Тормознулся на badcopy99, кто читал тот помнит мою проблему.
Начал я разбираться с ручной распаковкой.
Взял статью с примером calc.exe.

Нашёл начало ->
01020C70 > $ 60 PUSHAD
01020C71 . BE 00A00101 MOV ESI, calc.0101A000
01020C76 . 8DBE 0070FEFF LEA EDI, [DWORD DS:ESI+FFFE7000]
......
конец ->
01020DC7 . 83C3 04 ADD EBX, 4
01020DCA .^EB E1 JMP SHORT calc.01020DAD
01020DCC > FF96 8C680200 CALL [DWORD DS:ESI+2688C]
01020DD2 > 61 POPAD
01020DD3 .-E9 9D16FFFF JMP calc.01012475; (точка OEP)
01020DD8 00 DB 00
......
снял дамп->
стал импортировать в поле ОЕР заполнил значением :12475h

Только я импорт прогоняю, запускаю -> даёт ошибку.
Значение ОЕР брать с строки джампа или следующего адреса (01012475)
В чём беда?

| Сообщение посчитали полезным:

dragon-gor пишет:
JMP calc.01012475

Это и есть твой ОЕР

Перед дампом , если в сайсе, остановись на
01020DD3 .-E9 9D16FFFF JMP calc.01012475

Жми А -> Enter -> jmp eip -> Enter -> Enter

A + Enter -> вход в режим ассемблера
jmp eip + Enter -> зацикливаешь прогу
Enter -> выход из режима ассемблера

Все, теперь F5 и снимай дамп. Только не забудь убрать брейкпоинты.

-----
TBR

| Сообщение посчитали полезным:

dragon-gor пишет:
Только я импорт прогоняю, запускаю -> даёт ошибку.
Фраза непонятная, мож ты Fix dump забыл сделать? А так вроде все верно.

| Сообщение посчитали полезным:

Full Damp.
Вот и я удивляюсь.

| Сообщение посчитали полезным:

01020DD3 .-E9 9D16FFFF JMP calc.01012475

Жми А -> Enter -> jmp eip -> Enter -> Enter
Это я делал. Правдо не понял для чего цикл.
Распаковывал на олли

| Сообщение посчитали полезным:

dragon-gor
Зацикливать необходимо только если юзаешь айс, иначе тебе не сдампить прогу на ОЕП. Вроде можноюзать IceExt, он у меня не работал никогда. В Оле этого не делать не надо (хотя все равно дамп работать будет), достаточно просто сдампить на ОЕП.

| Сообщение посчитали полезным:

Запускаешь пакованную прогу, импрек.
В списке процессов выбираешь прогу (в твоем случае calc.exe)
В поле ОЕР пишешь тот ОЕР что ты нашел - (минус) смещение (Image Base - найдешь в LordPe). У тебя оно более вероятно 01000000, значит записываешь 00012475
Жмешь IAT AutoSearch -> Get Import. Потом жмешь Fix Dump и выбираешь свой дамп. Тыснешь Ок. Ну и все.

ЗЫ: Потом ребут и форматС:

-----
TBR

| Сообщение посчитали полезным:

А у тебя среди неопределившихся функций DialogboxparamA не попадалась? Есл ипопадалась попробуй заменить на DialogboxparamW - может поможет.

| Сообщение посчитали полезным:

Halt пишет:
А у тебя среди неопределившихся функций DialogboxparamA не попадалась?
Бред... Если функция неопределилась, то она не будет отображена как DialogBoxParamA... Она ж неопределилась =)))

| Сообщение посчитали полезным:

Dragon-gor
В ImpRec-e в поле ОЕР оставь 12475, в поле Size оставь 1000, а в поле RVA напиши 1020, и сразу жми Get Imports.

| Сообщение посчитали полезным:

dragon-gor:
Так ты сделай после восстановления импорта Rebild PE-должно помочь

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits пишет:
так енто калькулятор или что?

ага, лонгхорн решили упаковать, чтоб поменьше был

-----
TBR

| Сообщение посчитали полезным:

Ara
Зря ты так, уменя прога падала по непонятной причине при запуске именно при появлении окна, опытным путем поменял и все ок, название проги правда не помню.
не знаю как это повлияло, но видимо както, сам был в немонятках, но факт вещь упрямая

ну всмысле выглядит она как Dialogbox..... переходники (эмуляторы) во всех статьях по аспру есть

| Сообщение посчитали полезным:

dragon-gor пишет:
В чём беда?
Мне кажется я знаю твою проблему. У меня раньше такое же было, по причине полной неопытности.
Ты когда дампил стоял скорее всего не на самой OEP а на переходе к ней (т.е. на JMP calc.01012475;) Надо чтоб этот джамп сработал. Чтобы когда ты нажал в Олли на "*" отладчик находился по адресу 01012475. А когда уже СТОИШЬ на OEP - запускай PE TOOLS, выбирай свою прогу из памяти и в нижнем окошке делай ей FULL DUMP !
Просто многие в статьях про распаковку этот момент пролетают, или упоминают о нём вскользь, не особо акцентируя на нём внимание, а это такая мелочь, из-за которой можно потом неделю голову ломать в попытке понять - "Что же я не так делаю?"

