GOD313
11.03.2009, 09:03
Если что извеняйте просто не знал где создать!!Решил тут!!
Есть програмаа Love Project 2,9 вроде версия!!!
Это демка есть ограничения по запуску 60шт как продлить запуск я разобрался с помощью TrashReg и google.ru а вот дальше ((( программа защшенна EXECryptor 2+ Пробовал изменить ресхак он пишет что файлы зашифрованны как мне подсказали потом с помощью программы надо EXECryptor_21017 расшифровать нет наверное правельней распоковать? изменить её с помошью OllyDbg.
Вопрос 1
у кого есть EXECryptor 2+ Faq и рабочая версия!!
есть файл такого вида из статьи ниже для чего он????
//////////////////////////////////////////////////////////////// // // EXECryptor 2.x IAT rebuilder by PE_Kill / REVENGE CREW v 1.8 // ------------------------------------------------------------- // Replace my values of iat_start and iat_end and run script! // //////////////////////////////////////////////////////////////// var _esp var iat_start var iat_end var iat_cur var addr var counter var flag var c_gpa var temp var gmh var ll //================================================ // Плучаем адреса АПИ, которые использует враппер //================================================ gpa "GetModuleHandleA","kernel32.dll" mov gmh,$RESULT gpa "LoadLibraryA","kernel32.dll" mov ll,$RESULT //================================================ // Инициализируем IAT //================================================ mov iat_start,007351B8 mov iat_end,00735A88 mov _esp,esp mov iat_cur,iat_start sub iat_cur,4 mov c_gpa,0 // Cryptor GetProcAddress неизвестна //================================================= // Цикл восстановления IAT //================================================= @imprec: add iat_cur,4 cmp iat_cur,iat_end // Конец? ja @end mov addr,[iat_cur] cmp addr,0 // Разделитель? je @imprec cmp addr,50000000 // Адрес реальной АПИ? ja @imprec mov esp,_esp // Восстанавливаем стек mov eip,addr // Встаем на враппер mov [esp],eip // Иногда криптор читает байт по адресу возврата mov counter,15 // Счетчик трассировки mov flag,0 // Ничего не найдено //================================================== // Ищем команды проверки внутренней IAT //================================================== @chk_run: dec counter cmp counter,0 // Если счетчик обнулился je @find_gpa // То идем на Cryptor gpa sti // Делаем шаг mov temp,[eip] // Читаем байты с eip cmp flag,0 // Если еще ничего не найдено ja @chk_jnz and temp,0000FFFF // Ищем OR EAX,EAX cmp temp,0000C009 jne @chk_run // Нет следующяя команда inc flag // Нашли, выставляем флаг jmp @chk_run // Идем на следующюю команду @chk_jnz: and temp,0000FFFF // Ищем JNZ xxxxxxxx cmp temp,0000850F jne @chk_run // Нет следующяя команда mov !ZF,1 // Да нашли, говорим криптору, что внутренняя IAT пуста @find_gpa: cmp c_gpa,0 // Нашли ли мы адрес Cryptor GetProcAddress? jne @trace // Если нашли то идем на получение адреса АПИ bphws gmh,"x" // Иначе ставим бряк на GetModuleHandleA bphws ll,"x" // и на LoadLibraryA ticnd "WORD [eip]==453Bh" // трассируем, пока не дойдем до сравнения хэшей bphwc ll // снимаем бряки с АПИ bphwc gmh cmp eip,gmh // Мы на GetModuleHandleA? jne @chk_ll // Нет следующяя проверка... bp [esp] // Иначе переходим на адрес возврата run bc eip jmp @find_gpa // снова идем на поиск Cryptor GetProcAddress @chk_ll: cmp eip,ll // Мы на GetModuleHandleA? jne @f_jnz // Нет следующяя проверка... bp [esp] // Иначе переходим на адрес возврата run bc eip jmp @find_gpa // снова идем на поиск Cryptor GetProcAddress //================================================= // Теперь ищем jnz xxxxxxxx //================================================= @f_jnz: sti mov temp,[eip] // 659F850F and temp,0000FFFF cmp temp,0000850F jne @f_jnz mov !ZF,1 // если нашли, то в Z ложим единичку, как будто хэши совпали //================================================== // Теперь ищем вторую по счету команду ADD EAX,DWORD PTR SS:[EBP-4] //================================================== mov counter,2 @f_add: sti mov temp,[eip] // 68FC4503 and temp,00FFFFFF cmp temp,00FC4503 jne @f_add sti dec counter cmp counter,0 jne @f_add mov c_gpa,eip // Текущий адрес и будет адресом Cryptor GetProcAddress sub iat_cur,4 // Возвращаем указатель на IAT в прежнее положение jmp @imprec // Возвращаемся в цикл восстановления ИАТ //================================================== // Получение адреса АПИ... //================================================== @trace: bphws c_gpa,"x" run bphwc c_gpa cmp eip,c_gpa jne @error mov [iat_cur],eax jmp @imprec @end: msg "OK!" pause ret @error: msg "error!!!" pause ret
Вопрос 2
И про OllyDbg тут видел статейку там вот было выделенно всё жултым т.е несколько проессо вот у меня так же не получилось как это сделать?
Использовал google.ru чегото дельного не нашёл может быть запросы были корявые или руки)))
Так же использовал статью
http://slil.ru/27040823
http://webfile.ru/3018075
и инструменты из статитью:
Отладчик: OllyDbg 1.10 вроде как то знаю!!
WinHex
eXeScope
В общем что посоветуете??
Сама программа не очень то и нужна но есть желание ОТКРЫТЬ её ради интереса не всё же время брутить почту пора двигатся дальше))))
Есть програмаа Love Project 2,9 вроде версия!!!
Это демка есть ограничения по запуску 60шт как продлить запуск я разобрался с помощью TrashReg и google.ru а вот дальше ((( программа защшенна EXECryptor 2+ Пробовал изменить ресхак он пишет что файлы зашифрованны как мне подсказали потом с помощью программы надо EXECryptor_21017 расшифровать нет наверное правельней распоковать? изменить её с помошью OllyDbg.
Вопрос 1
у кого есть EXECryptor 2+ Faq и рабочая версия!!
есть файл такого вида из статьи ниже для чего он????
//////////////////////////////////////////////////////////////// // // EXECryptor 2.x IAT rebuilder by PE_Kill / REVENGE CREW v 1.8 // ------------------------------------------------------------- // Replace my values of iat_start and iat_end and run script! // //////////////////////////////////////////////////////////////// var _esp var iat_start var iat_end var iat_cur var addr var counter var flag var c_gpa var temp var gmh var ll //================================================ // Плучаем адреса АПИ, которые использует враппер //================================================ gpa "GetModuleHandleA","kernel32.dll" mov gmh,$RESULT gpa "LoadLibraryA","kernel32.dll" mov ll,$RESULT //================================================ // Инициализируем IAT //================================================ mov iat_start,007351B8 mov iat_end,00735A88 mov _esp,esp mov iat_cur,iat_start sub iat_cur,4 mov c_gpa,0 // Cryptor GetProcAddress неизвестна //================================================= // Цикл восстановления IAT //================================================= @imprec: add iat_cur,4 cmp iat_cur,iat_end // Конец? ja @end mov addr,[iat_cur] cmp addr,0 // Разделитель? je @imprec cmp addr,50000000 // Адрес реальной АПИ? ja @imprec mov esp,_esp // Восстанавливаем стек mov eip,addr // Встаем на враппер mov [esp],eip // Иногда криптор читает байт по адресу возврата mov counter,15 // Счетчик трассировки mov flag,0 // Ничего не найдено //================================================== // Ищем команды проверки внутренней IAT //================================================== @chk_run: dec counter cmp counter,0 // Если счетчик обнулился je @find_gpa // То идем на Cryptor gpa sti // Делаем шаг mov temp,[eip] // Читаем байты с eip cmp flag,0 // Если еще ничего не найдено ja @chk_jnz and temp,0000FFFF // Ищем OR EAX,EAX cmp temp,0000C009 jne @chk_run // Нет следующяя команда inc flag // Нашли, выставляем флаг jmp @chk_run // Идем на следующюю команду @chk_jnz: and temp,0000FFFF // Ищем JNZ xxxxxxxx cmp temp,0000850F jne @chk_run // Нет следующяя команда mov !ZF,1 // Да нашли, говорим криптору, что внутренняя IAT пуста @find_gpa: cmp c_gpa,0 // Нашли ли мы адрес Cryptor GetProcAddress? jne @trace // Если нашли то идем на получение адреса АПИ bphws gmh,"x" // Иначе ставим бряк на GetModuleHandleA bphws ll,"x" // и на LoadLibraryA ticnd "WORD [eip]==453Bh" // трассируем, пока не дойдем до сравнения хэшей bphwc ll // снимаем бряки с АПИ bphwc gmh cmp eip,gmh // Мы на GetModuleHandleA? jne @chk_ll // Нет следующяя проверка... bp [esp] // Иначе переходим на адрес возврата run bc eip jmp @find_gpa // снова идем на поиск Cryptor GetProcAddress @chk_ll: cmp eip,ll // Мы на GetModuleHandleA? jne @f_jnz // Нет следующяя проверка... bp [esp] // Иначе переходим на адрес возврата run bc eip jmp @find_gpa // снова идем на поиск Cryptor GetProcAddress //================================================= // Теперь ищем jnz xxxxxxxx //================================================= @f_jnz: sti mov temp,[eip] // 659F850F and temp,0000FFFF cmp temp,0000850F jne @f_jnz mov !ZF,1 // если нашли, то в Z ложим единичку, как будто хэши совпали //================================================== // Теперь ищем вторую по счету команду ADD EAX,DWORD PTR SS:[EBP-4] //================================================== mov counter,2 @f_add: sti mov temp,[eip] // 68FC4503 and temp,00FFFFFF cmp temp,00FC4503 jne @f_add sti dec counter cmp counter,0 jne @f_add mov c_gpa,eip // Текущий адрес и будет адресом Cryptor GetProcAddress sub iat_cur,4 // Возвращаем указатель на IAT в прежнее положение jmp @imprec // Возвращаемся в цикл восстановления ИАТ //================================================== // Получение адреса АПИ... //================================================== @trace: bphws c_gpa,"x" run bphwc c_gpa cmp eip,c_gpa jne @error mov [iat_cur],eax jmp @imprec @end: msg "OK!" pause ret @error: msg "error!!!" pause ret
Вопрос 2
И про OllyDbg тут видел статейку там вот было выделенно всё жултым т.е несколько проессо вот у меня так же не получилось как это сделать?
Использовал google.ru чегото дельного не нашёл может быть запросы были корявые или руки)))
Так же использовал статью
http://slil.ru/27040823
http://webfile.ru/3018075
и инструменты из статитью:
Отладчик: OllyDbg 1.10 вроде как то знаю!!
WinHex
eXeScope
В общем что посоветуете??
Сама программа не очень то и нужна но есть желание ОТКРЫТЬ её ради интереса не всё же время брутить почту пора двигатся дальше))))