Обновился сабж
www.multiextractor.com/files/MultiExtractor.exe
Кому интересно и кто пользует потестите плиз
rapidshare.com/files/19179994/MultiExtractor2.1.1.2.rar

| Сообщение посчитали полезным:

pavka пишет:
снимал по памяти
НормалЁк!!!!Уже меньше возни!!!
Демо строчки - херня,тупо затираем
Наг долбанный тоже
//отсюда 00419FB9 и до сюда 0041A001 тупо NOP
Надо ещё вечерком с контекстным меню поковыряться и будет кажись фулл
//Но всё равно прога бестолковая(ещё и жадная),из унпакнутой жертвы,ведь любым
//нормальным редактором ресурсов можно цивильно всё извлечь,и даже больше.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

У мну вылетает при нажатиии на "Опции". Выяснить, в чем бяка, не могу пока, тк на моем рабочем компе под Олей грузится полчаса, а времени нет.

| Сообщение посчитали полезным:

Sey пишет:
в чем бяка
Смотри тут внимательно:
http://exelab.ru/f/action=vthread&forum=3&topic=8063
Менюшку активировать для разного файлО,можно здесь 00405ea3.
Вообще надо разобраться где в eax единицу загнать,и будет шоколад
А можно и по тупому,патчингом деревянным
Вот как четыре секции голимых кильнуть,это проблема.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Смотри тут внимательно:
[url=http://exelab.ru/f/action=vthread&forum=3&topic=8063




Это прикол, чтоли, такой.
А где мы, если не в http://exelab.ru/f/action=vthread&forum=3&topic=8063находи мся.

| Сообщение посчитали полезным:

Sey
Тоды переверни назад страничку <<
Собственно само файлО, немного подчеканеное после Павыча:
www.sendspace.com/file/gmgjat
//Теперь вроде всё извлекает,вроде всё открывает,дальше пока лениво ковырять.
//Фантомка новый вышел,некогда теперь
------------
0040A90D 8B3D 94E16000 MOV EDI,DWORD PTR DS:[60E194]<-поправьте,будет в about [Pro]

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Вот кому интерсно скрипт для фикса криптованого кода

var oep
var p_wr
var decript_f
var Fil_g
Var s_pl
var 1_call
var 2_call
var w_jmp

var code
mov oep,eip
mov code,401000

mov s_pl,350000
find s_pl,#8F4424FC619DC3#
cmp $RESULT,0
je quit
mov p_wr,$RESULT+4
bp p_wr
loop:
findcmd code, "CALL 0036C91F" // для дампа "CALL 0067591F"
cmp $RESULT,0
je remove_2
mov decript_f,$RESULT
mov code ,$RESULT+5
mov eip,decript_f
erun
fill decript_f,9,90
findcmd code, "CALL 0036D2D3" //для дампа "CALL 006762D3"
cmp $RESULT,0
je remove_2
mov Fil_g,$RESULT
fill Fil_g,9,90
jmp loop
remove_2:

mov code,401000
loop2:
findcmd code, "CALL 00360E84" // //для дампа "CALL 00669E84"
cmp $RESULT,0
je quit
mov 1_call,$RESULT
mov code ,$RESULT+5
findcmd code, "CALL 0036234B" // для дампа "CALL 0066B34B"
mov 2_call,$RESULT
mov w_jmp,$RESULT+9
eval "jmp {w_jmp}"
mov w_jmp,$RESULT
asm 1_call,w_jmp
fill 2_call,9,90
jmp loop2


quit:
bc p_wr
mov eip,oep
ret

если фиксить в дампе соответственно поменять маски кэлов ну и соответственно с дампа можно выкинуть секцию

| Сообщение посчитали полезным:

findcmd code, "CALL 0067591F"
я меня в этом месте ошибка

| Сообщение посчитали полезным:

pavka
Это типо над "собственно файл0" поиздеваться можно?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Crazy_Death пишет:
findcmd code, "CALL 0067591F"
я меня в этом месте ошибка
обнови плуг!
Bronco пишет:
Это типо над "собственно файл0" поиздеваться можно?
В общем на всех Пелоках должно работать если маски редктировать

| Сообщение посчитали полезным:

pavka
Окей,грамотно всё таки!!!
Пелок наказан,и по швам трещит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

первым делом обновил плуг, тоже самое
так что глупый вопрос какой плуг обновлять?

| Сообщение посчитали полезным:

Crazy_Death
FINDCMD addr, cmdstr
--------------------
Search for asm command(s), you can search for series also with ";" separator.
This command uses "Search for All Sequences" Ollydbg function so could find relative calls/jmp
Reference Window is used and its content changed
You can use GREF to get next results in disasm window range

Example 1:
mov line,1
findcmd eip, "xor R32,R32"
next:
gref line
cmp $RESULT,0
je finished
inc line
jmp next
finished:

Example 2:
findcmd 401000, "nop;nop;nop"
msg $RESULT

| Сообщение посчитали полезным:

Bronco пишет:
Пелок наказан,и по швам трещит.
Могу выложить потестить скрипт для перемещения инит тейбл в делфи и скрипт убирающий редирект

| Сообщение посчитали полезным:

pavka
Да пока не на чем тестить.
Хотя...ВЫКЛАДЫВАЙ!!!!!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Оба скрипта выполнять с оеп ! Естественно скрипт для перемещения Инит Тейбл ,только для делфи в этом случае его запускать первым ;)

<img src="img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","2ed1_26.09.2007_CRACKLAB.rU.tgz");< /SCRIPT> - PeLock.rar
Сори ;) сунул в архив только сишный вариант редиректа
Вот вариант для

| Сообщение посчитали полезным:

Сори ;) сунул в архив только сишный вариант редиректа
Вот вариант для для всех компилеров

9873_26.09.2007_CRACKLAB.rU.tgz - PeLock all.rar

| Сообщение посчитали полезным:

MultiExtractor v2.70a

v2.7.0.a
- Added BIK (Bink Video), SMK (Smacker Video) formats
- Corrections in Archive Detect&Unpack Engine

www.multiextractor.com/MultiExtractor.exe

| Сообщение посчитали полезным:

v2.7.1a
- Fixed archive unpack engine
- Fixed bug of first launch on Vista (application freeze)
- Fixed exploring in status window (suspend problems)
- Changed extensions of all *.ini files to *.cfg
- Added GUI Themes (now you can modify the GUI/skin of MultiExtractor)
- New file organization (folders with tools and other program data)
- Fixed czech language file (missing strings)

www.multiextractor.com/MultiExtractor.exe

| Сообщение посчитали полезным:

Ковырял версию 2.7.1с
Распаковал, пофиксил чтоб все форматы сохранял восстановил почти весь код
но ни как не могу пару кусков кода востановить например здесь:

00410F4D E8 69FA2500 CALL 006709BB
00410F52 B0 02 MOV AL,2
00410F54 0000 ADD BYTE PTR DS:[EAX],AL
00410F56 95 XCHG EAX,EBP
00410F57 A0 CC81DC35 MOV AL,BYTE PTR DS:[35DC81CC]
00410F5C 44 INC ESP
00410F5D 34 E4 XOR AL,0E4
00410F5F 5C POP ESP
00410F60 4D DEC EBP
00410F61 E3 45 JECXZ SHORT 00410FA8
00410F63 05 0F01D1E1 ADD EAX,E1D1010F
00410F68 305E 38 XOR BYTE PTR DS:[ESI+38],BL
00410F6B 04 71 ADD AL,71
пропущено----------------------------------
00410FBC E8 B30E2600 CALL 00671E74

И так еще несколько кусков все они начинаются с CALL 006709BB
и заканчиваются CALL 00671E74

Другие CALL которые начинаются с CALL 0067C3BB и заканчиваются CALL 0067CD78 я восстановил.

В дампе и в оригинале адреса кэлов будут разные (я на время прикрутил новую секцию)
Чтобы дамп запустился по адресам:
0067DA69 60 PUSHAD
0067DABD 60 PUSHAD
Пропишите RET чтобы занового не раскриптовывал код

Может кто разбирал такой код?
Вот если то мой дамп.


e244_23.02.2008_CRACKLAB.rU.tgz - Dumped_unp3_fixmenu.rar

| Сообщение посчитали полезным:

Всегда искал этот сабж но не знал как он называется, а раньше выдирал ресхакером и пе-эксплорером.

| Сообщение посчитали полезным:

qwerty-2006 пишет:
Может кто разбирал такой код?
а чего его разбирать, скрипты выше или иди в рар статьи там подробно в туторе почитай

| Сообщение посчитали полезным:

pavka пишет:
а чего его разбирать, скрипты выше или иди в рар статьи там подробно в туторе почитай

Дык в том то и дело что он не фига не становится нормальным. (может по ключу?)
Смотрел отломаную версию 2.6 так там тоже он не восстановлен. Поэтому и написал или может я чего не догоняю? Этот участок кода отвечает за функцию (Import From.. [Alt+I]) в проге я так понял?

| Сообщение посчитали полезным:

qwerty-2006 пишет:
Распаковал, пофиксил чтоб все форматы сохранял
Как я понял у тебя есть ключ qwerty-2006 пишет:
[i]qwerty-2006 пишет:
Дык в том то и дело что он не фига не становится нормальным
становиться не сомневайся без выделеной памяти дофига выкладывалось дампов
Ты можешь сохранят 5 или 4 точно не помню формата причем в разных версиях разные форматы Возможно есть сохранять все, но очень гиморная. Имхо заниматься этим вряд ли кто будет ....

| Сообщение посчитали полезным:

Да не фига он не хочет нормалным делаться я его потрейсил он просто вычесляет свой кэлл который идет ниже и идет дальше?? А форматы уменя все сохраняет и просматривает, и от выделенной памяти отучен, но в хелпе написано есть еще одна функция но она отключена в демо "Disabled patching of all resources (importing)" вот хотел бы ее поиметь. При включении в меню этой фичи она как раз прыгает на тот код. Могу выложить рабочий ЕХЕ там эти участки кода пришлось тупо занопить

| Сообщение посчитали полезным:

qwerty-2006 пишет:
Да не фига он не хочет нормалным делаться
Ну видать не судьба ;) Вот пример из 2.7а
.00412062: EBFA jmps .00041205E
.00412064: EBFC jmps .000412062
.00412066: EB06 jmps .00041206E
.00412068: CD20EBFDCD20 vxdjmp 20CD.7DEB
.0041206E: 90 nop
.0041206F: 90 nop
.00412070: 90 nop
.00412071: 90 nop
.00412072: 90 nop
.00412073: 90 nop
.00412074: 90 nop
.00412075: 90 nop
.00412076: 90 nop
.00412077: E8ED0FFFFF call .000403069
.0041207C: 83F800 cmp eax,0
.0041207F: 750A jnz .00041208B
.00412081: E85710FFFF call .0004030DD
.00412086: E89010FFFF call .00040311B
.0041208B: E8EA10FFFF call .00040317A
.00412090: 8B35A4606200 mov esi,[0006260A4]
.00412096: 8906 mov [esi],eax
.00412098: 6808306100 push 000613008 ;' a0 '
.0041209D: E82A150100 call GetSystemTimeAsFileTime
.004120A2: 8B3D80C55D00 mov edi,[0005DC580]
.004120A8: 893D0C666100 mov [00061660C],edi
.004120AE: E8F44EFFFF call .000406FA7
.004120B3: C6052BF35D0000 mov b,[0005DF32B],0
.004120BA: 6A02 push 2
.004120BC: FF35B8C24900 push d,[00049C2B8]
.004120C2: E8F1190100 call LoadAcceleratorsA
.004120C7: A338076100 mov [000610738],eax
.004120CC: 6A00 push 0
.004120CE: FF7508 push d,[ebp][8]
.004120D1: 6A00 push 0
.004120D3: 6A00 push 0
.004120D5: 6800000080 push 080000000 ;'Ç '
.004120DA: 6800000080 push 080000000 ;'Ç '
.004120DF: 6800000080 push 080000000 ;'Ç '
.004120E4: 6800000080 push 080000000 ;'Ç '
.004120E9: 6A01 push 1
.004120EB: 6A00 push 0
.004120ED: 68BB8D6200 push 000628DBB ;'Tooltips_class32'
.004120F2: 6800300000 push 000003000 ;' 0 '
.004120F7: E83C1B0100 call CreateWindowExA
.004120FC: A308065A00 mov [0005A0608],eax
.00412101: E8DE140100 call GetTickCount
.00412106: 89C7 mov edi,eax
.00412108: 57 push edi
.00412109: 68A68D6200 push 000628DA6 ;'C:\mxtemp'
.0041210E: 68B08D6200 push 000628DB0 ;'%s{%0.8X}'
.00412113: 6850F55D00 push 0005DF550 ;' ]⌡P'
.00412118: E8BB1D0100 call sprintf
.0041211D: 83C410 add esp,010
.00412120: 6828376100 push 000613728 ;' a7('
.00412125: FF7510 push d,[ebp][010]
.00412128: E839F9FEFF call .000401A66
.0041212D: 83C408 add esp,8
.00412130: C745C400000000 mov d,[ebp][-03C],0
.00412137: C7054C09610000000000 mov d,[00061094C],0
.00412141: 6828376100 push 000613728 ;' a7('
.00412146: E8D51D0100 call strlen
.0041214B: 83C404 add esp,4
.0041214E: 8945E0 mov [ebp][-020],eax
.00412151: 8B7DE0 mov edi,[ebp][-020]
.00412154: 803C3D263761002F cmp b,[edi][000613726],02F ;'/'
.0041215C: 7538 jnz .000412196
.0041215E: 8B7DE0 mov edi,[ebp][-020]
.00412161: 803C3D2737610064 cmp b,[edi][000613727],064 ;'d'
.00412169: 7514 jnz .00041217F
.0041216B: 8B7DE0 mov edi,[ebp][-020]
.0041216E: C6043D2637610000 mov b,[edi][000613726],0
.00412176: C745C401000000 mov d,[ebp][-03C],1
.0041217D: EB17 jmps .000412196
.0041217F: 8B7DE0 mov edi,[ebp][-020]
.00412182: 803C3D2737610041 cmp b,[edi][000613727],041 ;'A'
.0041218A: 750A jnz .000412196
.0041218C: C7054C09610001000000 mov d,[00061094C],1
.00412196: 6828376100 push 000613728 ;' a7('
.0041219B: E8F1FCFEFF call .000401E91
.004121A0: 83C404 add esp,4
.004121A3: 68A8066100 push 0006106A8 ;' a ¿'
.004121A8: 6828376100 push 000613728 ;' a7('
.004121AD: E8EAF0FEFF call .00040129C
.004121B2: 83C408 add esp,8
.004121B5: 6828376100 push 000613728 ;' a7('
.004121BA: 68A8095A00 push 0005A09A8 ;' Z ¿'
.004121BF: E8501D0100 call strcpy
.004121C4: 83C408 add esp,8
.004121C7: 68E8C85F00 push 0005FC8E8 ;' _╚Φ'
.004121CC: 68A8095A00 push 0005A09A8 ;' Z ¿'
.004121D1: E803F7FEFF call .0004018D9
.004121D6: 83C408 add esp,8
.004121D9: 6880916200 push 000629180 ;'key.lic'
.004121DE: 68E8C85F00 push 0005FC8E8 ;' _╚Φ'
.004121E3: E8781C0100 call _strcmpi
.004121E8: 83C408 add esp,8
.004121EB: 83F800 cmp eax,0
.004121EE: 7564 jnz .000412254
.004121F0: 6880916200 push 000629180 ;'key.lic'
.004121F5: 6808BD4900 push 00049BD08 ;' I╜ '
.004121FA: 687F9C6200 push 000629C7F ;'%s%s'
.004121FF: 68B8884900 push 0004988B8 ;' Iê╕'
.00412204: E8CF1C0100 call sprintf
.00412209: 83C410 add esp,010
.0041220C: 6A00 push 0
.0041220E: 68B8884900 push 0004988B8 ;' Iê╕'
.00412213: 68A8095A00 push 0005A09A8 ;' Z ¿'
.00412218: E81B140100 call CopyFileA
.0041221D: 83F800 cmp eax,0
.00412220: 7428 jz .00041224A
.00412222: 68908D6200 push 000628D90 ;'MultiExtractor.exe /A'
.00412227: 6808BD4900 push 00049BD08 ;' I╜ '
.0041222C: 687F9C6200 push 000629C7F ;'%s%s'
.00412231: 6888C66100 push 00061C688 ;' aƈ'
.00412236: E89D1C0100 call sprintf
.0041223B: 83C410 add esp,010
.0041223E: 6A01 push 1
.00412240: 6888C66100 push 00061C688 ;' aƈ'
.00412245: E856150100 call WinExec
.0041224A: B800000000 mov eax,0
.0041224F: E9540B0000 jmp .000412DA8
.00412254: 68A8095A00 push 0005A09A8 ;' Z ¿'
.00412259: E8DE120100 call GetFileAttributesA
.0041225E: 8945CC mov [ebp][-034],eax
.00412261: 837DCCFF cmp d,[ebp][-034],-1 ;' '
.00412265: 0F8497030000 jz .000412602
.0041226B: 680B906200 push 00062900B ;'mxp'
.00412270: 68A8066100 push 0006106A8 ;' a ¿'
.00412275: E8E61B0100 call _strcmpi
.0041227A: 83C408 add esp,8
.0041227D: 83F800 cmp eax,0
.00412280: 7561 jnz .0004122E3
.00412282: C745C400000000 mov d,[ebp][-03C],0
.00412289: 6828376100 push 000613728 ;' a7('
.0041228E: 6A00 push 0
.00412290: E89748FFFF call .000406B2C
.00412295: 83C408 add esp,8
.00412298: 83F800 cmp eax,0
.0041229B: 0F8461030000 jz .000412602
.004122A1: C705CCCE490001000000 mov d,[00049CECC],1
.004122AB: 6888C66100 push 00061C688 ;' aƈ'
.004122B0: 6828376100 push 000613728 ;' a7('
.004122B5: E81FF6FEFF call .0004018D9
.004122BA

| Сообщение посчитали полезным:

pavka

С такми проблем как раз не было я их все восстановил
00413629 E8 A6FBFEFF CALL 004031D4
0041362E 83F8 00 CMP EAX,0
00413631 75 0A JNZ SHORT 0041363D
00413633 E8 10FCFEFF CALL 00403248
00413638 E8 49FCFEFF CALL 00403286
0041363D E8 A3FCFEFF CALL 004032E5
00413642 8B35 A4906200 MOV ESI,DWORD PTR DS:[6290A4]
00413648 8906 MOV DWORD PTR DS:[ESI],EAX
0041364A 68 54606100 PUSH 00616054
0041364F E8 24170100 CALL <JMP.&kernel32.GetSystemTimeAsFileTime>
00413654 8B3D ACF15D00 MOV EDI,DWORD PTR DS:[5DF1AC]
0041365A 893D E8EE5D00 MOV DWORD PTR DS:[5DEEE8],EDI
00413660 E8 1C3AFFFF CALL 00407081
00413665 C605 571F5E00 00 MOV BYTE PTR DS:[5E1F57],0
0041366C 6A 02 PUSH 2
0041366E FF35 C4E64900 PUSH DWORD PTR DS:[49E6C4] ; Копия_Du.00400000
00413674 E8 F71B0100 CALL <JMP.&user32.LoadAcceleratorsA>
00413679 A3 84376100 MOV DWORD PTR DS:[613784],EAX
0041367E 6A 00 PUSH 0
00413680 FF75 08 PUSH DWORD PTR SS:[EBP+8]
00413683 6A 00 PUSH 0
00413685 6A 00 PUSH 0
00413687 68 00000080 PUSH 80000000
0041368C 68 00000080 PUSH 80000000
00413691 68 00000080 PUSH 80000000
00413696 68 00000080 PUSH 80000000
0041369B 6A 01 PUSH 1
0041369D 6A 00 PUSH 0
0041369F 68 09C56200 PUSH 0062C509 ; ASCII "Tooltips_class32"
004136A4 68 00300000 PUSH 3000
004136A9 E8 5A1D0100 CALL <JMP.&user32.CreateWindowExA>
004136AE A3 182E5A00 MOV DWORD PTR DS:[5A2E18],EAX
004136B3 E8 D8160100 CALL <JMP.&kernel32.GetTickCount>
004136B8 89C7 MOV EDI,EAX
004136BA 57 PUSH EDI
004136BB 68 F4C46200 PUSH 0062C4F4 ; ASCII "C:\mxtemp"
004136C0 68 FEC46200 PUSH 0062C4FE ; ASCII "%s{%0.8X}"
004136C5 68 88215E00 PUSH 005E2188
===========пропущено=====
00413895 E9 1F030000 JMP 00413BB9
0041389A 68 16C76200 PUSH 0062C716 ; ASCII "mxm"
0041389F 68 F4366100 PUSH 006136F4
004138A4 E8 6F1D0100 CALL <JMP.&crtdll._strcmpi>
004138A9 83C4 08 ADD ESP,8
004138AC 83F8 00 CMP EAX,0
004138AF 0F85 F6000000 JNZ 004139AB
004138B5 C745 C4 00000000 MOV DWORD PTR SS:[EBP-3C],0
004138BC 68 14F75F00 PUSH 005FF714
004138C1 68 24FA4900 PUSH 0049FA24
004138C6 E8 011E0100 CALL <JMP.&crtdll.strcpy>
004138CB 83C4 08 ADD ESP,8
004138CE 68 64C05D00 PUSH 005DC064
004138D3 E8 3FDBFEFF CALL 00401417
004138D8 83C4 04 ADD ESP,4
004138DB 6A FF PUSH -1
004138DD 68 C4F14900 PUSH 0049F1C4
004138E2 6A 00 PUSH 0
004138E4 68 64C05D00 PUSH 005DC064
004138E9 68 B4315A00 PUSH 005A31B4
004138EE FF15 B8A95D00 CALL DWORD PTR DS:[5DA9B8]
004138F4 90 NOP

Дело именоо в других CALL 006709BB

| Сообщение посчитали полезным:

qwerty-2006 пишет:
Дело именоо в других CALL 006709BB
qwerty-2006 пишет:
и от выделенной памяти отучен,
приатачен к дампу? обе процедуры декрипта нормально обрабатываются и на этой фигне и на самом проте да и на других Пелоченых прогах

| Сообщение посчитали полезным:

pavka пишет:
приатачен к дампу? обе процедуры декрипта нормально обрабатываются и на этой фигне и на самом проте да и на других Пелоченых прогах
В дампе выделеная память приатачена, если надо могу скинуть пофиксеный рабочий без выделенной памяти.

| Сообщение посчитали полезным:

qwerty-2006 пишет:
В дампе выделеная память приатачена, если надо могу скинуть пофиксеный рабочий без выделенной памяти
Кому надо то? Мне зачем твой дамп нужен ? да и вообще зачем было атачить память? Там все убираеться скриптами и не остаеться ни одного вызова в 003XXXXX

| Сообщение посчитали полезным:

pavka пишет:
Мне зачем твой дамп нужен ? да и вообще зачем было атачить память? Там все убираеться скриптами и не остаеться ни одного вызова в 003XXXXX

Ну если не трудно помоги распаковать v2.72c

| Сообщение посчитали полезным: