Вот, наваял быстренько...
Только для новичков.
Сложность: 0,5/10

6977_02.09.2007_CRACKLAB.rU.tgz - KeygenMe2by.Spirit.rar

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Сложность: 0,5/10
А чего же так скромненько-то? Надо было и про скремблированный ASpack поверх UPX обмолвиться.

-----
Программист SkyNet

| Сообщение посчитали полезным:

Spirit
Прикольная задумка с мусором, мне понравилась + скрэмблер, такого не видел.

bba2_02.09.2007_CRACKLAB.rU.tgz - KeyGen.rar

| Сообщение посчитали полезным:

RSI пишет:
Прикольная задумка с мусором, мне понравилась + скрэмблер, такого не видел.
Ну так Unopix по ходу дела. Отсюда и защита.

-----
Программист SkyNet

| Сообщение посчитали полезным:

так это unpackMe или keygenMe?

| Сообщение посчитали полезным:

FrenFolio пишет:
А чего же так скромненько-то? Надо было и про скремблированный ASpack поверх UPX обмолвиться.
Дык а я это, того...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

RSI пишет:
Прикольная задумка с мусором, мне понравилась + скрэмблер, такого не видел
Это было просто, т.к. Мусор одинаковый, а вот если бы разного нафтыкать, тогда сложнее.
FrenFolio пишет:
Ну так Unopix по ходу дела. Отсюда и защита
Нифига! UPX 0.80->UProtector by av0id (респект ему)->ASPack 2.12->ASPack Scrambler by kungbim
Gideon Vi пишет:
так это unpackMe или keygenMe
Все же кейгенми, распаковка - легкая.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Походу кроме RSI никто не распаковал?
А я под отладчиком даже не смог запустить. Вылетает ошибка, что это не 32-битное приложение. И ни один плаг не помогает.

| Сообщение посчитали полезным:

Sturgeon
Обыкновенная порча хедера.
Тоже можешь респект ав0иду сказать

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
UProtector by av0id (респект ему)

Чет я не видел такого. Может выложишь для коллекции, если это не приват

| Сообщение посчитали полезным:

RSI пишет:
Может выложишь для коллекции, если это не приват
Нет, это не приват, только я щас не могу выложить, т.к. я не дома.
Если что, то вечером.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Нашел в сети
void.webhost.ru/filez/uprot.zip

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Нашел в сети
Спасибо!

Если кому надо, в аттаче лежит 2 распакованных варианта (первый - как бы оригинал, с мусором и разбросанными инструкциями, ну а второй уже без этого )

З.Ы. Насчет Сложность: 0,5/10, ИМХО маловато будет - на 3,5/10 потянет.


dffb_03.09.2007_CRACKLAB.rU.tgz - Unpacked.rar

| Сообщение посчитали полезным:

А с заголовком что не так?
Я, к сожалению, не очень хорошо знаю РЕ-формат и не могу найти косяков. Вроде все в норме. Ткните носом, пожалуйста.

| Сообщение посчитали полезным:

Sturgeon пишет:
Походу кроме RSI никто не распаковал?
Ну я еще анпакнул.
Sturgeon пишет:
А я под отладчиком даже не смог запустить. Вылетает ошибка, что это не 32-битное приложение. И ни один плаг не помогает.
Используй сборку от Defixed 2.0 здесь

-----
Программист SkyNet

| Сообщение посчитали полезным:

Sturgeon
Как я делал, - распаковывал в два приема. Сначала снимал Aspack, а потом UPX.
После загрузки в Ольку окажемся на
0040F001 <> 9C PUSHFD
Далее ставим бряк memory access на секцию .idata. Срабатывает бряк, оказываемся здесь
0040E010 60 PUSHAD
0040E011 BE 00908B00 MOV ESI,8B9000
0040E016 8DBE 0080B4FF LEA EDI,DWORD PTR DS:[ESI+FFB48000]
0040E01C 57 PUSH EDI
0040E01D 83CD FF OR EBP,FFFFFFFF
0040E020 EB 3A JMP SHORT 0040E05C
Это типичный stub UPX. Снимаем дамп и фиксим импорт. Так как там идет второй пакер, то импорт будет из 3-х указателей

OEP: 0000E010 IATRVA: 0000C000 IATSize: 00001000

FThunk: 0000C09C NbFunc: 00000002
1 0000C09C kernel32.dll 0242 LoadLibraryA
1 0000C0A0 kernel32.dll 0198 GetProcAddress

FThunk: 0000C0A8 NbFunc: 00000001
1 0000C0A8 user32.dll 01BC LoadIconA

Далее загружаем полученный файл в отладчик и ставим хард бряк на PUSHAD. Потом трассируем по F8 до первого кола и заходим туда по F7.
0040D850 B8 01010000 MOV EAX,101
0040D855 89E2 MOV EDX,ESP
0040D857 83C2 04 ADD EDX,4
0040D85A C74424 FC 0F340>MOV DWORD PTR SS:[ESP-4],340F
0040D862 89E1 MOV ECX,ESP
0040D864 83E9 04 SUB ECX,4
0040D867 9D POPFD
0040D868 FFE1 JMP ECX
Снова открываем карту памяти и ставим бряк на доступ к секции 401000 - обрати внимание, что сейчас она пока пуста! Доходим до следующего места
0040B490 /EB 10 JMP SHORT 0040B4A2
0040B492 |90 NOP
0040B493 |90 NOP
0040B494 |90 NOP
0040B495 |90 NOP
0040B496 |90 NOP
0040B497 |90 NOP
0040B498 |8A06 MOV AL,BYTE PTR DS:[ESI]
0040B49A |46 INC ESI
0040B49B |8807 MOV BYTE PTR DS:[EDI],AL
0040B49D |47 INC EDI
0040B49E |01DB ADD EBX,EBX
0040B4A0 |75 07 JNZ SHORT 0040B4A9
0040B4A2 \8B1E MOV EBX,DWORD PTR DS:[ESI]
Здесь начинается заполнение данными пустой секции.
Дальше же я просто прокрутил несколькими экранами ниже и увидел переход на OEP
0040B5CB 61 POPAD
0040B5CC ^ E9 2F5AFFFF JMP 00401000 - вот он!!!
Поэтому смело ставь хард бряк на 0040B5CC. И дальше просто дампь. А расположение таблицы импорта можно увидеть чисто зрительно - IATRVA: 000067D0.
В архив положил, - конечный и оптимизированный распакованный файл, с обрезанными лишними секциями и ребилда + 2 таблицы импорта, - 1-ая после распаковки Aspack и 2-ая, - уже конечная, после съема UPX.
Архив http://rapidshare.com/files/53131771/KeygenMe_2_by_Spirit.rar.html

-----
Программист SkyNet

| Сообщение посчитали полезным:

дык я не понялKeyGenMe by spirit или by av0id?

-----
invoke OpenFire

| Сообщение посчитали полезным:

Ice-T
КейгенМи написал Спирит, а вот некоторые фичи, которые портят пакеры, написал Ав0ид.

| Сообщение посчитали полезным:

RSI
Расскажи, плиз, как мусор восстанавливать. А то после распаковки сама прога-то работает, однако кода как такового нет.
Я что-то не догнал этот момент...

-----
Программист SkyNet

| Сообщение посчитали полезным:

Flint
Ekpms
__________________

Забавный кейгенми

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

FrenFolio
Я даже не загонялся так с распаковкой, просто посмотрел что портится PE хеадер и далее обычный пакер какой-то.
Я копировал содержимое хидера при старте, затем бряк на запись в секцию кода, после того как брякнулся восстановил PE хеадер, и спустился чуть ниже цикла распаковки, там бряк на последний jmp - это и есть OEP, потом импорт восстановил.

А вот мусор там одинаковый, поэтому сделал простой скрипт чтобы он нопил его.
---------------------------------------------------------------------- -------------------------------------------------------
// Скрипт для удаления мусора из файла

var START
var END

mov START,401000
mov END, 406820

replace:
repl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
inc START
cmp START,END
jne replace

ret
---------------------------------------------------------------------- --------------------------------------------------------------

Потом было свободное время, посмотрел что там только 3 функции, и ручками собрал разбросанные комманды в одно целое.

| Сообщение посчитали полезным:

RSI
И в очередной раз респектище тебе!
Ты нашел самый короткий и правильный путь.
Кстати скрипт я написал почти такой же, только по короче:

mloop:
find eip,#669C64FC64F564FD64FC64F864FD649B64F564FD64FC64F8649064F564FD64FC6 4F8649B64F564FD64FC64F864F564FD64FC64F864F964F564FD64FC64F864F564FD64F C64F864F864F564FD64FC64F864F564FD64FC64F864F564FD64FC64F864F564F564FC6 4F864FD64F564FD64FC64FC64F564FD64FC64F864F864F564FD64FC64F864F564FD64F C64F864F564FD64FC64F864F564FC64F564F564FD64FC64F864FD64FD64FC64F864FC6 4F564FD64FC64F864F864F564FD64FC64F864F564FD64FC64F864F564FD64FC64F8649 B64F564FD64FC64F864F864F564FD64FC64F864F564FD64FC64F864F564FD64FC64F86 4F564FD64FC64F864669D#
fill $RESULT, FD, 90
cmp $RESULT, 0
JNE mloop
ret
RSI пишет:
посмотрел что там только 3 функции, и ручками собрал разбросанные комманды в одно целое.
Во-во! Вот поэтому я и написал: 0,5/10. Там 0,5 - это распаковка, и 0 - сам алго.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Там 0,5 - это распаковка, и 0 - сам алго.
вот об этом я и говорил.. by av0id срякмис-то...

-----
invoke OpenFire

| Сообщение посчитали полезным:

Ice-T пишет:
вот об этом я и говорил.. by av0id срякмис-то
Ладно, я немного поправлюсь:
1) 0,5 - это НЕ распаковка.
2) Что-то я так и не увидел от тебя поста содержащего анпакед,кейгенми, сериал, скрипт или еще что-нибудь.
3) В топике начали флудерастить флудерасты и за сим закрыто.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным: