Мои действия:
1. Использование определение пакера\крипера PEiD и ещо менее извесного: результат файл разпакован
2. Открываю в olly прохожу по програме появляется подозрение что он всетаки запакован
3. Загружаю IDA по визуальной линии програмы делаю вывод он запакован
4. Пробую снять дамп програмы-> результат невозможно прочитать память
5. Заново загружаюсь в olly немогу найти ни форм, ни чтение файла или реестра
6. Послываю файл на депакинг по e-mail на анализ в AspotectUnpacker1 -> ответ прога не запакована криптором, не смотря на названия секций.

Просмотрите, пожалуйста, програму и как мне ее распаковать, а ещо лутше если найдете 5 мин. таймер, было хорошо не 5 мин., а дня 3... или структуру обращения к файлу на зарегестированость =). А самая малость хотя б ее дамп получить.

З.Ы. Если нужна инфа что он делает могу потом описать
Сылка: _http://ifolder.ru/3829714

| Сообщение посчитали полезным:

Baza2007 пишет:
2. Открываю в olly прохожу по програме появляется подозрение что он всетаки запакован
чтобы подозрений не было в том же DiE есть определение энтропии.
Baza2007 пишет:
3. Загружаю IDA по визуальной линии програмы делаю вывод он запакован
по какой линии??? по графу ты чтоли видишь что программа запакована???
Ща посорим)))

Плять айфолдер((( не могу с него скачать там выскакивает окно (Опера почему то неблокирует) оно не грузицца потому что нету СВФ плэеера... и закрыть его не получается...

-----
Researcher

| Сообщение посчитали полезным:

да по графу вижу, так как я понимаю в IDA, серые и черные участки ето данные, синие програмный код, не может вся програма быть просто набором данных. Я только новичок не судите меня строго

| Сообщение посчитали полезным:

Baza2007, ы не сужу... я не понял просто по какой линии
перезалей на рапиду чтоли

-----
Researcher

| Сообщение посчитали полезным:

Файло упаковано Private exe Protector 1.8 - 2.0

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Хы интересная чтука...
жалко я на шоках не играю..
Что такое L2WxManager http://xkorem.net/viewtopic.php?f=14&t=15&sid=885a43da9843757f86f147e75fd3183b#p42
з.ы.
там уже обдейт вышел)
от 20.10.2007

-----
AutoIt

| Сообщение посчитали полезным:

_http://rapidshare.com/files/64313883/l2wmx.rar.html
вот ссылка на рапиду

| Сообщение посчитали полезным:

Как ето чудо мне распаковать поделитесь сылочкой на анпакер

| Сообщение посчитали полезным:

Распаковать- читай статью внекрилова по распаковке этого прота, статья находится в разделе РАР-статьи..

| Сообщение посчитали полезным:

Baza2007 анпакера нет. Прот довольно ядреный, и практически неизученый

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Baza2007
Анпакеров к нему вроде нету, так что посоветую читать статьи vnekrilova
--> Снятие протектора PEP на примере программы LikeRusXP v5.18 по vnekrilov <--

--> Снятие протектора PEP на примере программы LikeRusXP v5.16 по vnekrilov <--

--> Снятие протектора PEP на примере программы LikeRusXP v5.195 по vnekrilov <--
____

Kaizer опередил

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

спасибо буду штудировать результаты буду выкладывать понемножку...

| Сообщение посчитали полезным:

Не могу определить куда писать иньекцию как можно в olly найти начало секции, созданой мной, и сменить ЕР; предварительно адрес 164000 но он получается за пределом програмы никак немогу понять в чем дело...

| Сообщение посчитали полезным:

Baza2007 пишет:
Не могу определить куда писать иньекцию как можно в olly найти начало секции, созданой мной, и сменить ЕР

RSI писал тулузу, заюзай её.
http://www.exelab.ru/f/files/83ed_29.05.2007_CRACKLAB.rU.tgz
-удалит большую секцию,
-создаст новую секцию,
-запишет в неё инъекцию,
-изменит ЕР на инъекцию.

| Сообщение посчитали полезным:

Спасибо за тулузу надо было код всеравно за програмой писать тулка написала за пределом кода

| Сообщение посчитали полезным:

Снял дамп защиту, вписал иньекцию (все работает), но в ollydbg вылетает ошыбка как описано в статьи Внекрилова, но у меня ее описание идет не privilaged istr., a illegal instr. пытаюсь обойти джампом не получается, по логу получается что она вызывается из самого начала иньекции PUSH 40, когда ее пропускаю процесс убивается (terminated) в ntdll.dll на команде RET 10 даже немогу определить в чем ошыбка.

| Сообщение посчитали полезным:

вот файл:
link_deleted_by_forum_engine/files/2147211
slil.ru/25015882

| Сообщение посчитали полезным:

Baza2007 пишет:
ollydbg вылетает ошыбка как описано в статьи Внекрилова, но у меня ее описание идет не privilaged istr., a illegal instr. пытаюсь обойти джампом не получается, по логу получается что она вызывается из самого начала иньекции PUSH 40

Внекрилов в статье джамп правил отладчика, а не подопотной проги.
В настройках олли поставь в игнор все исключения и прогу запускай Shift+F9.

| Сообщение посчитали полезным:

Amok пишет:
Внекрилов в статье джамп правил отладчика, а не подопотной проги.
В настройках олли поставь в игнор все исключения и прогу запускай Shift+F9.

А у Вас она запустилась, у меня всеравно падает...

| Сообщение посчитали полезным:

Все прога запустилась

| Сообщение посчитали полезным:

Baza2007
А выложить?

| Сообщение посчитали полезным:

Когда доделаю выложу но мне нужна помощь

| Сообщение посчитали полезным:

Решил немного попрактиковаться с протом который на проге, если ещё надо, вот распакованный файл:
ev1l4c.narod.ru/l2wmx_u.rar

| Сообщение посчитали полезным:

ev1l_4
Как ты восстанавливал API эмулированные протом, в статьях Внекрилова это не описано, а может я не увидел?

| Сообщение посчитали полезным:

Amok пишет:
ev1l_4
Как ты восстанавливал API эмулированные протом, в статьях Внекрилова это не описано, а может я не увидел?

Я сделал сигнатуры и по ним мой скрипт восстанавливал фактические адреса эмулируемых API. У Внекрилова, если я не ошибаюсь, только приведены элементы таблицы импорта, которые эмулируются пакером, а в скрипте по адресу из таблицы импорта выбирается фактический адрес API.

| Сообщение посчитали полезным:

несовсем понял сломали ли вы уже мою прогу но большая просьба если сломаете (или сломали) НЕ НАДО В ПАБЛИК КИДАТЬ, имейте хоть какуюнить совесть)
ЗЫ увижу в паблике сломаную версию - забью на прогу и апдейтов небудет)

| Сообщение посчитали полезным:

ты нас очень огорчил

-----
Я фантомас, а ты гавно

| Сообщение посчитали полезным:

xkor пишет:
имейте хоть какуюнить совесть
Имейте совесть, не пакуйте вы проги Пепом, а придумывайте нормальный алго регистрации + upx (если за размером следим)
ev1l_4 пишет:
Я сделал сигнатуры и по ним мой скрипт восстанавливал фактические адреса эмулируемых API
Скриптом не поделишься?
Amok пишет:
RSI писал тулузу, заюзай её.
А я и не знал. А рси (нехороший человек) даже не рассказал

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n пишет:
Имейте совесть, не пакуйте вы проги Пепом, а придумывайте нормальный алго регистрации + upx (если за размером следим)
окей следующая версия будет работать авторизуясь через сайт получая от туда часть данных для подключения к серверу, посмотрим как крякать будете...

| Сообщение посчитали полезным:

xkor
Вы меня не так поняли. Я имел ввиду что пеп сам по себе довольно глючный протектор, и его стабильность оставляет желать лучшего + если, обратить внимание, несколькими постами выше, есть люди которые его спокойно снимают. А про получения данных с сайта - автор-судья, это его привелегии придумывать способ регистрации програмы.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным: