| Сейчас на форуме: kris_sexy, site-pro, vasilevradislav (+5 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› EXEcrypt или нет? |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 02 февраля 2007 01:48 · Личное сообщение · #1 Народ, кто с execrypt на ты- посмотрите файл slil.ru/23860769 peid сказал что execrypt 2.2.4, нарыл мануал начал распаковывать и что....них по мануалу haggar вроде вначале все как по маслу, но затем все нах не работает скрипты для olly не работают и пизд... один знающий чел сказал что возможно использовалось либо ядро execrypt а затем ряд своих фич производители налепили, либо просто в софте затерты часть сигнатур и вставлены сигны для обмана peid . интересно то,что RDG вобще сказал что borland delphi, но что то я ему не доверяю. интересно еще то что в файле сформированна 7 секций, что как я понимаю не свойствеено большинству современных упаковщиков.  |
|
|
Создано: 02 февраля 2007 02:51 · Личное сообщение · #2 покажи список секций файла, качать нет щас возможности 
----- ~ the Power Of Reversing team ~ |
|
|
Создано: 02 февраля 2007 03:17 · Личное сообщение · #3 Да, это криптор, причём довольно новый, явно новее 2.2.4 Как будет время - может быть гляну поподробнее, хотя я с ним точно не на ты 
----- Люблю повеселиться, особенно пожрать |
|
|
Создано: 02 февраля 2007 03:50 · Личное сообщение · #4 хм секций даже побольше чем 7 оказалось- плохой плагин для commander вот список  a592_02.02.2007_CRACKLAB.rU.tgz - segment.JPG
|
|
|
Создано: 02 февраля 2007 05:01 · Личное сообщение · #5 интересно впервые столкнулся с TLS функцией она мразь что-то выполняет до передачи на oep! может кто-сталкивалсь с такой байдой!? и еще интересно как ведет себя отладчик и как приложения(mtp отладчика) когда встречает icebp !? касперски описал в книге, но что то не помогает обойти! newborn посмотрел список секций!?  Такое чувство, что название некоторых секций ники каких то нах производитеоей пакера!
|
|
|
Создано: 02 февраля 2007 05:13 · Личное сообщение · #6 sats Судя по секциям, это ExeCryptor. Да, в нём есть TLS Callback, читай статьи, почти в каждой статье по говнопроту описано про ТЛС, как на нём останавливаться (ставь ОллиАдвансд). А секциям название рандомное даётся. |
|
|
Создано: 02 февраля 2007 05:28 · Личное сообщение · #7 ARCHER может немного еще инфы дашь!? TLS только начало! там после вывода всех бряков какоето гавно твориться! кто может попробует распаковать!? |
|
|
Создано: 02 февраля 2007 06:00 · Личное сообщение · #8 sats пишет: там после вывода всех бряков какоето гавно твориться! кто может попробует распаковать!? Скажи что за прога? Качать кота в мешке? Вообще по форуму полным полно материала по криптору по крайне мере антиотладку вполне можешь освоить ;) Скрипты haggar работают но они написаны под конкретную прогу и их нужно править есть для импорта скрипт PE_Killа. Можешь поробовать как советует haggar отрубить CreateThread иногда помогает.. |
|
|
Создано: 02 февраля 2007 06:13 · Личное сообщение · #9 сосед притащил прогу для работы с сотовым телефоном, типа какието параметры меняет в нем, но суть не в этом! пробовал под ida тутор выполнить не пошел, дал чуваку который с olly работает так он меня нах послал сказал, что здесь не execrypt а какаято лабуда! интересно то,что по началу все как в туторе haggar делал, т.е. бряки снимал и антиотладку рубил но затем после нахождения oep ida в разнос пошла!обрашение к памяти которая херней забита, и даже не распаковываются куски кода! не знаю насколько разумно тутор предназначенный для olly под idy гонять, но думаю не доложно быть больших различий! |
|
|
Создано: 02 февраля 2007 06:24 · Личное сообщение · #10 sats пишет: сосед притащил прогу для работы с сотовым телефоном Прога случайно не Nokia_Tools sats пишет: обрашение к памяти которая херней забита, и даже не распаковываются куски кода! Скорее всего речь идет метаморфе а чуваку лень в дерьме ковырятся ;)
|
|
|
Создано: 02 февраля 2007 06:42 · Личное сообщение · #11 да нет вобще то не nokia tools ! тутор по ней тоже особо не прояснил ситуацию понятно, что информативность советов---->0 ладно порыщу еще немного и забью, а то как сказал pavka чуваку лень в дерьме ковырятся
|
|
|
Создано: 02 февраля 2007 06:47 · Поправил: newborn · Личное сообщение · #12 sats Это однозначно криптор, но насколько я понимаю новый какой-то, ибо секций больше. секции очень смахивают на Nokia_Tools последней версии. З.Ы. Опередил с вответом, ты задай конкретный вопрос, думаю будет конкретный ответ, да и можно конечно выложить прогу. ----- ~ the Power Of Reversing team ~ |
|
|
Создано: 02 февраля 2007 06:47 · Личное сообщение · #13 скрипт от Pe-killa - работает и на этой проге а вот Цербер 1 - вроде слегка изменился |
|
|
Создано: 02 февраля 2007 07:19 · Личное сообщение · #14 я задал конкретный вопрос: кто с этим сталкивался и кто может помочь снять дамп и восстановить импорт?(хотя по словам r99 импорт скриптом pe_killa восстанавливается, хотя без дампа это мало что даст, и даже нельзя сказать корректно ли импорт восстановил )! насчет проги newborn я конечно не знаю что ты еще хочешь, но вроде в начале темы было http://slil.ru/23860769 ? неужели это какойто новый пакер что никто с ним не работал! |
|
|
Создано: 02 февраля 2007 07:24 · Личное сообщение · #15 slil.ru/23862917 |
|
|
Создано: 05 февраля 2007 00:10 · Личное сообщение · #16 приложение нах работать не хочет! выдает except "исключение неизвестное программное исключение(хм..интересное предложение)" возможно проблема в импорте но пока не могу найти где именно ! |
|
|
Создано: 12 февраля 2007 08:38 · Личное сообщение · #17 в свете новых рекомендаций МИнздрава - ifolder.ru/1101797 sats если опять не запустится то виноват pavka |
|
|
Создано: 13 февраля 2007 00:13 · Личное сообщение · #18 попыталься запуститься но снова рухнул в безизвестность!!! во всем виноват pavka 
r99 ты лучше скажи как защиту обошел!!! |
|
|
Создано: 13 февраля 2007 00:24 · Личное сообщение · #19 sats пишет: во всем виноват pavka Вот вы нашли стрелочника! sats пишет: попыталься запуститься но снова рухнул в безизвестность! Так ты покажи ему конкретную ошибку чего он тебе в слепую патчить будет! Скорей всего если на одной оси запускается а на другой нет причина вероятнее всего в базовых адресах системных библиотек... |
|
|
Создано: 13 февраля 2007 01:23 · Личное сообщение · #20 я тоже так думаю такое чувство что прау адресов на импорте востановленны не для моей оси(у меня xp sp2) вот ошибки : 1-ая ошибка :инструкция по адресу 0x77d3b0cd обратилась к памяти по адресу 0x00030040 память не может быть read (наверное в kernel32 адрес не тот). 2-я ошибка : инструкция по адресу 0x77d44501 обратилась к памяти по адресу 0x77d44501память не может быть written 3-я ошибка :инструкция по адресу 0x00720075 обратилась к памяти по адресу 0x01180162 память не может быть written 4-я ошибка(наверное unhadled exception): исключение unknown software exception(0xc0000096) в приложении по адресу 0x7с80ddf5 5-я ошибка :инструкция по адресу 0x77d3b0cd обратилась к памяти по адресу 0x00070096 память не может быть read инетересно то что при следующем запуске всего 2 исключения одно с другим адресом другое из списка. и при последующих запусках меняются количество исключений и адресса(хотя большая часть описана в списке) |
|
|
Создано: 13 февраля 2007 05:14 · Личное сообщение · #21 Проблемы с внутренней таблицей импорта говнопрота. |
|
|
Создано: 13 февраля 2007 18:22 · Личное сообщение · #22 Если мне не изменяет память, то во внутренней таблице достаточно было обнулить вазовые адреса используемых библиотек в дампе и криптор сам бы её инициализировал сного. |
|
|
Создано: 13 февраля 2007 21:32 · Личное сообщение · #23 SergSh пишет: во внутренней таблице достаточно было обнулить вазовые адреса используемых библиотек в дампе Правильно. Выглядят так 77D00000. |
|
|
Создано: 13 февраля 2007 21:42 · Личное сообщение · #24 sats если интересует версия криптора, то там EXECryptor 2.4.0 RC1.02 ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 февраля 2007 22:12 · Личное сообщение · #25 хм интересно ! я то дурень думал что какойто наворот для обмана peid(на основе ядра execrypt какую то хрень повесили), а тут просто версию понизили. PE_Kill если не в лом скажи где именно ты определил, что 2.4.? вроде по туторы буржуйскому читал так похоже был на 2.2.4(как и peid обманулся :s14 . значит твой скрипт не подходит для этой хрени? или что то добавить нужно еще?
|
|
|
Создано: 13 февраля 2007 22:33 · Личное сообщение · #26 1) Никто версию не понижал, просто нет еще такой тулзы, которая бы криптор точно детектила. Я определил своей тулзой, но она пока еще очень кривая и определяет версию в 30% случаев. 2) Мой скрипт работает на всех 2.х версиях 3) В буржуйском туторе не было EXECryptor API а тут есть, вот они и используют свою собственную ИАТ, которая к ИАТ проги не имеет никакого отношения. Надо просто просто проэмулить АПИ не давая им отработать. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 февраля 2007 23:12 · Личное сообщение · #27 ну незнаю делаю все по твоему тутору скрипт работает через 2-3 минуту ошибка нах "error" ? я поковырялся в скрипте ничего подозрительного вроде не нашел.как я понимаю в скрипте нужно было задать только начало и конец iat области, я правильно понял? |
|
|
Создано: 13 февраля 2007 23:16 · Личное сообщение · #28 Вот последняя версия скрипта попробуй ее 4d75_13.02.2007_CRACKLAB.rU.tgz - ExeCryptor.2.x.IAT.Rebuilder-PE_Kill.txt
----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 февраля 2007 23:39 · Личное сообщение · #29 Added Этим скриптом я восстановил ИАТ. Вот: mov iat_start,00ADE1B8 mov iat_end,00ADEA38 В аттаче дерево для ImpREC 0e84_13.02.2007_CRACKLAB.rU.tgz - tree.txt
----- Yann Tiersen best and do not fuck |
|
|
Создано: 14 февраля 2007 04:53 · Личное сообщение · #30 проснулись! тогда вопросы -базовые адреса подлежащие обнулению находятся в одной секции? -нужно ли их обнулять до восстановления импорта или можно и после (я так делал на cdvd дампе от PAVKI)? |
| . 1 . 2 . >> |
|
eXeL@B —› Крэки, обсуждения —› EXEcrypt или нет? |
Для печати