 |
eXeL@B —› Вопросы новичков —› Объясните как распаковать UnpackMe ExeCryptor 2.2.50 |
| Посл.ответ | Сообщение |
|
|
Создано: 12 ноября 2006 08:13 · Личное сообщение · #1 Всем привет... Скачал UnpackMe ExeCryptor 2.2.50 (ссылка ниже)... На основе туторов PE_Kill'а, GUAN DE DIO (перевод) и Nha Trang'а, попытался распаковать сам...обломался... Не один из туторов не помог, прога вылетает и все тут... Если можно, то по шагам объясните, как его распаковывать... Заранее респект... hxxp://slil.ru/23393687  |
|
|
Создано: 13 ноября 2006 00:07 · Личное сообщение · #2 NeoTall пишет: прога вылетает и все тут... Если можно, то по шагам объясните, как его распаковывать... В туторах наверняка написано, что отладчик надо правильно настроить. Без этого за экзекриптор лучше не браться. |
|
|
Создано: 14 ноября 2006 00:08 · Поправил: NeoTall · Личное сообщение · #3 tundra37 пишет: В туторах наверняка написано, что отладчик надо правильно настроить. Без этого за экзекриптор лучше не браться. Естесссна написано... Да я и не лазию в OLLY в открытую... Использовал Shadow и OLLY_ExeCryptor (из статьи про Rar Repair Tool), да и плагинов выше крыши... Делаю так: 1. В Olly Advanced устанавливаю Break on TLS Callback, гружу файл и останавливаюсь: 00526918 E8 EBFEFFFF CALL UnPackMe.00526808 << ЗДЕСЬ
2. Далее ALT+M и Set Break-on-Access на 00401000|0004A000|UnPackMe|00400000|.text|Imag|01001002|R|RWE. Поначалу там нули. Но постепенно память заполняется инфой...
3. Жму Shift+F9 и все...SEH too long...и вылет. Я так понимаю ExeCr создает потоки которые контролируют работу проги... Как это обойти... |
|
|
Создано: 14 ноября 2006 00:28 · Личное сообщение · #4 NeoTall пишет: 00526918 E8 EBFEFFFF CALL UnPackMe.00526808 << ЗДЕСЬ А после этого в статье разве не написано, что нужно убрать бряк с EP? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 14 ноября 2006 00:37 · Личное сообщение · #5 Написано-написано... Просто здесь забыл упомянуть... 1(а). ALT+B и удаляю бряк: 0052690C|UnPackMe|One-shot|CALL UnPackMe.00526808
|
|
|
Создано: 14 ноября 2006 05:52 · Личное сообщение · #6 NeoTall пишет: да и плагинов выше крыши... Мой небогатый опыт показывает, что лишние плагины вредны. Больше совсем не значит лучше. |
|
|
Создано: 14 ноября 2006 08:48 · Личное сообщение · #7 tundra37 пишет: Мой небогатый опыт показывает, что лишние плагины вредны. Больше совсем не значит лучше. Согласен... Тогда какой минимум плагинов необходим для снятия ExeCr?.. |
|
|
Создано: 15 ноября 2006 00:58 · Личное сообщение · #8 NeoTall пишет: Тогда какой минимум плагинов необходим для снятия ExeCr Глупый вопрос. Читаешь туторы, думаешь и выбрасываешь ненужные плагины(их можно всегда назад в каталог забросить). Ошибка связана с SEH - значит читаешь про SEH и опять выбрасываешь лишнее. Или ждешь, когда кто-то расскажет. Но опять же по моему опыту это все бесполезно, т.к. у профи все давно настроено и они не помнят точно, что может повлиять. Короче IMHO экзекриптор можно снимать инструментами, но нужно "руку набить" на более простых вещах. SEH во многих защитах используется - есть на чем тренироваться. |
|
|
Создано: 15 ноября 2006 03:01 · Поправил: DrFits · Личное сообщение · #9 NeoTall - немогу скачать кракми, у меня со слил скорость 0,3, наверное год качать буду, ты случаем не этот кракми распаковать пытаешься? http://dump.ru/files/8/802468237/ http://dump.ru/files/8/802468237/ - если этот, то там нечего распаковывать и никаких тредов отладки несоздается. З.Ы: PE_Kill - твой пофиксенный скрипт с этим импортом несправляется, зато старый и работает быстрее, и все делает отлично. Я новичек, так что сильно не пинать, я вообще несмыслю нивчем. ----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 15 ноября 2006 09:03 · Личное сообщение · #10 "2. Далее ALT+M и Set Break-on-Access на 00401000|0004A000|UnPackMe|00400000|.text|Imag|01001002|R|RWE. Поначалу там нули. Но постепенно память заполняется инфой... " Бряк ставится на вторую секцию, затем на первую, затем до RET, а далее по разному. Да в предпоследней версии прот устанавливал ещё и "железный бряк", при загрузке программы-проверь. |
|
|
Создано: 15 ноября 2006 20:45 · Личное сообщение · #11 В крипторе есть одна уязвимость которая позволяет спокойно разобраться с антиотладочными приёмами и соответственно определить место проверки контрольной суммы. Я назвал это место, по аналогии с арммой, "магическим сравнением". Выглядит оно всегда так: TEST AL,AL. Идея состоит в том, что криптор при вызове защищённой API проверяет её на наличие перехвата или брейкпоинтов. При замене на SUB AL,AL естественно мы избегаем этих проверок и можем спокойно ставить BP в тело API. Мало того эта секция криптора не проверяется на контрольную сумму, т.к. он делает в неё запись в процессе раскриптовки и соответственно мы можем смело ставить BP. Моло того при остановке на "магическом сравнении" в стеке вы увидите фенкцию, которая будет вызвана далее. Найти это место достаточно просто. После RET, как я писал выше, устанавливаем бряк на доступ к первой секции кернела, далее несколько циклов формирования "контрольной суммы API" и вы на месте. |
|
|
Создано: 18 ноября 2006 00:26 · Поправил: PE_Kill · Личное сообщение · #12 В более новых версиях криптора это "магическое сравнение" вызывается везде где придется. И на адрес возврата из враппера и на значения esp, ebp везде короче, чтобы запутать сильнее. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 18 ноября 2006 06:12 · Личное сообщение · #13 NeoTall Вот мне тоже понадобилось снять его и нашел тему, где все есть : http://www.exelab.ru/f/action=vthread&forum=1&topic=6273&p age=4#28 |
|
|
Создано: 18 ноября 2006 20:14 · Поправил: SergSh · Личное сообщение · #14 PE_Kill. Согласен. Имелось ввиду, что последующие вызовы проверки контрольной суммы производятся не из основного потока, а из отладочного, что затрудняет исследование. |
|
eXeL@B —› Вопросы новичков —› Объясните как распаковать UnpackMe ExeCryptor 2.2.50 |
Для печати