| Сообщение посчитали полезным:

Hyper
бред полный, этот джамп ничего не меняет =)

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

Halt
Hyper
DrFits
buddy
Что вы человека путаете? Лучше не писать ваще ничего... Какие неопределившиеся функции и ручное выставление таблицы импорта? Какие переходники - эмуляторы? Не морочте людям голову, он распаковывает простой пакер (похоже УПХ)!!!

| Сообщение посчитали полезным:

gloom пишет:
бред полный
а вот и не полный !!! 8-)
Я когда Аспак распаковывал, у меня почти все дампы не запускались. После того как поставил Олли на OEP и дампил там - всё ОК.

Ara пишет:
он распаковывает простой пакер (похоже УПХ)!!!
Ага, по коду похоже на него. Только не думаю что с УПКСОМ такие запарки могут быть............................

| Сообщение посчитали полезным:

Hyper пишет:
Я когда Аспак распаковывал, у меня почти все дампы не запускались. После того как поставил Олли на OEP и дампил там - всё ОК
дык в аспаке и переход к оеп не прямой jmp, а ret =)

| Сообщение посчитали полезным:

не знал, не знал.........
8-)

| Сообщение посчитали полезным:

Пакер UPX
Интересно что PeEditor импортирует без ошибок, но файл - бракованный.
А в ImpRec-e запускаю IAT AutoSearch -> Could not find anything good at this OEP!
Честно сказать у меня от этой распаковки голова расскалывается.

| Сообщение посчитали полезным:

По идеи после IAT AutoSearch RVA и Size должен сам найти?
Если нет то как их вычислить?

| Сообщение посчитали полезным:

dragon-gor
Что за прогу распаковываешь дай глянуть,UPX вообще снимается с ключём -D.

| Сообщение посчитали полезным:

Ruller
Ну писал же человек - calc.exe...

dragon-gor
Ты ОЕР неверно указываешь в ИмпРеке значит

| Сообщение посчитали полезным:

Ara пишет:
Ты ОЕР неверно указываешь в ИмпРеке значит

Имхо дело не в этом. Была у меня давненько такая-же оказия. И пейдом ОЕР определял и в сайсе, а вот импрек ругался на него и смайлик в конце такой гнусный выводил. Беда - не помню как выкрутился я из этого.

dragon-gor пишет:
Честно сказать у меня от этой распаковки голова расскалывается.

И у нас, как видишь. Давай-ка не спеша, ничего не упуская раскажи по порядку как все делаешь.

ЗЫ: Погодь! А че за статья? Калькулятор, УПХ? MozgC? Если да, то почему у тебя джамп на ОЕР не в ту сторону???

-----
TBR

| Сообщение посчитали полезным:

Ara
dragon-gor
Запаковал я недавно calc.exe UPX-ом, а распаковать долго не мог. В ImpRec-e IAT AutoSearch ничего не находил. Пришлось открывать дапм WinHex-ом, находить адрес GetModuleHandleA, например, далее открывать дамп в PEditor-e, жать FLC, в поле Offset - втыкать то, что нашёл в WinHex-e и радостно жать DO. Вот после всего этого в поле RVA было то, благодаря чему смог распаковать!
Об этом способе прочитал в знаменитой статье товарища Mozg-a про распаковку. Может это и не самый лучший способ, но традиционный, через AutoSearch не катил ...

| Сообщение посчитали полезным:

а посмотреть вызовы импорта несудьба ? =) типа там call [iat] или jmp [iat]

| Сообщение посчитали полезным:

buddy пишет:
Запаковал я недавно calc.exe UPX-ом, а распаковать долго не мог
LOL.


Grey пишет:

почему у тебя джамп на ОЕР не в ту сторону???
LOL
Запаковал я пару минут назад calc.exe UPX-ом и распаковал тут же. Все как всегда, ничего там нет необычного...

| Сообщение посчитали полезным:

Ara
Распоковал тоже UPX-oм или с Олей?
Уже кто-то поднимал вопрос, что на разных тачках есть свой нюансы

| Сообщение посчитали полезным:

buddy пишет:
Распоковал тоже UPX-oм или с Олей?
LOOOL.
Прикольный топик...

| Сообщение посчитали полезным:

Я понимаю ч то калькулятор человек распаковывает,знаю даже,что калькулятор от XP просто посмотреть хочу почему он у него не распаковыается.

| Сообщение посчитали полезным: