ExeCryptor 2.x IAT Rebuilder [SCRIPT]

Сейчас на форуме: vasilevradislav, site-pro, johnniewalker, NIKOLA, vsv1, r0lka (+6 невидимых)

Посл.ответ	Сообщение
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 08 ноября 2006 20:27 · Поправил: PE_Kill · Личное сообщение · #1 Тот кто читал мою статейку по криптору знает этот скрипт. pavka нашел в нем баги, ну а я поправил, за что ему респект. Скрипт стал работать еще медленнее, но соответственно стабильность возрасла в разы. Короче кто в теме, тому пригодится.... PS Во избежание флуда "Что за стотья?" говорю сразу, стотья лежит в "rar-стотьи" b23b_08.11.2006_CRACKLAB.rU.tgz - ExeCryptor.2.x.IAT.Rebuilder-PE_Kill.rar ----- Yann Tiersen best and do not fuck

Alexus2006 Ранг: 34.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 11 ноября 2006 11:43 · Личное сообщение · #2 пытаюсь восстановить имопрт на EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1) * скрипт падает с ошибкой... аттач ~9 Kb 66cf_11.11.2006_CRACKLAB.rU.tgz - 123.jpg
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 11 ноября 2006 13:10 · Личное сообщение · #3 Alexus2006 Ты юзаешь OllyScript а скрипт заточен наверняка под ODbgScript
NeoTall Ранг: 36.8 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 12 ноября 2006 04:14 · Личное сообщение · #4 Привет... А сколько по времени должен работать скрипт??? Пытаюсь щас снять прот с Vextractor'а (это к слову, помощь пока не нужна), так вот скрипт работает уже ОЧЕНЬ ДОЛГО...
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 12 ноября 2006 08:27 · Личное сообщение · #5 NeoTall Ну в зависимотсти от того какой у тя комп + смотря какой там IAT если он большой то сиди жди
NeoTall Ранг: 36.8 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 12 ноября 2006 11:22 · Личное сообщение · #6 Z0oMiK пишет: NeoTall Ну в зависимотсти от того какой у тя комп + смотря какой там IAT Да не сказал бы, что комп слабенький... Не "монстр" конечно, но и не РII (P-M Centrino, 1024MB)... Я все-таки думаю, что где-то, что-то, не так делаю... IAT узнаю с помощью LordPE (или PE Editor) -> Directories -> Import Address Table (RVA и Size)... Так ведь я правильные значения получаю... Размер у Vextractor'а = 000007C8... "ОЧЕНЬ ДОЛГО" в моем понимании...3 часа... (Не думайте, что тупо сидел у монитора и ждал... Просто срочно уходил из дома, оставил комп работать, а когда вернулся скрипт все еще работал)... З.Ы. Думаю это не та тема, где надо обсуждать мои проблемы... Я в разделе "Для новичков" создал топик по ExeCryptor'y, там я UnpackMe пытаюсь распаковать, но и Vextractor меня интересует, как объект исследования... Если есть время и желание помочь, буду признателен... З.З.Ы. PE_Kill, СПАСИБО ЗА СКРИПТ... Думаю, настанет время, и я тоже оценю все его возможности по достоинству...
NeoTall Ранг: 36.8 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 12 ноября 2006 11:28 · Личное сообщение · #7 ...Говорю ж туплю... В общем, я сначала на OEP вставал и запускал скрипт... Итог: 3 часа... Сейчас, остановился на EP и запустил скрипт, в итоге через 1.5 мин. вылетело окошко "Error..." Что я делаю не так???
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 12 ноября 2006 13:45 · Личное сообщение · #8 NeoTall Аналогично. Ступариться при обработки функции немного друго вида: 005B32AF 0F80 E39DFFFF JO 005AD098 005B32B5 8B05 384D5300 MOV EAX,DWORD PTR DS:[534D38] 005B32BB 09C0 OR EAX,EAX 005B32BD E9 A158FBFF JMP 00568B63 Хотя вроде как должно быть что то типа такого: 00524680 E8 18000000 CALL 0052469D 00524685 FF25 9C225000 JMP NEAR DWORD PTR DS:[50229C] Попробуй старую версию. Та что со статьей шла (v1.8 вроде как). Мне помогло. ----- Computer Security Laboratory
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 12 ноября 2006 17:32 · Личное сообщение · #9 NeoTall Скорей всего ты неправльно выставляешь значения IAT или зaпускаешь не с того места ! У меня на слабеньком третьем пне нормально работает !
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 12 ноября 2006 21:51 · Личное сообщение · #10 примерно 5 сек на 1 адрес при 250мгц
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 13 ноября 2006 01:48 · Личное сообщение · #11 NeoTall А какой ты хочешь импорт в Vextractorе восстановить ! Там ни чего не испорчено да и маловероятно что это вообще ексекриптор камуфляж какой то дампи на оеп и запускай файл! Зря качал только! 004F1B06 6A 60 push 60<------------------------OEP 004F1B08 68 F87F5600 push Vextract.00567FF8 004F1B0D E8 5E230000 call Vextract.004F3E70 004F1B12 BF 94000000 mov edi,94 004F1B17 8BC7 mov eax,edi 004F1B19 E8 12DDFFFF call Vextract.004EF830 004F1B1E 8965 E8 mov dword ptr ss:[ebp-18],esp 004F1B21 8BF4 mov esi,esp 004F1B23 893E mov dword ptr ds:[esi],edi 004F1B25 56 push esi 004F1B26 FF15 24045300 call dword ptr ds:[<&KERNEL32.GetVersionExA>>; kernel32.GetVersionExA 004F1B2C 8B4E 10 mov ecx,dword ptr ds:[esi+10] 004F1B2F 890D C8F95800 mov dword ptr ds:[58F9C8],ecx 004F1B35 8B46 04 mov eax,dword ptr ds:[esi+4] 004F1B38 A3 D4F95800 mov dword ptr ds:[58F9D4],eax 004F1B3D 8B56 08 mov edx,dword ptr ds:[esi+8] 004F1B40 8915 D8F95800 mov dword ptr ds:[58F9D8],edx 004F1B46 8B76 0C mov esi,dword ptr ds:[esi+C] 004F1B49 81E6 FF7F0000 and esi,7FFF 004F1B4F 8935 CCF95800 mov dword ptr ds:[58F9CC],esi 004F1B55 83F9 02 cmp ecx,2 004F1B58 74 0C je short Vextract.004F1B66 004F1B5A 81CE 00800000 or esi,8000 004F1B60 8935 CCF95800 mov dword ptr ds:[58F9CC],esi ---------------------------------------------------------------------- ---------------------- 00530000 >77DCEBE7 ADVAPI32.RegSetValueExA<------------ все на месте 00530004 >77DCEAF4 ADVAPI32.RegCreateKeyExA 00530008 >77DC7883 ADVAPI32.RegQueryValueExA 0053000C >77DC761B ADVAPI32.RegOpenKeyExA 00530010 >77DCD7CC ADVAPI32.RegSetValueExW 00530014 >77DC7535 ADVAPI32.RegCreateKeyExW 00530018 >77DC6FC8 ADVAPI32.RegQueryValueExW 0053001C >77DC6A78 ADVAPI32.RegOpenKeyExW 00530020 >77DECC10 ADVAPI32.RegQueryValueA 00530024 >77DD6F49 ADVAPI32.RegSetValueA 00530028 >77DEC41B ADVAPI32.RegOpenKeyA 0053002C >77DEC123 ADVAPI32.RegDeleteKeyA 00530030 >77DECAC3 ADVAPI32.RegEnumKeyA 00530034 >77DCEDE5 ADVAPI32.RegDeleteValueA 00530038 >77DFD2FD ADVAPI32.SetFileSecurityA
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 13 ноября 2006 20:37 · Личное сообщение · #12 Если скрипт запустить не из тела программы, а стоя где нибудь в системной библе, то он ImageBase неправильно определит. Да и я же всё откаментил, можно пошагово посмотреть, где что не так идет. Есть кстати уже версия 2.0, там идет отлов плохих адресов. [HEX] пишет: Аналогично. Ступариться при обработки функции немного друго вида: 005B32AF 0F80 E39DFFFF JO 005AD098 005B32B5 8B05 384D5300 MOV EAX,DWORD PTR DS:[534D38] 005B32BB 09C0 OR EAX,EAX 005B32BD E9 A158FBFF JMP 00568B63 Эмм, а чем она другая? Такие конструкции как раз трассировкой и ищутся 25h проходов, поэтому и долго. Это что за прога? ----- Yann Tiersen best and do not fuck
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 13 ноября 2006 20:42 · Личное сообщение · #13 PE_Kill пишет: Есть кстати уже версия 2.0 Где посмотреть? ;)
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 14 ноября 2006 04:47 · Личное сообщение · #14 PE_Kill slil.ru/23403672 ~1Мб начало таблицы обрабатывается на ура... импорт востанавливается видно визуально =) Но дойдя до такого места в IAT скрипт выпадает в осадок Error. ... 0050229C 7C809FB5 kernel32.LoadResource 005022A0 005B32AF - ступор 005022A4 00534D4E ... Если интересно посмотри сам. Может я конечно чето туплю =( Кстати да! Где 2.0 версию посмотреть ;) ? ----- Computer Security Laboratory
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 15 ноября 2006 23:38 · Личное сообщение · #15 [HEX] ОК я гляну... ----- Yann Tiersen best and do not fuck
DrFits Ранг: 200.3 (наставник) Активность: 0.09↘0 Статус: Участник	Создано: 16 ноября 2006 06:20 · Личное сообщение · #16 [HEX] пишет: Но дойдя до такого места в IAT скрипт выпадает в осадок Error - тут http://exelab.ru/f/action=vthread&forum=5&topic=6765 аналогичный косяк ----- Само плывет в pуки только то, что не тонет.
xlETO Ранг: 5.6 (гость) Активность: 0=0 Статус: Участник	Создано: 22 ноября 2006 23:31 · Личное сообщение · #17 PE_Kill, у скрипта есть преимущества по сравнению с плагином для Ипмрека?
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 23 ноября 2006 01:46 · Личное сообщение · #18 xlETO что за плагин? Он восстанавливает все адреса? Если да, то плагин рулит... ----- Yann Tiersen best and do not fuck
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 23 ноября 2006 01:58 · Личное сообщение · #19 PE_Kill плуг для древних версий криптора!
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 23 ноября 2006 03:05 · Личное сообщение · #20 pavka пишет: Если да, то плагин рулит... Нихрена он не рулит, за место нужной апи записывае гетмодульхандл.
xlETO Ранг: 5.6 (гость) Активность: 0=0 Статус: Участник	Создано: 23 ноября 2006 09:45 · Поправил: xlETO · Личное сообщение · #21 PE_Kill, плагин восстанавливает большую часть АПИ (процентов 90), но на некоторых косячит. Поэтому и поинтересовался, есть ли преимущества. Твой скрипт для Олли распознает все функции? Нет ли желания написать плагин для ИпмРека (и закрыть его от любопытных глаз Релаера )?
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 23 ноября 2006 20:03 · Личное сообщение · #22 xlETO пишет: плагин восстанавливает большую часть АПИ (процентов 90) Фигней маешся покажи на чем ты востанавливал импорт!

Для печати