Проблемы с распаковкой Upx

Сейчас на форуме: ==DJ==[ZLO], Magister Yoda, Rio, Dart Raiden, Alf (+5 невидимых)

Посл.ответ	Сообщение
Technocrat Ранг: 0.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 декабря 2004 13:34 · Личное сообщение · #1 Доброе время суток!!! Файл запротекчен "UPX Scrambler", я его открываю через Olly Debugger, а у меня вместо кода описаного в статьях такая муть: 0051078F > $ 90 NOP 00510790 . 61 POPAD 00510791 . BE 00D04B00 MOV ESI,StatistX.004BD000 00510796 . 8DBE 0040F4FF LEA EDI,DWORD PTR DS:[ESI+FFF44000] 0051079C . C787 A4100C00 > MOV DWORD PTR DS:[EDI+C10A4],C2F7EA60 005107A6 . 57 PUSH EDI 005107A7 . 83CD FF OR EBP,FFFFFFFF 005107AA . EB 0E JMP SHORT StatistX.005107BA 005107AC 90 NOP 005107AD 90 NOP 005107AE 90 NOP 005107AF 90 NOP 005107B0 > 8A06 MOV AL,BYTE PTR DS:[ESI] 005107B2 . 46 INC ESI 005107B3 . 8807 MOV BYTE PTR DS:[EDI],AL 005107B5 . 47 INC EDI 005107B6 > 01DB ADD EBX,EBX 005107B8 . 75 07 JNZ SHORT StatistX.005107C1 005107BA > 8B1E MOV EBX,DWORD PTR DS:[ESI] 005107BC . 83EE FC SUB ESI,-4 005107BF . 11DB ADC EBX,EBX Ну так вот!!! Где мне ставить бряк, как я понимаю переход на ОEP, в след. строке 005107AA только вот почемуто если я ставлю бряк на этой строке и потом перехожу в строку 005107BA, и сдергиваю дамп, то выходит какая-то муть и дамп снимается неправильно... Снимаю дамп той же олли. Заранее спасибо!

Mario555 Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•	Создано: 05 декабря 2004 13:43 · Личное сообщение · #2 Technocrat пишет: как я понимаю переход на ОEP, в след. строке 005107AA странный у тебя переход к оеп =)
nice Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net	Создано: 05 декабря 2004 15:05 · Личное сообщение · #3 Technocrat Не, судя по коду, ты ещё в самой шапке распаковщика. Иди вниз и будет тебе счастье ;) после JMP 0xxxxxxx должны идти 0000 ----- Подписи - ЗЛО! Нужно убирать!
WELL Ранг: 266.8 (наставник), 5thx Активность: 0.22↘0.03 Статус: Участник very WELL :)	Создано: 05 декабря 2004 19:05 · Личное сообщение · #4 Technocrat Почитай статьи по распаовке http://exelab.ru/art/art325.php http://exelab.ru/art/pkk.php
GPcH Ранг: 631.1 (!), 62thx Активность: 0.37↘0.01 Статус: Участник Автор VB Decompiler	Создано: 06 декабря 2004 04:48 · Личное сообщение · #5 Бля... я ржал до уссачки ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!
vins Ранг: 28.0 (посетитель) Активность: 0.02↘0 Статус: Участник anarchist	Создано: 06 декабря 2004 04:54 · Личное сообщение · #6 GPcH думаю когда ты учился над тобой тоже кто "ржал до уссачки"
vbcrasher Ранг: 0.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 декабря 2004 05:37 · Личное сообщение · #7 я когда внутринности dotfix.net смотрел - вообще обосралси
hyper13 Ранг: 0.0 (гость) Активность: 0.03↘0 Статус: Участник	Создано: 06 декабря 2004 07:03 · Личное сообщение · #8 GPcH пишет: Бля... я ржал до уссачки Точно что бля****, а бочку потом только на ньюбисов катят, типа хамят ветеранам........................................
Man1ac Ранг: 0.0 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 06 декабря 2004 07:25 · Личное сообщение · #9 GPcH А что смешного?
xDriver Ранг: 45.1 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 06 декабря 2004 07:46 · Личное сообщение · #10 Technocrat [/i] Ну так вот!!! Где мне ставить бряк, как я понимаю переход на ОEP, в след. строке 005107AA [i] дай дамп дальше ! [/i] если я ставлю бряк на этой строке и потом перехожу в строку 005107BA [i] слабо верится GPcH Смешного тоже не вижу
GPcH Ранг: 631.1 (!), 62thx Активность: 0.37↘0.01 Статус: Участник Автор VB Decompiler	Создано: 06 декабря 2004 09:30 · Личное сообщение · #11 vins пишет: думаю когда ты учился над тобой тоже кто "ржал до уссачки" Когда я начинал - я читал больше, чем спрашивал. А если ничего не читать и только спрашивать... тем более такую фигню, то очень тяжело учиться, да и пользы ноль vbcrasher пишет: я когда внутринности dotfix.net смотрел - вообще обосралси И что ты там смешного увидел, мне интересно знать? Может ты еще и внутренности краклаба видел? Ксакепы блин ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!
WELL Ранг: 266.8 (наставник), 5thx Активность: 0.22↘0.03 Статус: Участник very WELL :)	Создано: 06 декабря 2004 19:02 · Личное сообщение · #12 GPcH Зря пальцы гнёшь. Человек учиться. Почему бы ему не помочь?
GPcH Ранг: 631.1 (!), 62thx Активность: 0.37↘0.01 Статус: Участник Автор VB Decompiler	Создано: 07 декабря 2004 00:00 · Личное сообщение · #13 WELL пишет: Зря пальцы гнёшь. Человек учиться. Почему бы ему не помочь? Да я не гну, просто такой примитив почти в каждой статье описан, да и не в настроении я был, когда это писал. Technocrat А распаковать можно двмя способами: 1) взять любой Generic Unpacker (GUW32, PEiD Generic Unpacker Plugin, QUnpack) и не париться - это автораспаковщикию 2) пролистнуть код ниже - там будет перед горой нулей jmp xxxxxxxx, так вот адрес, что на месте иксов увидишь - это OEP. И совет на будущее - почитай статьи Мозга - в них Дао ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!
-= ALEX =- Ранг: 260.3 (наставник), 2thx Активность: 0.12↘0 Статус: Участник PPC-PROTECT author	Создано: 07 декабря 2004 02:59 · Поправил: -= ALEX =- · Личное сообщение · #14 Technocrat и еще совет на будущее ) почти у всех пакеров найти OEP можно, поставив бряк bpm esp-4 в самом начале кода, бряка сработает на popad а дальше типа jmp OEP, jmp REG (REG=OEP), push OEP - ret, push REG (REG=OEP) - ret ну или еще может че ----- Пиво, сиськи, транс
Asterix Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник	Создано: 07 декабря 2004 03:49 · Поправил: Asterix · Личное сообщение · #15 В аттаче типичный листинг для UPX'а, для понятливых всё сразу станет понятно, а именно куда какие бряки ставить ;)
Asterix Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник	Создано: 07 декабря 2004 03:50 · Личное сообщение · #16 . _1707867423__UPX.rar

Для печати