Всем доброе утро!
Вот такой крекми "d2k2_crkme02"
Пройдя через "PEiD" он показал не ассемблер или другой язык а "yoda's cryptor 1.2"
И это значит что мой крекми упакован. Его надо распаковать. На сайте я наткнулся на интересный ресурс на котором обнаружил что есть 2 вида распаковки, 1-Автоматический 2-Ручной.
Так как я первые дни в этом всём деле, и очень даже заинтересован я всё же не обрёл навыков для ручной распаковки, я выбрал автоматическую.
Ресурс, без лишних слов предоставил мне программу "QuickUnpack". Я сломя голову понёсся в .exe увидем там кучу батончиков я решил найти FAQ. На форуме нашёл тему где у паренька была проблемма но он там уже весь процесс сделал только не дождался результата.
Это было лирическое отступление,
Вобщем к теме:

Те кто это читают безусловно знакомы с интерфейсом и с батонами.
Я загружаю файл .exe далее в меню Настройки
Есть edit где можно что то выбрать. Так как по умолчанию выделена была 2-яя строка я выбрал её

А вот собственно сабж:

Что нажать дальше? Если жму Full unpack то ловлю какие то ошибки типо:

"Fatal ERROR"

"can not open service" и так далее... В чём дело?

Большое спасибо за внимание!

| Сообщение посчитали полезным:

Во-первых, неплохо линк дать на файл, эти крякмисы не все помнят на память. Но если на асме OEP скорее всего 1000.

Порядок нажатия клавиш:
1. открыть файл
2. > рядом с OEP для автоматического его определения (автоматических файндеров несколько, выбирать любой), либо вбить его руками (что более предпочтительно, ибо автоматические косячить могут)
3. восстановление импорта smart или smart+tracer предпочтительнее
4. остальные галки по вкусу
5. full unpack

Если ошибки с сервисом, основных варианта 3:
1. ос х64
2. запущен не из-под админа
3. какой-то внутренний косяк

| Сообщение посчитали полезным:

Archer подскажите у меня Windows 7 x64 и прога вызывает ошибку сервиса, есть ли какой то аналог, где все в одном

| Сообщение посчитали полезным:

Самый бородатый способ - докачиваем PeTools и ImportRec. Archer таки прав - OEP вверху самом(00401000)

ставим туда Hadware Breakpoint, затем PETools - дамп, правим точку входа, ImportRec - вытаскиваем импорт и фиксим дамп.
У меня чуть больше минуты ушло

daab_01.09.2013_EXELAB.rU.tgz - Dumped_ .exe

| Сообщение посчитали полезным:

ELF_7719116
отлично

запишите за еще одну минуту видео и вопросов у юных умов будет на порядок меньше !

| Сообщение посчитали полезным: sivorog

для йода криптора на тутсях, на форуме в исходниках вроде был статический анпаккер.

| Сообщение посчитали полезным:

sendersu пишет:
запишите за еще одну минуту видео
"Мы работаем над этим!"

| Сообщение посчитали полезным:

Большое спасибо!) Как бы понятно что объяснили но видео записать было бы просто шикарно так как программа по сути своей не имеет вобщем то аналогов, а в ручную это просто блеск. Хотелось бы увидеть как это всё делается, к себе на сайтик закинуть, что бы не потерять)

Вобщем надеюсь на видео!))

| Сообщение посчитали полезным:

ELF_7719116
А я делал так: останавливался на оеп, затем в QU Attach to Process и Unpack. Обычно работает, иногда виснет на импортах. Даже адрес оеп подхватывается (видимо из контекста)

А что делать если OEP = EP, где-то можно указать на каком по счету бряке дампить или еще как-то?

| Сообщение посчитали полезным:

vden пишет:
А что делать если OEP = EP, где-то можно указать на каком по счету бряке дампить или еще как-то?
Кажется нужно поставить галочку под полем OEP (force)

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: vden

ОЕП при аттаче подхватывается из контекста основного потока.

Из описания force-галки рядом с ОЕП в ридми
Галка Use force unpacking. Когда программа запускается, ожидается срабатывание бряка на OEP. Но может быть так, что адрес OEP исполняется несколько раз, а лишь затем уже происходит нужное нам выполнение. С использованием ForceMode данная проблема решается путём запуска программы, подсчёта числа исполнений кода на OEP и последующего бряка на последнем исполнении.

| Сообщение посчитали полезным: vden