Подскажите пожалуйста! peid говорит, что "yoda cryptor 1.x / modified" Имеется секция rcep.
вес 62кб.

| Сообщение посчитали полезным:

файл

d420_TFconfig.exe

| Сообщение посчитали полезным:

На, анпакнул.

7aa0_Dumped_.rar

| Сообщение посчитали полезным:

Bit-hack
спасибо, объясни, плз, как

| Сообщение посчитали полезным:

Bit-hack
Напиши, плз, как распаковать "yoda cryptor 1.x / modified". У меня таже проблема.
Пытался ковырять DirectX Happy Uninstall v3.4 (Прога позволяет удалить DirectX из ситемы. Download 2Mb: http://www.superfoxs.com/software/udx.zip, http://www.superfoxs.com/software/udx.zip, Home: http://www.superfoxs.com/index.htm) http://www.superfoxs.com/index.htm) и ессно ничего не получилось.
Самое интересное, натравлял на нее скрипт "y0da_crypter_1.2.txt" ждал завершиния скрипта ....
А когда хотел презапустить прогу в Olly машина "тупо" презагружалась. Как быть в такой ситуации ? И как его распаковать ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Блин, ссылки сдохли, вот от сюда можно еще скачать: _http://www.superfoxs.com/Download.htm
или прямой линк на скачку http://dw.com.com/redir?pid=10399953&merid=116863&mfgid=116863&lop=link&edId=3&siteId=4&oId=3002-2094_4-10399953&ontId=2094&destUrl=http%3a%2f%2fsoftware-files.download.com%2fsd%2fV_3mhqDgvA6l32nkMwFTF313U5viTau1mEil8-7eQ3-QSTn0cpdURo7aE2-9dKEpx2yPfkALKoAiNpdpRv9KvJ_Vj7w7ykwR%2fsoftware%2f10399953%2f10199393%2f3%2fudx.zip%3flop%3dlink%26ptype%3d3002%26ontid%3d2094%26siteId%3d4%26edId%3d3%26pid%3d10399953%26psid%3d10199393
линк №2 http://www.qwerks.com/download/6172/udx.zip

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

уже 2ое интересующихся. Bit-hack отзовись.

| Сообщение посчитали полезным:

mysterio пишет:
Напиши, плз, как распаковать "yoda cryptor 1.x / modified".

Там ничего сложного.
В ольке bp GetProcAddress и смотри в стеке откуда вызов.
В данном случае

mysterio пишет:
Пытался ковырять DirectX Happy Uninstall v3.4

Первый раз брякнешся, это тебе будет не интересно ( криптер для себя получает имена апишек)
Жми F9 до тех пор пока не увидеш вызовы из системных длл ( дохрена придётся нажимать),
а вот после системны длл уже будет то что нам нужну. В данной проге это будет вызов
msvbvm60.dll. Идёш до RET , выйдеш в код криптера и ищи ниже команды POPAD; JMP EAX.
JMP EAX - это и есть переход на ОЕР.

| Сообщение посчитали полезным:

NIKOLA
NIKOLA пишет:
В ольке bp GetProcAddress и смотри в стеке откуда вызов.
...
Первый раз брякнешся, это тебе будет не интересно ( криптер для себя получает имена апишек)
Жми F9 до тех пор пока не увидеш вызовы из системных длл ( дохрена придётся нажимать),
а вот после системны длл уже будет то что нам нужну. В данной проге это будет вызов
msvbvm60.dll.
Это сработало.

ищи ниже команды POPAD; JMP EAX.
JMP EAX - это и есть переход на ОЕР.
Нажимаю в Olly Ctrl+F. Ввожу: JMP EAX
Результат ничего не находит =(
Пробывал даже Ctrl+S, но уже с POPAD; JMP EAX. Результат тот же

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Можно после загрузки проги в Олю поступить также, как и при ASPack:
- перейти в окно дампа;
- <Ctrl> + <g> -> esp-4 -> <Enter>;
- несколько раз <F9>.
Пока не брякнешься вот так:
00521163 61 POPAD ; Брякнешься тут
00521164 -FFE0 JMP EAX ; ЕАХ = 00401254 - ОЕР
00521166 4B DEC EBX
00521167 45 INC EBP
А далее стандартно...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

mysterio пишет:
Нажимаю в Olly Ctrl+F. Ввожу: JMP EAX

Это не сработает.Я тоже пробовал.

NIKOLA пишет:
Идёш до RET , выйдеш в код криптера

Это делал?

| Сообщение посчитали полезным:

NIKOLA, у тебя такой же ОЕР?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
NIKOLA, у тебя такой же ОЕР?

Да.

| Сообщение посчитали полезным:

NIKOLA
Это делал?
Нет.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Забыл сказать, я в этом деле "чайник", распаковкой до этого никогда не занимался.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
я в этом деле "чайник",

Так бы сразу и сказал.
Повторяю:
Бряк на bp GetProcAddress, остановишся здесь Рис.1 стэка ( смотри атач ).
Жмёш F9 (просто нажми и держи) промелькнут системные длл'ки Рис.2 и 3
Когда у тебя появится в стэке как на Рис.4, F9 можно отпустить, жмёш Ctrl+f9
потом F8 и попадаеш в код криптера Рис.5, а дальше как

ValdiS пишет:
А далее стандартно...

Всё.


76eb_SCREEN.PNG

| Сообщение посчитали полезным:

NIKOLA
Повторяю...
Это все прошло на ура.

Видимо мне еще не под силу распаковка. Эх, как говорится not enough experience.

Спасибо за помощь и потраченное время.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Блин, делать нечего - бряк на вторую секцию, после срабатывания на первую - ОЕР, импорт - целый.

| Сообщение посчитали полезным:

Bit-hack пишет:
Блин, делать нечего

Век живи, век учись

| Сообщение посчитали полезным:

Bit-hack пишет:
бряк на вторую секцию, после срабатывания на первую - ОЕР, импорт - целый
Bit-hack, а можно более подробно. Плз. Я ОЕР вроде нашел, но вот с импортом небольшие проблемы, никак не получается восстановить. А дамп ругается по 0х5 ошибке.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Всем
Как восстановить импорт?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ИмпРеком

Ну а если серьёзно, в чём проблема?

| Сообщение посчитали полезным:

NIKOLA пишет:
ИмпРеком
Запускаю прогу, импрек, ОЕР=1254, IAT Autosearch... Но Импрек ничего не находит, в самом дампе ничего похожего на IAT не нашел...
NIKOLA, какой размер у твоего дампа? Мой- 1196032 байт.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

00405F2D - OEP
Import(целый):
RVA: 00007000
Size: 000005F8

| Сообщение посчитали полезным:

Bit-hack пишет:
00405F2D - OEP

У тебя какая прога ?

ValdiS пишет:
NIKOLA, какой размер у твоего дампа? Мой- 1196032 байт

1 200 128 байт
Прога DirectX Happy Uninstall 3.4

OEP- 401254
IAT RVA - 401000
Size - 0EC
Дампил ОллиДамп

| Сообщение посчитали полезным:

ValdiS пишет:
Запускаю прогу, импрек, ОЕР=1254, IAT Autosearch...

Не надо автопоиск , только ГетИмпортс.

| Сообщение посчитали полезным:

Забыл добавить, прога на VB P-Code.

| Сообщение посчитали полезным:

NIKOLA, Bit-hack
Сколько должно восстановиться библиотек? Если можно, то праттачьте список импорта из Imprec.
Как определили размер и RVA IAT? Я просматривал дамп, ничего не заметил похожего.

NIKOLA пишет:
прога на VB P-Code
А подробнее, с чем это "едят". Т.к я пишу на Delphi.

NIKOLA пишет:
Не надо автопоиск , только ГетИмпортс.
А RVA и размер вводил?


Bit-hack пишет:
00405F2D - OEP
Import(целый):
RVA: 00007000
Size: 000005F8
NIKOLA пишет:
OEP- 401254
IAT RVA - 401000
Size - 0EC
Дампил ОллиДамп
Интересно...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Сколько должно восстановиться библиотек? Если можно, то праттачьте список импорта из Imprec

Пожайлуста

ValdiS пишет:
А RVA и размер вводил?

Конечно.

ValdiS пишет:
А подробнее, с чем это "едят".

Эта такая
Я в своей жизни только одну прогу видел с P-Code и то это был крякми.

60c3_IAT.txt

| Сообщение посчитали полезным:

NIKOLA, спасибо.
А остальные библы, кроме msvbvm60.dll. Ну, типа, kernel32 и т.д.
Странно... Точнее интересно...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным: