Сейчас на форуме: Rio, ==DJ==[ZLO], Dart Raiden, Alf (+6 невидимых)

 eXeL@B —› Основной форум —› Помогите распаковать UPX!!!
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 17 августа 2004 11:13
· Личное сообщение · #1

Решил научиться распаковывать UPX. Нашел OEP, но когда загружаю прогу в SICE при старте она не прерывается. Поэтому не могу её зациклить и снять дамп Может кто подскажет что делать?...



Ранг: 40.0 (посетитель), 1thx
Активность: 0.030
Статус: Участник

 Создано: 17 августа 2004 11:40
· Личное сообщение · #2

upx -d ...



Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

 Создано: 17 августа 2004 12:40
· Личное сообщение · #3

PE Tools -> Break&Enter bpint3 потом не забудь восстановить eb eip 60 -> bc * -> bpm esp-4 -> F5 -> bc * -> a -> Enter -> jmp eip -> Enter -> Enter -> F5 -> в PE Tools или Lord PE правый клик мышей по процессу -> Dump full -> потом не этом-же процессе -> Kill task -> и восстанавливай импорт!!!
Не, ну а как еще? ;))

-----
TBR


Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

 Создано: 17 августа 2004 22:43
· Личное сообщение · #4

А еще можно олькой =)



Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 17 августа 2004 23:20
· Личное сообщение · #5

мля народ до сих пор долбается с break'n'enter



Ранг: 2.0 (гость)
Активность: 0.020
Статус: Участник

 Создано: 18 августа 2004 00:44 · Поправил: DFC
· Личное сообщение · #6

ALEX, не, мне понравилось, то что ты предложил, так что юзаю Loader by syd, рульно
AlexeY, Grey тебе все подробно описал, можно еще вместо bpint3 использовать I3Here on, об этом уже писали, а при использовании Loader'a by syd байт не затирается и восстанавливать потом его не надо.



Ранг: 0.0 (гость)
Активность: 0.020
Статус: Участник

 Создано: 27 августа 2004 07:36
· Личное сообщение · #7

WELL пишет:
А еще можно олькой =)

Olly проще всего:
1. Грузим прогу в Olly.
2. Ищем первый же POPAD ниже EP
3. Ставим бряк на JMP сразу после него, который будет прыжком на OEP.
4. После остановкки на OEP дампим LordPE, PETools (да хоть плагином-дампером для Olly, им можно и импорт восстановить). Заметьте - никаких трепыханий с JMP eip.
5. Ну а дальше без проблем в ImpRec =)




Ранг: 260.3 (наставник), 2thx
Активность: 0.120
Статус: Участник
PPC-PROTECT author

 Создано: 27 августа 2004 08:33
· Личное сообщение · #8

XaErO пишет:
Заметьте - никаких трепыханий с JMP eip.
удивил

-----
Пиво, сиськи, транс

Ранг: 0.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 06 сентября 2004 23:51
· Личное сообщение · #9

Открываем файл запакованый UPX-ом в HEX редакторе, ищем там в начале файла строку UPX! - сразу после этого должны быть байты:

Для версий:
v0.80- 0A 09 02 07 - Obsolute Version
v1.07-1.22 0C 09 02 08
v1.24 - 0C 09 05 0A
v1.90 - 0D 09 05 0A

После этого можно распаковать самим UPX-ом командой -d.



Ранг: 136.3 (ветеран)
Активность: 0.050
Статус: Участник

 Создано: 07 сентября 2004 00:14
· Личное сообщение · #10

[XAHC] пишет:
Открываем файл запакованый UPX-ом в HEX редакторе, ищем там в начале файла строку UPX! - сразу после этого должны быть байты: ....

Мда... Не зря я статью собираюсь написать об исследованиипрог на запакованность....


 eXeL@B —› Основной форум —› Помогите распаковать UPX!!!
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати