Здравствуйте уважаемые форумчане!

Вопрос по поводу Гранд Смет 4 и 5 версии. Ни кто не сталкивался с распаковкой вышеуказанных программ (естественно выложить программы не смогу ввиду их конфидициальности)? Прошу помощи (советов) только тех, кто связывался с такой проблемой.

Что сделал сам (начну с четвертой версии):

Загрузил главный файл (Gsmeta.exe) в 4-е анализатора и все как один ответили, что программа пакована ExeCryptor'ом.

-=PEiD v0.95=-
EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly *

-=ProtectionID v0.6.4.0 JULY=-
EXE Cryptor v2.4.0 RC v1.02 (with un-compressed code section) detected !

-=Fast Scanner 3.0=-
EXECryptor v2.2x - v2.4x -> StrongBit Technology >> $ign.By.fly

-=RGD Packer Detector v0.6.7=-
EXECryptor v2.2.x - v2.3.x

Далее пробывал распаковывать унпакером Unpacker_ExeCryptor_2.x.x._v1.0_RC2, после распаковки программа запускалась с двумя ошибками, которые через 2 сек. закрывались, через отладчик удалось выяснить, что вызывалась MessageBoxExA и после MessageBoxTimeoutA по прошествии которой приложение закрывалось. Единственный плюс распаковки это восстановление IAT, очень многие функции были восстановлены.

Дальше копаться не стал, решил сам распаковать. Перекопал кучу скриптов и остановился на двух (для Ольки) ExeCryptor 2.xx OEP Finder + IAT Repair v1.02SC и EXECryptor 2.4.x DeVM (VolX). После нахождении OEP и частичном восстановлении IAT, а также избавлении от VM создал дамп программы и тут столкнулся с проблемой восстановления IAT, т.к. многие функции из таких библиотек как user32.dll и kernel32.dll оказались размыты по всему коду программы. Так вот вопрос по 4 версии, ни кто не пробывал восстанавливать IAT? Если кто-то пробовал прошу помочь советом или ссылками в правильную сторону.

По поводу пятой версии:

-=PEiD v0.95=-
EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly [Overlay] *

-=ProtectionID v0.6.4.0 JULY=-
[!] EXE Cryptor v2.4.0 RC v1.02 (with un-compressed code section) detected !

-=Fast Scanner 3.0=-
EXECryptor v2.2x - v2.4x -> StrongBit Technology >> $ign.By.fly [Overlay]

-=RGD Packer Detector v0.6.7=-
EXECryptor v2.2.x - v2.3.x [Overlay]

Вся разница (по сравнению анализаторов) с предыдущей версией в том, что пакер тот же (как я думаю), но еще и прикручен оверлей. Также могу сказать, что унпакер (Unpacker_ExeCryptor_2.x.x._v1.0_RC2) при распаковки просто выдал ошибку. При помощи скриптов также как и в предыдущем примере не удалось распаковать. Так что с пятой версией все намного сложней.

Решил разобраться с начала с 4-ой версией. Так что все предложения с решениями прошу отписывать на счет четвертой версии.

| Сообщение посчитали полезным:

inffo я прошу прощения... но касательно этого продукта на скок я знаю бьется несколько мозгов (неслабых) по приват заказам. за это платят. поэтому вряд ли кто то будет нашару делица наработками. кроме как прогона детекторами своей работы не видно. если цель получить бабло за эту софтину, думаю не получица, скилов не хватит. если цель сама цель, то копайте дальше, и намного глубже

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
inffo я прошу прощения... но касательно этого продукта на скок я знаю бьется несколько мозгов (неслабых) по приват заказам. за это платят.

По поводу оплаты, я знаю, что за отлучение от ключа и создание эмулятора берут деньги, но мне это пока не нужно.

Цель - распаковать программу. В наличии: официальная программа, ключ Guardant Stealth II USB, настроенная на ExeCryptor Олька и инструмент для сокрытия Ольки. При помощи Ольки запускаю Смету, она нормально грузится и открывается, то есть защиту от отладчиков обошел.

VodoleY пишет:
кроме как прогона детекторами своей работы не видно

Как не видно? Я же написал, что пользовался скриптами при распаковке. Таким образом, повторюсь:

inffo пишет:
После нахождении OEP и частичном восстановлении IAT, а также избавлении от VM создал дамп программы и тут столкнулся с проблемой восстановления IAT

IAT и есть сейчас проблема для меня.

Прочитал некоторые статьи младших версий пакера и понял, что в новой версии все намного хуже.

| Сообщение посчитали полезным:

Пользование чужими скриптами - это мартышкин труд. Своего ничего не сделано.
Читай спецификацию по PE формату и вперед трудится с отладчиком.

-----
старый пень

| Сообщение посчитали полезным: VodoleY

Пока тему закрою дабы флуда не было.
SReg натолкнул на статьи для размышления, за что ему большое спасибо.

| Сообщение посчитали полезным: Ferdik