Вот эту програмульку вообще ничего не берет...
www.ukrblank.com/files/ukrblank.exe (2,8 Мб)...
Я уже третьи сутки мучаюсь... не ем... не сплю... Блин...

Peid показывает что запакована - UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo...

Значит перепробовал я все что только можно...
1. Сам Peid - ошибка...
2. Ручками - зацикливаем ОЭП, снимаем дамп (тут все ок)... открываем ImpRec16f - говорит по ОЭПу ничего не найдено... предлагает поменять RVA и Size.. меняем... и... висьним наглухо... то есть фикс дамп сделать не могу...
3. Травил Вашей софтиной - QUnpack - тот же резалт...
4. Пробовал UPX Ripper - говорит что неверная чексумма или уже распакован...
5. Травил UPX -d говорит ... так и говорит...
6. Травил UPX_mod - тоже самое....

Вот такая лажа...
Ребятки пожалуйста выскажитесь а?... может все же руки не оттуда?.. или напутано там чегось много?... Подключайтесь - с меня пиво!

P.S.
Програмуля - триал 45 дней... потом в даун... для продолжения нужен файл с рег ключом... который по видимому основывается на "Персональном ключе"... мой персональный - 1684436198... ....на другой машине он совершенно другой...
neopolus@mail.ru ICQ - 349111934
WBR. Asix.

| Сообщение посчитали полезным:

Да и еще... все плагины к Peid которые были для распаковки UPX несправились... Вот так воть... Только что перепробывал... Постоянная ошибка...

| Сообщение посчитали полезным:

Asix пишет:
QUnpack - тот же резалт... Какой из двух?
Вообще удобней Ollydbg и циклить не нужно и потом восстанавливать оер (ты наверно это не забыл сделать?)и вообще удобней.

| Сообщение посчитали полезным:

test пишет:
Какой из двух? QUnpack 0.6
Все... финиш... я совсем запутался... Начну сначала (если ручками):
1. Загружаем в Олю.
2. Оказываемся на PUSHAD
3. Ctrl+F -> POPAD
4.
61 POAD
.-E( BA49B4FF JMP Blanks.00401EC4 <- OEP (мне его еще Peid показывал)...
5. Дальше зацикливаю -EB FE JMP SHORT Blanks.00401EC4
6. F9
7. LordPE
8. Dump full
9. Imprec16f - OEP = 00401EC4
Говорит ничего интересного и противная улыбка...
Далее говорит попробуй изменить RVA и Size на то-то и то-то
щас глянем...RVA предлагает поменять на 003833FC (вариант №2 0035E000) Size на 00000268 (вариант №2 00160000)... Меняю - говорит Original IAT RVA found at: 003834C8 in RVA 0035E000 SIZE 00160000....
10. Нажимаю Get Imports и повисает намертво...(раньше такого небыло...)....

Вот собсно и все.... Или я перетрудился?.. или все таки в ручках дело...

| Сообщение посчитали полезным:

Asix пишет:
5. Дальше зацикливаю -EB FE JMP SHORT Blanks.00401EC4 обшибся... 008BD505-EB FE JMP SHORT Blanks.008BD505
(в смысле ошибся когда это писал... а так все правильно вроде делаю...)

| Сообщение посчитали полезным:

Asix
В Оле 5 пункт не нужен. Просто когда доходишь до OEP или прыжка на OEP не делай Run.
В 9-м пунтке надо вводить не 00401EC4, а 1EC4.

| Сообщение посчитали полезным:

Все... здаюсь.. больше нема сил... пошел я посплю часика 3... если кто-ть что-ть нароет - скиньте мыльце плиз... Если не сложно - гляньте прогу... может я действительно чего-то недогоняю... With Best Regards. Asix. neopolus@mail.ru ICQ 349111934

| Сообщение посчитали полезным:

bkslash пишет:
В Оле 5 пункт не нужен. Просто когда доходишь до OEP или прыжка на OEP не делай Run.
В 9-м пунтке надо вводить не 00401EC4, а 1EC4.

Только что так и попробывал (глянул твой пост про Олю..)... значит так и сделал.. перестала виснуть Imprec... но вот ошибка как вылетала так и вылетает... только теперь не ХХХХХХХ05...(без импорта которая)... а просто XPишная - Программа выполнила недопустимую и будет закрыта... вот так вот...

| Сообщение посчитали полезным:

Ладно если руки кривые.... но столько тулз ее не берет...
Думаю что они что-то там руцями дописали... я уже вообще нифига не соображаю... Код вроде обычный... как в примерах.. в статьях... блин...Ребята - если у кого дамп рабочий выйдет - слейте на мыло (метра 4 потянет...) а в топике пояснение плз...

| Сообщение посчитали полезным:

Asix пишет:
Только что так и попробывал (глянул твой пост про Олю..)... значит так и сделал.. перестала виснуть Imprec... но вот ошибка как вылетала так и вылетает... только теперь не ХХХХХХХ05...(без импорта которая)... а просто XPишная - Программа выполнила недопустимую и будет закрыта... вот так вот...
Читай мой топ, а вдруг поможет =))
http://exelab.ru/f/action=vthread&forum=1&topic=1595

| Сообщение посчитали полезным:

ща посмотрим...

| Сообщение посчитали полезным:

Asix пишет:
Original IAT RVA found at: 003834C8 in RVA 0035E000 SIZE 00160000
гы, прикольный размерчик %)
И вообще уже много раз тут говорилось - иат вручную ищите, а не импреком, ему уже лучше адрес иат давать, а не всяким Iat autosearch доверять ;)

| Сообщение посчитали полезным:

Смотри мыло. Незнаю почему ты на УПХ-риппер ругаешься вроде нормально распаковал.

Asix пишет:
триал 45 дней... потом в даун
Как в даун? Наги, или просто не открывается?

| Сообщение посчитали полезным:

Ребят вы че в конец обленились? UPX руками распаковывается за 60 секунд. Статей миллион.

| Сообщение посчитали полезным:

MozgC пишет:
Ребят вы че в конец обленились? UPX руками распаковывается за 60 секунд. Статей миллион.
Так там вроде в коде покопались, он нормально не распаковывается.
Кажется 00401EC4 - это не настоящий OEP
(но меня нельзя слушать =))), я часто ошибаюсь)

| Сообщение посчитали полезным:

MozgC пишет:
UPX руками распаковывается за 60 секунд.
Знаю, а риппер за пять.

Вот только зачем руками. Лично я уже раз сто UPX руками распаковывал и знаю как это делать. Так зачем быть мазохистом?

| Сообщение посчитали полезным:

Спасибо всем за участие... только что проснулся
rep0A пишет:
Смотри мыло. Незнаю почему ты на УПХ-риппер ругаешься вроде нормально распаковал.
Щас гляну... Сенксы...

Как в даун? Наги, или просто не открывается?
Да нет... прога работает и нагов нет... только документы нельзя распечатывать...

MozgC пишет:
Ребят вы че в конец обленились? UPX руками распаковывается за 60 секунд. Статей миллион.
Уже третьи сутки по статьям пытаюсь распаковать... сплошной эррор...

bad_boy пишет:
Читай мой топ, а вдруг поможет =))
Спасибо за линк...этот топ у меня на винте сохранен))

Ну чтож буду пробовать дальше ковырять))

| Сообщение посчитали полезным:

rep0A пишет:
Смотри мыло. Незнаю почему ты на УПХ-риппер ругаешься вроде нормально распаковал.

Рипер я юзал - UPX Ripper 1.3 (c)2003 Zodiax
Если есть другие варианты - скинь плиз на мыльце)) или сцылочку дай...))

P.S. за мыльце спасибки.. стяну - гляну..

| Сообщение посчитали полезным:

rep0A пишет:
Смотри мыло.
Блин не поверишь - пашет))))....
Рассказывай чем ты ее распаковывал?... только что еще раз своим рипером пробовал - опять ругается...
Какой у тебя Риппер и де его взяти?))...
Ну все, одним гемором меньше... теперь будем ковырять))

| Сообщение посчитали полезным:

имхо упх быстрее руками распаковать (если -d не прокатывает)

| Сообщение посчитали полезным:

вот, 2 минуты и ехе распакован. ручками - самый верный способ

| Сообщение посчитали полезным:

Asix пишет:
Блин не поверишь - пашет
Почему-же не поверю ;)
Мой рипер я тебе сейчас на мыло пошлю, хотя он такой-же и взял я его на васме.
А вообще Gelios прав, руками быстро и легко распаковывается.

| Сообщение посчитали полезным:

В принципе, этоим можно распаковать - h++p://www.exetools.com/files/file-analyzers/fs.zip (fs.exe -u *.exe), ну и дальше что ? там проверок куча, так что распаковка - это 1% от всей работы

| Сообщение посчитали полезным:

Gelios пишет:
21:46:15
Gelios пишет:
21:56:31

Gelios пишет:
вот, 2 минуты


| Сообщение посчитали полезным:

Ребят ну и нафлудили - я это прогу на заказ за деньги ломал - там UPX распаковывается сами UPX ) Тока надо знать какие байты заменить А вообще для новичка сложная прога - там с проверкой даты большие заморочки. Я ломал Новогоднюю версию 3.60.4

| Сообщение посчитали полезным:

rep0A пишет:
Мой рипер я тебе сейчас на мыло пошлю, хотя он такой-же и взял я его на васме.
Огромное спасибо. Слил - действительно распаковывает.
Вообще всем огромное спасибо за участие.

| Сообщение посчитали полезным: