Universal Decrypter

[EBFE]

Kurze Anmerkung: das Programm hat einen recht spezifischen Anwendungszweck . Muss also nicht jeder verstehen oder sinnvoll finden.
In erster Linie wurde es für "Learning by doing" geschrieben (bisschen PE Format wiederholen). Weiterhin ein schöner "PoC", dass sehr viele "Crypter" nicht nur komplett auf RunPe-Prinzip basieren, sondern auch nichtmal irgenwelche Änderungen beinhalten.

Ebfe's universal decrypter
Sprache: MASM32

Anwendungszweck: Entpacken von Anwendungen,
die mit RunPE/CreateProcessEx/LoadExe&CO basierenden Cryptern gepackt wurden.

getestet: Trojka 2/3, SC Crypter v1
OSgetestet: Vista SP1, XP SP2/3

Anleitung:
Wenn der Dump erfolgreich war, kommt eine Erfolgsmeldung *g*

Zu beachten:

a) Es existiert keine Prüfung, ob die Zielanwendung nun wirklich gecryptet ist.
Es wird einfach drauf los versucht sie zu entpacken. Dafür gibt es zwei Gründe:
1) der Unpacker ist generisch
2) Zuverlässige signaturbasierende Cryptererkennung schaffen noch nichtmals AVs *g*

b) Es sind auf jeden Fall Debugrechte nötig - also als Administrator oder
entsprechender User starten!

c)Es kann sein, dass die Stub mehrere Kindprozesse startet (wofür auch immer),
es werden alle gedumpt und gefixt. Es bleibt dem Anwender überlassen, den "richtigen"
Dump auszuwählen. Hint: Icon und Dateigröße sollten in 90% aller Fälle eindeutig sein.

d)Timeout ist relativ hoch gesetzt - sollte etwas schiefgehen, kann es bis zu 20Sek
dauern, bis eine Meldung kommt.

Inhalt:
\readme.txt
\undecrypt.exe
\source\dialog.inc
\source\makeit.bat
\source\undecrypt.asm

Zweck: 90% aller "Sczenecrypter" entpacken *g*
Zu beachten: wer das selbst assemblieren möchte, sollte in der makeit.bat den Pfad anpassen.

MD5:
release.zip: 0e122aedb8b23fecaf2008424734fd2d
http://files.mail.ru/S46EN9