Помогите снять yoda's cryptor 1.3.2

Сейчас на форуме: asfa, _MBK_ (+7 невидимых)

Посл.ответ	Сообщение
d-Metrius Ранг: 1.6 (гость) Активность: 0=0 Статус: Участник	Создано: 05 октября 2009 23:04 · Личное сообщение · #1 Распаковывать не надо - просто пните в нужном направлении. Запускаю в Ольке (HideDebugger, HideOD, патченный класс окна и имя, убраны все галочки с Exceptions), ставлю галочку для остановки на Load DLL, при загрузке User32.dll затираю NOPами всю функцию BlockInput до RETNа и ставлю на нём бряк, также затираю NOPами GetCurrentProcessId в kernel32.dll и возвращаю в EAX PID Ольки вместо PIDа жертвы, после прыжков по Excpetionам останавливаюсь в user32.BlockInput на RETNе. По идее BlockInput должна вызываться дважды, во второй раз вся секция уже распакована и по-идее надо ставить бряк на Access и получать OEP, но у меня почему-то вылазит Unhandled excpetion, который прога не смогла съесть и всё вылетает. Без Ольки прога работает. a8aa_05.10.2009_CRACKLAB.rU.tgz - UnSetup.exe

tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 05 октября 2009 23:19 · Личное сообщение · #2 Выложи все необхожимые файлы для запуска. Прога после запуска сразу вырубается
d-Metrius Ранг: 1.6 (гость) Активность: 0=0 Статус: Участник	Создано: 05 октября 2009 23:22 · Личное сообщение · #3 Это часть комбайна от Samsung SDS. Щас найду ссылку на полный пакет (только ничего кроме UnSetup.exe не запускайте - это user-mode rootkit для слежения за сотрудниками компании). www.uafile.net/file/6462/incops3-rar.html
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 05 октября 2009 23:53 · Личное сообщение · #4 Пробуй разные сборки оли. У меня нормально отработала прога и распаковалась на сборке HanOlly
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 06 октября 2009 05:34 · Личное сообщение · #5 Настройки ольки надо было поэксперементировать всё бы получилось ОЕР===>00409CFE ну и сам файл расспакованный сильно нетестил 92c7_05.10.2009_CRACKLAB.rU.tgz - UnSetup2_.exe ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
d-Metrius Ранг: 1.6 (гость) Активность: 0=0 Статус: Участник	Создано: 06 октября 2009 13:08 · Личное сообщение · #6 Снять-то снял. Но нашлась одна мерзкая штуковина под названием Anywall3.dll которая прописана в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Paramete rs\Protocol_Catalog9\Catalog_Entries и что-то делает с сетью. Она часть всё того же комбайна и без неё инет НЕ работает. Ни одно приложение работающее с ws2_32 не получает сокет. www.uafile.net/file/6810/anywall3-dll.html Никто не подскажет, что оно делает?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 06 октября 2009 20:59 · Личное сообщение · #7 Возьми да посмотри сам, что она делает. И так уже распаковали за тебя. Или в запросы.

Для печати