|
Распаковка EXECryptor 2.3.9
Если что извеняйте просто не знал где создать!!Решил тут!!
Есть програмаа Love Project 2,9 вроде версия!!! Это демка есть ограничения по запуску 60шт как продлить запуск я разобрался с помощью TrashReg и google.ru а вот дальше ((( программа защшенна EXECryptor 2+ Пробовал изменить ресхак он пишет что файлы зашифрованны как мне подсказали потом с помощью программы надо EXECryptor_21017 расшифровать нет наверное правельней распоковать? изменить её с помошью OllyDbg. Вопрос 1 у кого есть EXECryptor 2+ Faq и рабочая версия!! есть файл такого вида из статьи ниже для чего он???? Код:
//////////////////////////////////////////////////////////////// // // EXECryptor 2.x IAT rebuilder by PE_Kill / REVENGE CREW v 1.8 // ------------------------------------------------------------- // Replace my values of iat_start and iat_end and run script! // //////////////////////////////////////////////////////////////// var _esp var iat_start var iat_end var iat_cur var addr var counter var flag var c_gpa var temp var gmh var ll //================================================ // Плучаем адреса АПИ, которые использует враппер //================================================ gpa "GetModuleHandleA","kernel32.dll" mov gmh,$RESULT gpa "LoadLibraryA","kernel32.dll" mov ll,$RESULT //================================================ // Инициализируем IAT //================================================ mov iat_start,007351B8 mov iat_end,00735A88 mov _esp,esp mov iat_cur,iat_start sub iat_cur,4 mov c_gpa,0 // Cryptor GetProcAddress неизвестна //================================================= // Цикл восстановления IAT //================================================= @imprec: add iat_cur,4 cmp iat_cur,iat_end // Конец? ja @end mov addr,[iat_cur] cmp addr,0 // Разделитель? je @imprec cmp addr,50000000 // Адрес реальной АПИ? ja @imprec mov esp,_esp // Восстанавливаем стек mov eip,addr // Встаем на враппер mov [esp],eip // Иногда криптор читает байт по адресу возврата mov counter,15 // Счетчик трассировки mov flag,0 // Ничего не найдено //================================================== // Ищем команды проверки внутренней IAT //================================================== @chk_run: dec counter cmp counter,0 // Если счетчик обнулился je @find_gpa // То идем на Cryptor gpa sti // Делаем шаг mov temp,[eip] // Читаем байты с eip cmp flag,0 // Если еще ничего не найдено ja @chk_jnz and temp,0000FFFF // Ищем OR EAX,EAX cmp temp,0000C009 jne @chk_run // Нет следующяя команда inc flag // Нашли, выставляем флаг jmp @chk_run // Идем на следующюю команду @chk_jnz: and temp,0000FFFF // Ищем JNZ xxxxxxxx cmp temp,0000850F jne @chk_run // Нет следующяя команда mov !ZF,1 // Да нашли, говорим криптору, что внутренняя IAT пуста @find_gpa: cmp c_gpa,0 // Нашли ли мы адрес Cryptor GetProcAddress? jne @trace // Если нашли то идем на получение адреса АПИ bphws gmh,"x" // Иначе ставим бряк на GetModuleHandleA bphws ll,"x" // и на LoadLibraryA ticnd "WORD [eip]==453Bh" // трассируем, пока не дойдем до сравнения хэшей bphwc ll // снимаем бряки с АПИ bphwc gmh cmp eip,gmh // Мы на GetModuleHandleA? jne @chk_ll // Нет следующяя проверка... bp [esp] // Иначе переходим на адрес возврата run bc eip jmp @find_gpa // снова идем на поиск Cryptor GetProcAddress @chk_ll: cmp eip,ll // Мы на GetModuleHandleA? jne @f_jnz // Нет следующяя проверка... bp [esp] // Иначе переходим на адрес возврата run bc eip jmp @find_gpa // снова идем на поиск Cryptor GetProcAddress //================================================= // Теперь ищем jnz xxxxxxxx //================================================= @f_jnz: sti mov temp,[eip] // 659F850F and temp,0000FFFF cmp temp,0000850F jne @f_jnz mov !ZF,1 // если нашли, то в Z ложим единичку, как будто хэши совпали //================================================== // Теперь ищем вторую по счету команду ADD EAX,DWORD PTR SS:[EBP-4] //================================================== mov counter,2 @f_add: sti mov temp,[eip] // 68FC4503 and temp,00FFFFFF cmp temp,00FC4503 jne @f_add sti dec counter cmp counter,0 jne @f_add mov c_gpa,eip // Текущий адрес и будет адресом Cryptor GetProcAddress sub iat_cur,4 // Возвращаем указатель на IAT в прежнее положение jmp @imprec // Возвращаемся в цикл восстановления ИАТ //================================================== // Получение адреса АПИ... //================================================== @trace: bphws c_gpa,"x" run bphwc c_gpa cmp eip,c_gpa jne @error mov [iat_cur],eax jmp @imprec @end: msg "OK!" pause ret @error: msg "error!!!" pause retИ про OllyDbg тут видел статейку там вот было выделенно всё жултым т.е несколько проессо вот у меня так же не получилось как это сделать? Использовал google.ru чегото дельного не нашёл может быть запросы были корявые или руки))) Так же использовал статью http://slil.ru/27040823 http://webfile.ru/3018075 и инструменты из статитью: Отладчик: OllyDbg 1.10 вроде как то знаю!! WinHex eXeScope В общем что посоветуете?? Сама программа не очень то и нужна но есть желание ОТКРЫТЬ её ради интереса не всё же время брутить почту пора двигатся дальше)))) |
попробуй unpacker execryptor от RSI (cracklab.ru)
|
Эту тему в "Реверсинг"!
на wasm.ru очень много уроков по OllyDbg. А на cracklab.ru статья есть как распаковывать, но я не уверен точно что с помошью OllyDbg.... |
тему в реверсинг. ТС - тебе сюда: http://cracklab.ru/f/index.php?action=vthread&forum=1&topic=10070
|
Был на крак лабе но всёравно чегото я не доганяю вроде всё делаю как там написано а она как была демо таки есть(((
|
Одной лишь распаковки может оказаться недостаточно, т.к. функции проверки серийного номера могут быть помещены в виртуальную машину execryptor'а. Лучше надо искать, например строки о том что программа демо и т.д.
|
Держи небольшую подборку статей по экзекриптору
http://www.datafilehost.com/download-98c6c609.html |
| Время: 13:47 |