UPX-Analyser
0:39:39 Open file: 1.exe
0:39:39 UPX loader found (Modified)
0:39:39 Loader version: 0.89.6 - 3.x (Heuristic)
0:39:39 Image Base: 00400000
0:39:39 Size Of Image: 001D7000
0:39:39 Jmp to OEP: 005CCD9C
0:39:39 OEP: 004211C0
DIE
UPX(-)[modified]
Borland Delphi(-)[-]
Turbo Linker(2.25*,Delphi)[EXE32]
При распаковке RLdeUPX 1.x-3.x распаковывается, но все равно не разобрать в IDA, как будто еще чем то зашифровано!
Дампить мегадампером пробовал от него тоже защита походу стоит!
https://yadi.sk/d/FsRrsxayoSGoz

| Сообщение посчитали полезным:

файл точно выложен тот что нужно?
он вообще сишарповый, дедот и рефлектор помогут

Добавлено спустя 7 минут
между прочим, вирустотал обзывает его каким-то MSILPerseus

| Сообщение посчитали полезным:

rastaman29
Читы не рассматривают тут
Тему можно думаю закрыть
Там простой реактор

| Сообщение посчитали полезным:

-=AkaBOSS=-
Файл выложен не тот простите. Ссылку поправил. Копаю уже неделю. Дедот не берет пишет файл не PE!
Mishar_Hacker
Реактор не видит все ресурсы!

Добавлено спустя 15 минут
Вы направьте в какую сторону копать. Я думаю разберусь. А то я в тупик зашел!

| Сообщение посчитали полезным:

rastaman29 пишет:
Вы направьте в какую сторону копать.
Распаковывать UPX вручную, с восстановлением изначальной структуры PE.



| Сообщение посчитали полезным:

достаточно восстановить имена секций и вернуть сигнатуру UPX перед служебной инфой, и файл распаковывается самим же UPXом

--> Link <--

точка входа вроде дельфовая, чистая, а дальше с 420C14 начинается какая-то дичь...
на вмпрот похоже, только такой мне еще не встречался
сама прога походу под дотнет

| Сообщение посчитали полезным:

-=AkaBOSS=-
Вон оно чё, Михалыч , upx -d рулит однакож.

rastaman29
Ломаную прогу отломать хочешь?

| Сообщение посчитали полезным:

__X3__
Вручную пробовал по солюшенам. Не получается, потом не запускается прога!
Через Оlly и impREC.
UPX -d не рулит ошибку пишет!

| Сообщение посчитали полезным:

rastaman29 пишет:
Вы направьте в какую сторону копать. Я думаю разберусь. А то я в тупик зашел!

Отправляю...

Открой свой файл в Resource Tuner и сохрани.

| Сообщение посчитали полезным:

uncleua
Получается то же самое что и через RLdeUPX 1.x-3.x

| Сообщение посчитали полезным:

rastaman29 пишет:
UPX -d не рулит ошибку пишет!
Потому что надо было секциям вернуть прежние имена и хидер пакера восстановить, а потом команду на распаковку давать.

Для дальнейшей ковырки.
https://www.sendspace.com/file/u3msk6

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

-=AkaBOSS=-
До такого состояния я и делал вот этим RLdeUPX 1.x-3.x
Притом, что после такой дешифровки программа RDG_Packer_Detector_v0.7.5.2015 пишет, что зашифрован VMProtect v3.x!

Добавлено спустя 4 минуты
unknownproject
Тоже самое, что и с другими распаковщиками! RDG_Packer_Detector пишет, что зашифрован VMProtect v3.x!

| Сообщение посчитали полезным:

Какими другими распаковщиками ? Он штатным upx распакован, а то, что там виртуальная машина протектора для защиты процедур - это другое дело.Сам файл распакован.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
Вот это другое дело мне и надо! Я распаковывал RLdeUPX 1.x-3.x! А как справится с этой виртуальной машиной!
В IDA все вот в этих
[0000001F BYTES: COLLAPSED FUNCTION Sysutils::AddTerminateProc(bool (*)(void)). PRESS KEYPAD CTRL-"+" TO EXPAND]
и
dd 0C0BF0FC5h, 9CC80F66h, 25448Fh, 0C80FCCD2h, 68BC83Bh
seg000:0042D688 dd 81D685F5h, 4C6h, 0C2F76600h, 0C3331F02h, 0F9D0F7F9h
seg000:0042D688 dd 0C65F808Dh, 0FF5BC0Eh, 0C4F766C8h, 3BF559B9h, 7DF62DC1h
seg000:0042D688 dd 0D1F54E00h, 0F5D833C0h, 0F1C7F766h, 0E9F80315h, 6C222h
штуках!

| Сообщение посчитали полезным:

unknownproject
что я и писал выше, но никто не заметил)

rastaman29
и про вмпрот я тоже писал уже, но за просто так его сковыривать навряд ли кто станет.. Странный он чёто, не видал я такого еще.

Если интересен механизм работы хаков - лови ReadProcessMemory | WriteProcessMemory, не ошибёшься

Добавлено спустя 2 минуты
rastaman29 пишет:
В IDA все вот в этих
фейспальм
это стандартные функции, свёрнуты для компактности отображения

через идр посмотри, мож еще увидишь чего умного

| Сообщение посчитали полезным: rastaman29

-=AkaBOSS=-
Заметил я тебя)
Да я вот за любое направление! Спасибо.

Добавлено спустя 31 минуту
Нет не нашел ничего! Должна быть ссылка на сайт где он опрашивает ключи. Раньше проблем не было. А тут вот не догоняю! Ну да ладно черт с ним! Буду ковырять!

Добавлено спустя 36 минут
Кто в ученики меня возьмет) Буду стараться!

| Сообщение посчитали полезным:

rastaman29 пишет:
Должна быть ссылка на сайт где он опрашивает ключи
http://tigr-xack.ru/tebe.txt

| Сообщение посчитали полезным:

-=AkaBOSS=-
какая ссылка я знаю, мне самому надо ее найти

Добавлено спустя 1 минуту
-=AkaBOSS=-
Ты ее как через снифер нашел? Или в коде?

Добавлено спустя 4 минуты
Если в коде то тыкни меня туда!

| Сообщение посчитали полезным:

rastaman29
как я уже писал - сама прога под дотнет, а вся та хрень под вмпротом - чисто для понта.
модуль лежит в ресурсах RC_DATA ("D")

4203E9 - тут цикл который его расшифровывает

в результате получается ФАЙЛ
декомпили правда не берут его...
попробуй свежим дедотом обработать, мож заработает

| Сообщение посчитали полезным:

-=AkaBOSS=-
Деодот распаковал, прога после него не запускается. Но проверяльщики все равно говорят, что запакован несколькими протекторами!
Однако симпли асемблер после деодота внутрянку видит!
А как ты его до такого состояния сделал? Попробовал дотнет дампером, после него дамп не открывается!
4203E9 - тут цикл который его расшифровывает, так я еще не умею!

Добавлено спустя 11 минут
Мой пишет везде в декомпилях is not a .NET module.

Добавлено спустя 13 минут
Reflector его тоже не принимает!

| Сообщение посчитали полезным:

Держи, частично снял.

Ссылка находится в Привязка>ISymbolMethod.set_TimeSeparator>.ctor
Редактировать dnEditorом с KeepOldMaxStack

| Сообщение посчитали полезным: rastaman29

sube
Как вы его сделали что бы он виделся ассемблерами он же был под делфи?

| Сообщение посчитали полезным:

rastaman29 пишет:
Как вы его сделали что бы он виделся ассемблерами он же был под делфи?

Ну если подробно, то:
Запустил файл, поставил бряк на virtualalloc
Поставил бряк на запись. Пару раз F9 и я на процедуре расшифровки
Сдампил файл после расшифровки.
Расшифровал 2 секцию в exe и убрал вызов декриптора

По сути это все. Дальше разбираться не хотел.

| Сообщение посчитали полезным:

sube
-=AkaBOSS=-
Ну я думаю просить по подробней объяснить не получиться???
Я просто этим занимаюсь всего вторую неделю) и не у кого поучиться!

| Сообщение посчитали полезным:

rastaman29
Протектор называется netguard
Там фейк имена что бы дедот не смог расшифровать

| Сообщение посчитали полезным:

Mishar_Hacker
Нашел единственный солюшен по распаковки через сайт netguard.io, а он почему то у меня не открывается. Пишет Website is offline.

Добавлено спустя 1 минуту
sube
Как найти virtualalloc? Бряк на запись?

Добавлено спустя 2 часа 49 минут
sube
VirtualAlloc нашел!

Добавлено спустя 3 часа 1 минуту
Бряк на запись это брекпоин - memory, on write? Потихому разбираю!

Добавлено спустя 3 часа 3 минуты
sube
Расшифровка какими манипуляциями производится?

Добавлено спустя 9 часов 24 минуты
Хорошо, можно тогда попросить сделать то же, что и с первым файлом вот с этим файлом! А то я без помощи вообще не догоняю...
https://yadi.sk/d/V1vp0R4RoXA3c

| Сообщение посчитали полезным: