Сейчас на форуме: asfa, Rio (+7 невидимых)

 eXeL@B —› Вопросы новичков —› Protection Plus Wrapper v4.6 (or newer) detected !
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 4.0 (гость)
Активность: 0.010
Статус: Участник

 Создано: 15 мая 2013 00:29
· Личное сообщение · #1

Привет,провел анализ -=[ ProtectionID v0.6.4.0 JULY]=-
Он выдал что мой exe ФАЙЛ ЗАПАКОВАН [!] Protection Plus Wrapper v4.6 (or newer) detected !
Ну решил воспользоваться google,ну не чего про это не нашел.
Подскажите пожалуйста есть ли для него анпакер?
Все что можно перерыл.





Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

 Создано: 31 октября 2013 20:26
· Личное сообщение · #2

uncleua
Спасибо. Думал что там пару метров будет, но 200 с хреном качать лениво с такой скоростью.
Может кто выложит минимальный?

exespy
Can you upload only exe and dll, that necessary for launching?

-----
Research For Food


Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

 Создано: 31 октября 2013 21:11 · Поправил: r99
· Личное сообщение · #3

daFix

этот клиент со своими запросами в эту тему уже не вписывается



Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 01 ноября 2013 16:11
· Личное сообщение · #4

Ok. i upload to mega and test all is ok.
https://mega.co.nz/#!CAEW3BjJ!A1k1FVSEX8tMjdjvDZzIyDI6UFceDkD8EXmasjEHN5M
Sorry for the problems.



Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 01 ноября 2013 16:30
· Личное сообщение · #5

daFix sorry i dont see your last post

r99 I only ask if somebody have one tutorial for these newer versions. Sorry for the inconvenience. where i can ask for that.




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

 Создано: 02 ноября 2013 21:57
· Личное сообщение · #6

Новая версия оказалась чуть сложнее. Но я заметил только защиту импорта и всё. Ни чего более

-----
Research For Food


Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

 Создано: 02 ноября 2013 22:40
· Личное сообщение · #7

нужен подбитый то бишь набитый глаз чтоб распознать некоторые апи
вот примерный скрипт для анпака

f907_02.11.2013_EXELAB.rU.tgz - plus2.zip




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

 Создано: 02 ноября 2013 22:44 · Поправил: daFix
· Личное сообщение · #8

r99
Я уже накатал. Но было лень вписывать обработку эмулированных функций.
Вот в помощь:

// 01 - kernel32.GetCurrentProcess
// 02 - kernel32.GetVersionExA
// 03 - kernel32.GetCommandLineA
// 04 - kernel32.GetProcessHeap
// 05 - kernel32.GetProcAddress
// 06 - kernel32.GetModuleHandleA
// 07 - kernel32.LoadLibraryA
// 08 - kernel32.GetVersionExA - ???
// 09 - kernel32.GetVersion
// 0A - kernel32.
// 0B - kernel32.
// 0C - kernel32.FreeLibrary

ADDED: Это из новой версии. Со старой не сравнивал

-----
Research For Food

Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 03 ноября 2013 17:02
· Личное сообщение · #9

Yes, i see api emulation but i have a question. they are more of 400 api's are all emulated?.
you are experienced masters and I am newbie learning and doing things manually. I don't have enough experience to distinguish all apis and I not learned to write scripts yet.
greetings and thanks to respond.




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

 Создано: 04 ноября 2013 01:56
· Личное сообщение · #10

exespy
No no, IAT emulation and IAT protection is not same things. Protection Plus Wrapper can emulate only 12 functions.
All other functions just "protected" by interlayer of protection code, were dynamicly generating address of function.
In your version, generator of IAT use their custom implementation of GetProcAddress, because of this you have difficulty with imports

-----
Research For Food

Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 04 ноября 2013 14:41
· Личное сообщение · #11

oh I see, so there is information on how this function is implemented in the help or manual of the same wrapper?. I will try to use the wrapper in some crackme to see the changes. This has to do with the generation of the hidden dll?.

Greetings.



Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 04 ноября 2013 14:50
· Личное сообщение · #12

r99 thank you for the example script. I will use this to see and understand what happen.


<< . 1 . 2 .
 eXeL@B —› Вопросы новичков —› Protection Plus Wrapper v4.6 (or newer) detected !
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати