( Win32 Portable Executable) file protection tool which is based upon AntiDebug LIB V2.1.

One of the big changes that Microsoft introduced in Windows XP Service Pack 2 and Windows 2003 Server Service Pack 1 was support for a new feature called Data Execution Prevention(DEP).This feature can't prevent AntiDebug LIB and Eagle Protector V2.1 execute normally.

1. AntiDebug LIB V2.1 offers some functions which need license and use the same function definition as in c++ .
2. AntiDebug LIB V2.1 offers custom function ,it helps software developers write self-engendered function quickly,the source codes of which are only known by the author.
3. AntiDebug LIB V2.1 offers a powerful PE Protector tool--Eagle Protector V2.1 .

After your applications are developed normally with VC++,only four steps left as follows:

Step 1
Replace the c++ function with AntiDebug LIB's function simply in your no share codes or key codes.
Step 2
As to the very important key codes ,we recommend you strongly to use AntiDebug LIB's custom function to create self-engendered functions quickly,then the key codes become a secret besides you.
Step 3
Rebuild All in VC++ IDE.
Use Eagle Protector V2.1 to encrypt the release EXE or DLL file.
Step 4
In installation project ,invoke related tools offered by AntiDebug LIB to install or uninstall the ADL driver.
www.antidebuglib.com/

| Сообщение посчитали полезным:

Хуясе прайс!
Да я лучше за эти бабки темиду с экзекриптором куплю...
И вес зверский.
Там про ИглПротектор написанно. А его можно скачать?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

pavka пишет:
File size: 30,526 KB
ппц, фимида в разы меньше (( Че там такого напихали?
pavka пишет:
Price: $299.90
охренеть...
pavka
Че там за такой зверь? А то просто так лить 30Мб неохота)

| Сообщение посчитали полезным:

VAD87 пишет:
Price: $299.90
охренеть...
VC++,only Не смотрел пока нет халявного трафика

| Сообщение посчитали полезным:

Насколько я понял, там подменяет функи из С-ных либ на свои. А свои-какой-то полный хлам с драйвером и прочим барахлом. Короче, скорость отдыхает полюбас.

| Сообщение посчитали полезным:

Archer пишет:
скорость отдыхает полюбас
+1
Да и с функционалом и совместимостью,наверняка траблы будут.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Thunderbolt_0.02_deXep
в архиве оригинальный прот, анпакнутый и скрипт

1ccb_18.09.2007_CRACKLAB.rU.tgz - Thunderbolt_0.02_deXep.rar

| Сообщение посчитали полезным:

D1S1G v1.1 Beta
Changelog -> September 17th 2007 D1N
rapidshare.com/files/56463490/D1S1G.zip.html
I have added a few new options and several overlays featuring some really nifty anti-debugging tricks thanks to ap0x's RLPack and some anti-debugging code. This build contains 23 unique overlays, 60+ Pseudo PEiD signatures and a PE scrambler & loader with Random section pads for EP Section. Which is explained in the user guide. Thanks to Ziggy for reporting slow runtime with the builds I have fixed the issue with the stub it now runs faster. Created a quick help document explaining some features and procedures for successful builds. Added Anti-DeDe stub with Anti-Dumping options. Removed melting feature from stub? See user guide. Now D1S1G is available in Binary and DLL version.
Todo -> fix icon issue, add options for user to specify extract file at runtime location.

D1S1G.exe stand alone binary version.
D1S1G.dll PEiD or PE Tools plugin.

D1S1G File information -> If you didnt get it from my thread and it dosnt match these values send me an email.

Binary
File size: 689108 bytes
MD5: 7016a6f3bc7aa32022d182e9d1f35cf7
SHA1: 55da929329312e830cd4aeb3e1c38c92ab35bcc1

DLL
File size: 535091 bytes
MD5: 25479d66e1600c417aa9fe9ff388a9ba
SHA1: 4ef207853c589df00c216c4f77bd1d1a5ed56ca9

Enjoy!
D1N
Имхо интересна только тем что запакована фулл версией последнего RLP
анпакнутый
rapidshare.com/files/56747611/D1S1GU_.rar

| Сообщение посчитали полезным:

xxPack китайский пакер в архиве оригинал и анпакнутый.
rapidshare.com/files/63833737/xxPack.rar

| Сообщение посчитали полезным:

pavka пишет:
xxPack китайский пакер
интересный пакер, к тому же полиморф.
сам пакер чем упакован?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
сам пакер чем упакован
Мой пейд говорит Anti007 -> NsPacK Private

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
NsPacK Private
у кого есть этот зверек?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Судя по второй надписи у этого, как его... хуи ли пинга и его кентов
На китае пробегал сабж, но там ReadingAccess был 21 а у мну только 10

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Flint пишет:
сам пакер чем упакован?
Это PeCancer без VM и импорт полиморфом обработан..

| Сообщение посчитали полезным:

pavka пишет:
PeCancer
А он тож приват? Если нет дай линк плиз.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
А он тож приват?
Я сам прот не видел но автор у них все лето регулярно выкладывал блокноты пакованые

| Сообщение посчитали полезным:

1337 Exe Crypter Version 2 - by Eddy-K
ifolder.ru/3923095

Cryptic v2.1 - EXE Crypter
ifolder.ru/3923111

Poisen Ivy Crypter by ArexX v1
ifolder.ru/3923134

PrivateKrypt
ifolder.ru/3923209

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

1337 Exe Crypter Version 2 - by Eddy-K
вот ета хреновина очень подозрительно в реестре гадит, особенно настараживает надпись extrimehide.sys

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
особенно настараживает надпись extrimehide.sys
Щас просмотрел отчеты Filemon и RegMon, нигде нету ни слова о extrimehide.sys

Это может какая-то хайдилка от оли

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

depler пишет:
особенно настараживает надпись extrimehide.sys

это драйвер Арчи для Фантома

| Сообщение посчитали полезным:

понятно. но она у мня че то даже не запускается, даже ошибки не вылетает, только звук. это что может быть? хр сп2

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Flint пишет:
Poisen Ivy Crypter by ArexX v1
ifolder.ru/3923134

PrivateKrypt
ifolder.ru/3923209
перезалейте плиз на dump.ru, а то немогу норм слить эти два архива, битыми скачиваются, первые два слил норм

| Сообщение посчитали полезным:

Poisen Ivy Crypter by ArexX v1
dump.ru/files/n/n6146661455/

PrivateKrypt
dump.ru/files/n/n283020204/

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

COOLcryptor0.9 китайский прот на йодиных сырках в эбауте вся китайская элита ;) в архиве оригинал и анпакнутый


e826_17.11.2007_CRACKLAB.rU.tgz - COOLcryptor.rar

| Сообщение посчитали полезным: