ZitatAlles anzeigen
Ebfe's universal decrypter
Sprache: MASM32
Anwendungszweck: das "Decrypten" von Anwendungen,
die mit RunPE&Co basierenden Cryptern gepackt wurden.
Entfernt also den Crypter.
getestet: Trojka 2/3, SC Crypter 1.0, Schwarze Sonne Crypter 0.3
OS getestet: Vista SP1, XP SP2/3
Anleitung:
Wenn der Dump erfolgreich war, kommt eine Erfolgsmeldung
Zu beachten:
a) Es existiert keine Prüfung, ob die Zielanwendung nun wirklich gecryptet ist.
Es wird einfach drauf los versucht sie zu entpacken. Dafür gibt es zwei Gründe:
1) der Unpacker ist generisch
2) Zuverlässige signaturbasierende Cryptererkennung schaffen noch nichtmals AVs
b) Es sind auf jeden Fall Debugrechte nötig - also als Administrator oder
entsprechender User starten!
c)Es kann sein, dass die Stub mehrere Kindprozesse startet (wofür auch immer),
es werden alle gedumpt und gefixt. Es bleibt dem Anwender überlassen, den "richtigen"
Dump auszuwählen. Hint: Icon und Dateigrö�e sollten in 90% aller Fälle eindeutig sein
Um es mal kurz zu fassen:
- entpackt "crypted" Exen, sofern die Crypter auf RunPE basieren (oder RunPE Portierungen - aber kein .NET).
- nicht DAU sicher
- braucht Adminrechte
- entpackt zur Laufzeit - d.h die Zielanwendung wird ausgefürt (verdächtige Dateien also auf VM entpacken).
Interessant wären natürlich weitere Tests (Crypter).
passwort:
[hide]
ist keins gesetzt
[/hide]