История такая. Взял прожку из запросов на взлом "Advanced Diary", Peid показал, что ExeCryptor 2.2.4. Нашел статейку "Unpacking ExeCryptor" автор Haggar и начал распаковку. Все не по статье (до OEP даже не дотянул), подумал может в прожке опций защиты криптора побольше включено. Взял блокнот упаковал со всеми опциями криптором 2.2.6 DEMO, посмотрел начало прожки, радует глаз и все вроде по статье.
Значит тут какая-то другая версия криптора. Как бы определить? Может у кого есть более точные сигны для Peid или какой совет, буду рад любой помощи. Или может у кого есть криптор версии 2.3.х, упакуйте что нибудь.

| Сообщение посчитали полезным:

блин, трафика нет, а то скачал бы, посмотрел.
а ты уверен,что там ExeCryptor вообще? может по проге скрамблером прошлись.
Peid'у не всегда можно на слово верить))

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Executioner

Уверен на 99%.

Вот начало:

00DC5969 E8 EBFEFFFF CALL 00DC5859 ; Advanced.00DC5859
00DC596E 05 BC2A0000 ADD EAX, 2ABC
00DC5973 FFE0 JMP NEAR EAX
00DC5975 E8 04000000 CALL 00DC597E ; Advanced.00DC597E
00DC597A FFFF ??? ; Unknown command
00DC597C FFFF ??? ; Unknown command
00DC597E 5E POP ESI
00DC597F C3 RETN
00DC5980 0000 ADD BYTE PTR [EAX], AL
00DC5982 0000 ADD BYTE PTR [EAX], AL
00DC5984 0000 ADD BYTE PTR [EAX], AL
00DC5986 0000 ADD BYTE PTR [EAX], AL
00DC5988 0000 ADD BYTE PTR [EAX], AL
00DC598A 0000 ADD BYTE PTR [EAX], AL
00DC598C 0000 ADD BYTE PTR [EAX], AL
00DC598E 0000 ADD BYTE PTR [EAX], AL
00DC5990 0000 ADD BYTE PTR [EAX], AL
00DC5992 0000 ADD BYTE PTR [EAX], AL

Специфические названия секций (хотя подделать можно все), да и по коду и по повадкам очень похоже, проверил findOep от Decoro (он не отказался и выдал инфу). Сейчас я больше склоняюсь, что это 2.3.х. Посмотреть хоть как это чудо выглядит.

| Сообщение посчитали полезным:

Вот если б была версия 2.2.4 или 2.2.6, то после нажатию шифт+ф9, поставив предварительно на секцию бряк, я должен попасть на такой код:

STOS BYTE PTR ES: [EDI]
JMP XXXX
CALL XXXX
JB XXXX

здесь я попадаю на

REP MOVS BYTE PTR ES:[EDI], BYTE PTR DS:
XOR EBX,EBX
POP ESI
JMP XXXXXXX

| Сообщение посчитали полезным:

cadet если получиться отличать версии расскажи как, сам давно бьюсь...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1) *
У меня оставляет за собой trash ключ.
Кстати, как научиться правильно распаковывать EXECryptor? Хочу научиться ;)

77ef_09.01.2007_CRACKLAB.rU.tgz - e.PNG

| Сообщение посчитали полезным:

cadet пишет:
упаковал со всеми опциями криптором 2.2.6 DEMO
демка практически не использует антиотладку.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill

Это я уже понял. Скорее всего, каким способом секция заполняется кодом, это зависит не от версии криптора, а от определенной включенной опции защиты. Сейчас оля заглючила (от издевательств), никак проверить не могу.

| Сообщение посчитали полезным:

old_camp пишет:
Кстати, как научиться правильно распаковывать EXECryptor? Хочу научиться ;)
http://exelab.ru/rar/
tuts4you.com
Чти!!!

| Сообщение посчитали полезным:

Вот и научился
Отличное чтиво!
Все инструменты в наличии, что-то взял с диска, что-то скачал.
Есть проблема, которая обсуждается в основной ветке форума: как бы корректно спрятать олечку от EXE Cryptor`a? После "кое-как пропатчивания", оля дебаговна как-то не так работает мне показалось.

| Сообщение посчитали полезным:

old_camp пишет:
оля дебаговна как-то не так работает мне показалось.
Медленнее она начинает работать В основном с бряками на область памяти и еще какой-то был тормоз - уже забыл.

| Сообщение посчитали полезным:

tundra37 пишет:
уже забыл
RDTSC ;)

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
RDTSC ;)
Про этот я и не знал. Там было что-то с обновлением окна. Какой-то параметр надо было в конфиге поменять.

| Сообщение посчитали полезным: