home *** CD-ROM | disk | FTP | other *** search
/ Software Recommendations - 1998 Season 1 / DNBCD4.iso / share / compress / exe / untiny / UNPROT.DOC < prev    next >
Encoding:
Text File  |  1997-10-29  |  4.4 KB  |  111 lines
  1.  
  2. ───────────────────────────────────────────────────────────────────────────
  3.         UNPROT/EXE - Unprotector for EXE files....
  4. ───────────────────────────────────────────────────────────────────────────
  5.  
  6. Notes about some protectors:
  7.  
  8.  
  9. Protect 4.0/5.0/5.1
  10. ~~~~~~~~~~~~~~~~~~~
  11.         This protector is so lame that I can unpack COM files with a
  12.         batch file using DEBUG.EXE.  For this reason no COM support is
  13.         added. See also notes about 5.5/5.6.
  14.  
  15.         Unprot is the only unpacker I know which is able to handle
  16.         Protect 4.0/Registered protection. Even UNP, X-Tract, XOpen etc.
  17.         fails on 4.0/Reg!
  18.  
  19.  
  20. Protect 5.5/5.6
  21. ~~~~~~~~~~~~~~~
  22.         5.6 is a modified 5.5 version (done by UCF). Due to the fact that
  23.         there are floating enough 5.6 unpackers around I haven't waste my
  24.         time adding 5.5/5.6 support yet. Use X55, Tron or X-Tract 1.51a
  25.         instead. Unprot can detect 5.5/5.6 protection as well - using the
  26.         5.0 unencryptor engine - resulting in a memory dump of the
  27.         protector - one level unencrypted (MEM!DUMP.COM). Interesting
  28.         under a debugger. ;-)
  29.  
  30.         Currently I'm testing ROSE COM UNPACKER which can unpack ALL
  31.         current Protect/COM version from 1.00 up to 5.6 - Wait4it!
  32.  
  33.         BTW: All versions from 1.00 'til 2.00 are so lame that EVERY
  34.         tracer can unpack them!
  35.  
  36. Protect 6.0
  37. ~~~~~~~~~~~
  38.         Released about August 1996. Nothing of great interest. Now protected
  39.         files can have a so called AV envelope with is easy to detect.
  40.         If no AV envelope is present unPROT detetects generic Protect, saying
  41.         i could be 5.5/5.6 or 6.0/unAV.
  42.  
  43.         COM files still sucks and can be unpacked with CUNP and every
  44.         intelligent tracer like iup, tron, cup etc.
  45.  
  46. SuckStop
  47. ~~~~~~~~
  48.         An impressive and short protector from KA0T.  There are more than
  49.         seven versions availiable: Most of them have the ASCII remark
  50.         "SuckStop 1.00 by DOSE" ...  Unprot can detect and patch in this
  51.         version only the first versions (499/618/???).
  52.  
  53.         The third version is a little bit polymorph encrypted. If I have
  54.         the time I'll code an unpacker too. :-)
  55.  
  56.         My virus scanner finds the first two polymorph versions, saying
  57.         the file is infected by a BWME/RME virus! This has been fixed in
  58.         later versions!
  59.  
  60.         Meantime CUP 386/3.0b with the option /7 can unpack SuckStop
  61.         version 1-4. Due to this fact Ka0t as released a new version with
  62.         386 anti-debugger code. Unfortunaetly I haven't got my hands on it!
  63.  
  64.         Meanwhile i got it! Superb!
  65.  
  66.         Due to the fact SuckStop disables the keyboard and the inline code
  67.         for enableing the keyboard under TP doesn't work, it's recommended
  68.         to use the supplied batch file UNSSTOP.BAT which automaticly calls
  69.         KEYB_ON.COM. The protector is only unencrypted and the antidebugging
  70.         code overNOPed. So afterwards you can unpack the file with an
  71.         generic (tracing) unpacker. This is done 'cause I'm a lazy bone!
  72.  
  73.         Here I have discovered an interesting bug in allmost all generic
  74.         unpackers: None of them is unable to unpack the patched file
  75.         except TRON! Why: SuckStop doesn't use a jmp far xxxx:yyyy to
  76.         return control back to the host. Instead push seg, push offset,
  77.         retf instructions are used. It seams that
  78.  
  79.                 unp t   (4.12ß)
  80.                 tsup    (1.6)
  81.                 uup     (1.4)
  82.                 cup     (1.2 + 386/3.2)
  83.  
  84.         are waiting to reach the jmp far instruction thus running the
  85.         program or stoping with the first interrupt call... so you must
  86.         use tron...
  87.  
  88.         From SuckStop I have meanwhile about 10 different versions, the
  89.         latest are CUP 3.2 aware!
  90.  
  91.  
  92. Closing
  93. ~~~~~~~
  94.         If you have another generic unpacker other than mentoined above
  95.         I would be glad to receive a copy of! Additionally I have XOpen,
  96.         AutoHack 4.1 & II/1.0b, Intruder 1.30 and SnapShot 3.0 which are
  97.         not recommened to unpack the SuckStop protector.
  98.  
  99.            .....and a lot more, like Tron 1.3x, Foto, UPC 1.06 etc....
  100.  
  101. Credits
  102. ~~~~~~~
  103.  
  104.         Dutch, Ralf L., Ka0t, Random, Hann0, Retro, Ghostbuster ...
  105.  
  106.  
  107. Enough written for this version. Greetx to all who use the account
  108.  
  109.                 Martin Beutlin
  110. :-)
  111.