home *** CD-ROM | disk | FTP | other *** search
/ Cracking 2 / Cracking II..iso / Tools / ProcDump 1.6.2 / UNPACK.TXT < prev    next >
Encoding:
Text File  |  2000-01-17  |  11.0 KB  |  170 lines
  1. Unpacking method exhaustiv list
  2. ───────────────────────────────
  3.  
  4. Analyzis work made by G-RoM.
  5. Some test were done by Beta Team of course ;).
  6.  
  7. Default Options (check dox). Options informations below are for ur personnal
  8. knowledge, Normally ProcDump32 choose the right configuration for packers it
  9. knows. *Unknown* mode use the actual ProcDump options informations : You may
  10. need to adapt them.
  11.  
  12. ┌──────────────┬────────────┬───────────────────────┬────────────────────────┐
  13. │Name          │   Method   │ Options               │ Section To remove after│
  14. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  15. │ASPACK< 1.08  │ASPACK <1.08│ Create new import.    │ Last one.              │
  16. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  17. │ASPACK  1.08  │ASPACK 1.08 │ Create new import.    │ Last one.              │
  18. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  19. │ASPACK  1.08.2│ASPACK1.08.2│ Create new import.    │ Last one.              │
  20. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  21. │ASPACK  1.08.3│ASPACK1.08.3│ Create new import.    │ Last one.              │
  22. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  23. │ASPACK  1.08.4│ASPACK1.08.4│ Create new import.    │ Last one.              │
  24. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  25. │ASPACK  2000  │ ASPACK2000 │ Create new import.    │ Last one.              │
  26. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  27. │BJFNT 1.x     │ *unknown*  │ Create new import.    │ Last one.              │
  28. │              │            │ Do not recompute obj. │                        │
  29. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  30. │CodeSafe 3.x  │CodeSafe 3.x│ Default               │                        │
  31. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  32. │ENC 0.1       │  Standard  │ Do not recompute obj. │                        │
  33. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  34. │HASIUK used   │   HASIUK   │ Default               │ None                   │
  35. │by Activision │  /NeoLite  │                       │                        │
  36. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  37. │IntelliSecure │  Monitor!  │ none                  │ None                   │
  38. │      R2      │ See Below  │                       │                        │
  39. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  40. │LOUIS Cryptor │  Standard  │ Default               │ Last section           │
  41. │              │            │ Do not recompute obj. │                        │
  42. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  43. │Manolo        │   Manolo   │ Rebuild Import Table  │ .manolo section        │
  44. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  45. │NeoLite 1.xx  │   HASIUK   │ Default               │ None                   │
  46. │              │  /NeoLite  │ Rebuild Header        │                        │
  47. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  48. │Neolite 2.xx  │  NeoLite2  │ Rebuild Header        │                        │
  49. │              │            │ Create New Import     │                        │
  50. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  51. │PCShrink<0.4  │  PCShrink  │ Create New Import     │ last one               │
  52. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  53. │PCGuard 2.10  │PCGuard 2.10│ Rebuild Import Table  │                        │
  54. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  55. │PE Compact    │ PE Compact │ Rebuild Import Table  │                        │
  56. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  57. │PECRYPT32     │    none    │                       │ Depend on version      │
  58. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  59. │PE-Diminisher │  Standard  │                       │                        │
  60. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  61. │PELOAD        │  Standard  │ Do not recompute obj. │ .peload section        │
  62. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  63. │PELOCK        │    none    │                       │ last one               │
  64. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  65. │PEPACK        │   PEPack   │ Rebuild Import Table  │ PEPACK!! section       │
  66. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  67. │PE-PROT 0.9   │ *unknown*  │ Rebuild Import Table  │ PEPROT section         │
  68. │              │ under W9X  │ Trace API             │                        │
  69. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  70. │PESHiELD <0.2 │  PESHiELD  │ Do not recompute obj. │ ANAKIN98 section       │
  71. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  72. │Petite 1.x    │ Petite 1.x │ Create new import     │ .petite section        │
  73. │              │            │ U will need to fix    │                        │
  74. │              │            │ reloc pointer too.    │                        │
  75. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  76. │Petite 2.0    │ Petite 2.0 │ Create new import     │ .petite section        │
  77. │              │            │ U will need to fix    │                        │
  78. │              │            │ reloc pointer too.    │                        │
  79. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  80. │Petite 2.1    │ Petite 2.1 │ Create new import     │ .petite section        │
  81. │              │   plugin   │                       │                        │
  82. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  83. │Securom r1&r2 │  Standard  │ Original CD required. │ .cms*                  │
  84. │              │            │ Do not recompute obj. │                        │
  85. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  86. │Securom > r2  │  Securom   │ Original CD required. │ .cms*                  │
  87. │              │  Plugin    │ Do not recompute obj. │                        │
  88. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  89. │Sentinel shell│  Sentinel  │ Dongle REQUIRED.      │                        │
  90. │              │            │ Create new import     │                        │
  91. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  92. │Shrinker 3.2  │ Shrinker32 │ Ignore Faults         │ .load object at least  │
  93. │              │            │ Rebuild Import Table  │                        │
  94. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  95. │Shrinker 3.3  │Shrinker 3.x│ Do not recompute obj. │ None                   │
  96. │         3.4  │            │ Rebuild Import Table  │                        │
  97. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  98. │Soft Sentry   │ SoftSentry │ Default               │ Delete all object from │
  99. │              │            │                       │ 20/20tm. Then u will   │
  100. │              │            │                       │ have to fixup relocs & │
  101. │              │            │                       │ resources pointers.    │
  102. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  103. │STNPE 1.xx    │  Standard  │ Do not recompute obj. │                        │
  104. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  105. │TimeLock 3.x  │    Vbox    │ Create new import     │ WeiJunLi section       │
  106. │              │ std/Dialog │ Ignore Faults         │                        │
  107. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  108. │UPX 0.xx      │    UPX     │ Create new import.    │                        │
  109. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  110. │VBox <4.2     │  Vbox Std  │ Create new import     │ WeiJunLi section       │
  111. │              │            │ Ignore Faults         │                        │
  112. │              │            │ Do not recompute obj. │                        │
  113. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  114. │VBox with TRY │    Vbox    │ Create new import     │ WeiJunLi section       │
  115. │    dialog    │   Dialog   │ Ignore Faults         │                        │
  116. │     <4.2     │            │ Do not recompute obj. │                        │
  117. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  118. │VBox 4.20     │  VBoX 4.2  │ Create new import     │ WeiJunLi section       │
  119. │              │   Plugin   │                       │                        │
  120. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  121. │VGCRYPT 0.xx  │ *Unknown*  │ Ignore Faults         │ .vgc if present        │
  122. ├──────────────┼────────────┼───────────────────────┼────────────────────────┤
  123. │WWPack32 1.xx │  WWPACK32  │ Default               │ .WWP32 section         │
  124. └──────────────┴────────────┴───────────────────────┴────────────────────────┘
  125.  
  126. For Intellisecure R2:
  127.  
  128.  This  layer  is the  most   stupid I ever saw. Anyway, To remove it,  Run ur
  129.  "protected" app, hit Launch, then switch to ProcDump, Refresh  process List,
  130.  Select the file u launched & KILL IT (yes !). Then u will notice in the list
  131.  a file called ISR2RT.exe which is your unprotected APP. Simply  rename  this
  132.  file & remove the Hidden Attributes....  ALL IS DONE.
  133.  
  134.  
  135. FOR VBOX :
  136.  
  137.  Validate the TRY button, THEN validate OK in ProcDump32 so that Application
  138.  is unwrapped totally ;).
  139.  
  140. NOTA: The "Do not recompute obj" is not necessary : u can leave this option
  141.       checked, it only impact on produced PE size. Indeed, cryptors leaves
  142.       object size untouched.
  143.  
  144.   For  unknown packer,  try  to use  the  Standard  Unpacker prior to try the
  145. *unknown*  one, the  method  to return  to  original  code  is  used  by many
  146. cryptors / packers. If  it fails, or <sigh!>  Hang up,  then  use the unknown
  147. unpacker AND please note the  value displayed if it was successfully unpacked
  148. This  address is  where the  return to original code is done. If you subtract
  149. from this address the IMAGEBASE, and the OBJECT LOADER RVA, u will know where
  150. to set the BPX. If u don't understand what I say Study PE Format ;).
  151.  
  152. Packer/Protector tested but not working (yet ?):
  153. ────────────────────────────────────────────────
  154.  
  155.  ■ PECRYPT32 & PELOCK : This time will come soon... a few things to fix
  156.    and it will be done.
  157.  
  158.  ■ PESHiELD 0.2 : Same as above ;).
  159.  
  160.  Generally, always use specific unpackers/deprotectors because they handle
  161.  perfectly the PE and restore it to its EXACT state before protection.
  162.  
  163. Final Words :
  164. ─────────────
  165.  
  166. If u did a script to support a packer/protector, Send it to me.
  167. If u have a cryptor/pecryptor I don't have... send it too ;)
  168.  
  169. Good Luck.
  170.