Тормознулся на badcopy99, кто читал тот помнит мою проблему.
Начал я разбираться с ручной распаковкой.
Взял статью с примером calc.exe.

Нашёл начало ->
01020C70 > $ 60 PUSHAD
01020C71 . BE 00A00101 MOV ESI, calc.0101A000
01020C76 . 8DBE 0070FEFF LEA EDI, [DWORD DS:ESI+FFFE7000]
......
конец ->
01020DC7 . 83C3 04 ADD EBX, 4
01020DCA .^EB E1 JMP SHORT calc.01020DAD
01020DCC > FF96 8C680200 CALL [DWORD DS:ESI+2688C]
01020DD2 > 61 POPAD
01020DD3 .-E9 9D16FFFF JMP calc.01012475; (точка OEP)
01020DD8 00 DB 00
......
снял дамп->
стал импортировать в поле ОЕР заполнил значением :12475h

Только я импорт прогоняю, запускаю -> даёт ошибку.
Значение ОЕР брать с строки джампа или следующего адреса (01012475)
В чём беда?

| Сообщение посчитали полезным:

у меня бывало такое, что OEP и RVA правильные указаны, но ImpRec находил какой-то бред совершенно с других адресов. В таких случаях я юзаю Revirgin by +Tsehp

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

Ara пишет:
LOL
Запаковал я пару минут назад calc.exe UPX-ом и распаковал тут же. Все как всегда, ничего там нет необычного...

Почему сразу LOL? Перед тем как писать занимался тем-же. LOL назад.

-----
TBR

| Сообщение посчитали полезным:

Читал статью MozgC, делал ношагово как от пишет,IAT AutoSearch,-> ругается.
Взял статью "Ручная распаковка файлов при помощи ОЛЛИ,
Сделал всё пошагово (единственное код с написанным в статьи calc.exe отличается расположением ОЕР)->взял PEdit->снял full damp-> browse->файл дампа->вписываю в ОЕР значение 12475->Apply Changes->Checksum->Correct it.
Запускаю дамп -> ошибка!!!
Пробывал на пасьянсе, всё поделал как в статьях написано, выдаёт ошибку.

| Сообщение посчитали полезным:

dragon-gor
Какую именно ошибку?
Скачай утилитку: PEVERIFY.EXE
она показывает на каком этапе загрузчик
валится

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

dragon-gor пишет:
Пробывал на пасьянсе, всё поделал как в статьях написано, выдаёт ошибку.
Значит что то сам неправильно делаешь. Скорее всего дамп неправильно снимаешь. Возьми PE TOOLS или плюгом от Олли (пташку Rebuild import сними). Опиши пошагово со всеми подробностями что делаешь при снятии дампа. Возможно косяк и обнаружится в твоих действиях.

| Сообщение посчитали полезным:

Гружу в олли calc.exe (пакованный)->ставлю бряк на строке JMP calc.01012475 (следует после POPAD)->запускаю прогу, останавливаюсь на бряке->жму F8 (заход в код программы)->загружаю PE TOOLS->выбираю процесс calc.exe->жму правую кнопку мыши на calc.exe->опция DUMP FULL...->загружаю importRE->attach to axtive process - calc.exe-> ОЕР:12475 (1012475-1000000=12475)->IAT AutoSearch-> пишет: Could not find anything good at this OEP!

| Сообщение посчитали полезным:

Выложи на webfile.ru свой калькулятор посмотреть,я тоже специально запаковал у себя свой и распаковал сразу правда не в оле а в ида и бряку ставил на popad а не на jmp.

| Сообщение посчитали полезным:

2dragon-gor

Просто любопытно - какая винда?

-----
TBR

| Сообщение посчитали полезным:

2dragon-gor

Просто любопытно - какая винда? Имхо трабла с упаковкой. Попробуй заново упаковать.

-----
TBR

| Сообщение посчитали полезным:

Может UPX косячный.
Как крякмис фантомовский №4 у некоторых, в т.ч. и у меня был.........

| Сообщение посчитали полезным:

Hyper пишет:
Может UPX косячный
Grey пишет:
Имхо трабла с упаковкой
ЛОЛ

| Сообщение посчитали полезным:

Винда xp he.
доступен по адресу: webfile.ru/186172 в течение 21 дня до 20:33 03.03.2005.

| Сообщение посчитали полезным:

dragon-gor
Все распаковывается нормуль...

| Сообщение посчитали полезным:

Mario555
Действительно, проблема есть, в чём она, в кривых руках? Не думаю. С фантомовским №4 у меня было тоже самое, пока не скачал пропатченный, отсюда.
Hyper
Надо мной, правда посмеялись, но рискну ещё раз высказаться, потому что dragon-gor до сих пор не может найти импорт: я тоже сам паковал UPX-ом calc.exe (UPX с DVD диска от Bad-guy-a), и тоже AutoSearch ничего не находил, пока не прочитал статью MozgC-a и не выставил RVA...
dragon-gor
вот выдежка из статьи MozgC-a "Распаковка от самого простого к чуть более сложному." (См. файл t.txt )

Не судите строго, если я ошибаюсь так напишите в чём...?


c76e_t.txt.txt

| Сообщение посчитали полезным:

Блин всё нормально распаковывается одна минута.
Вот твой распакованый калькулятор.
webfile.ru/186240

| Сообщение посчитали полезным:

Ruller пишет:
Вот твой распакованый калькулятор
LOOOLLL

| Сообщение посчитали полезным:

Ara пишет:
Вот твой распакованый калькулятор
LOOOLLL
Скилл однако ;)

| Сообщение посчитали полезным:

Что за LOOOLLL и Скилл я не понял,что это не он хотите сказать?

| Сообщение посчитали полезным:

Ruller пишет:
что это не он хотите сказать?

Они хотят сказать, что у него уже есть такой. В систем32\.

-----
TBR

| Сообщение посчитали полезным:

Да вот а я и не знал что он в сустим32 прячется,почему он не может его распаковать я не понимаю уже вторая страница идёт а каликули у него не распакован.
Говорили что типа косяк с пакерам я распаковал без проблем значит с пакером граблей нет,он через месяц придёт к выводу что ему этот UPX не понадобится ну если крякмис какой распаковать да и то там ещё и скрамблер повесят для усложнения.

| Сообщение посчитали полезным:

Ура!!!
Это не руки корявые, это - Import REConstructor v1.4.2+
Поставил v1.6 - всё вез проблем.

СПАСИБО ВСЕМ ЗА УЧАСТИЕ В РЕШЕНИИ ПРОБЛЕМЫ

| Сообщение посчитали полезным: