| Сейчас на форуме: Magister Yoda, rtsgreg1989, ==DJ==[ZLO] (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Нужна помощь в распаковке ... |
| Посл.ответ | Сообщение |
|
|
Создано: 11 марта 2005 00:14 · Личное сообщение · #1 Вот начал распаковывать прогу likerusxp 3,2. Кажется упакована UPX но немного подпорчена.В общем OEP находится без проблем, но две функции никак не определяются в ImpRECe Чтоб не мучались- 00A86AF1 ^FFE0 JMP EAX ; LikeRusX.0645784 - прыг на OEP. Функции ptr:00A86F8A и ptr:00A86F21(по-моему ptr:00A86F8A-GetModuleHandleA ptr:00A86F21-DnsRecordSetDetach) 
----- Само плывет в pуки только то, что не тонет.  |
|
|
Создано: 11 марта 2005 00:26 · Личное сообщение · #2 DrFits пишет: 00A86AF1 ^FFE0 JMP EAX У УПХ вроде переход на ОЕП - RET? И адреса странные - не похоже, чтоб они в таблице импорта лежали. Кильки эти функции в Импреке попробуй. |
|
|
Создано: 11 марта 2005 00:37 · Личное сообщение · #3 Ara пишет: У УПХ вроде переход на ОЕП - RET-енто у Аспака так, а у УПХ jmp ***, я ж говорил что подпорченый exe. Да, уже килькал-не помогает, пишет "не является win32 приложением"
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 11 марта 2005 00:41 · Личное сообщение · #4 DrFits пишет: енто у Аспака так Угу, открыл для пробы 4 проги с УПХ - в двух РЕТ, в дыух - JMP. гыыы |
|
|
Создано: 11 марта 2005 00:46 · Личное сообщение · #5 Ara-эти проги с какой версией УПХ?
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 11 марта 2005 01:34 · Поправил: Ara · Личное сообщение · #6 DrFits UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo А в этой прожке далеко не УПХ... Там ORIEN |
|
|
Создано: 11 марта 2005 01:45 · Личное сообщение · #7 Гы, прикольная прога.... Каким-то чудом так оказался Quick Unpack... |
|
|
Создано: 11 марта 2005 02:05 · Личное сообщение · #8 3.2 старая версия у автора 3.3 уже выложена,на UPX и AsPack там не похоже,там чтото другое. |
|
|
Создано: 11 марта 2005 02:08 · Личное сообщение · #9 ыыыы, там ORIEN.... |
|
|
Создано: 11 марта 2005 03:17 · Личное сообщение · #10 стал искать в сети эту программу LikeRusXP нашёл последнюю версию LikeRusXP 3.3 dl.softportal.com/load/likerusxp.rar официальный сайт программы закрыт www.setisoft.com короче, при первом знакомстве выясняется, что прога запакована упаковщиком/протектором ORiEN V2.11 подробнее: zalexf.narod.ru/res/orien/index.html скачка: zalexf.narod.ru/res/download/orien.zip итак, гружу LikeRusXP_GUI.exe в Olly... да, забыл сказать, сама прога (как я уже потом выяснил) не любит наши любимые инструменты (в её теле можно найти перечисление большинства хакерских инструментов: от отладчиков до PEiD) так вот, Olly... прячю дебуггер, добираюсь до OEP 0064D678 /. 55 push ebp 0064D679 |. 8BEC mov ebp, esp 0064D67B |. 83C4 D8 add esp, -28 0064D67E |. 53 push ebx 0064D67F |. 56 push esi 0064D680 |. 57 push edi ; ntdll.7C910738 дамплю, пытаюсь востановить импорт (OEP: 0024D678) и сталкиваюсь c той же проблемой, что и DrFits неверный импорт в kernell32 (2 (decimal:2) unresolved pointer(s)) (added: +2 (decimal:+2)) так вот, по сему два вопроса: кто-нить раньше имел дело с этим ORiEN? и чо мля дальше делать с распаковкой ;) P.S. сам ORiEN упакован UPX'ом и легко распаковывается ----- EnJoy! |
|
|
Создано: 11 марта 2005 07:06 · Личное сообщение · #11 Вроде её Quick Unpack (FEUERRADER [AHTeam]) берёт без проблем ... |
|
|
Создано: 11 марта 2005 10:07 · Личное сообщение · #12 Runtime_err0r пишет: Вроде её Quick Unpack (FEUERRADER [AHTeam]) берёт без проблем ... LOL этот самый Quick Unpack поставляется вместе с прогой ;) чтобы другие проги распаковывать и переводить саму же LikeRusXP он не распаковывает ----- EnJoy! |
|
|
Создано: 11 марта 2005 12:12 · Личное сообщение · #13 Jupiter там все распаковываеться без проблем. файл где-то около 9 метров получаеться. |
|
|
Создано: 11 марта 2005 12:23 · Личное сообщение · #14 Дело не в распаковке а в прикрутке импорта импрэк1.6 выкидывает, 1.4.3 килять отказывается дамп снимается прога на делфях начирикана. |
|
|
Создано: 11 марта 2005 12:40 · Личное сообщение · #15 Гы, а он дважды ориеном попакован, видимо для надежности =) После распаковки не запускается - говорит "Кажется меня хакнули" %) |
|
|
Создано: 11 марта 2005 12:43 · Личное сообщение · #16 bUg пишет: там все распаковываеться без проблем и чем же это, интересно? ручками? и файл запускается? прекрасно ;) файл где-то около 9 метров получаеться. ну да, у меня 9.39 МБ и что с того? я ж не говорю, что файл вообще не распаковывается ;) к тому же в данном случае мне каатся лучше для него inline patch делать автор, кстати, почитал рекомендации автора ORiEN: zalexf.narod.ru/texts-antihackers.htm ----- EnJoy! |
|
|
Создано: 11 марта 2005 12:48 · Личное сообщение · #17 Jupiter Запускаеться. DrGolova там в одном месте он проверяет на отладчики и еще на чего-то.вообщем нопим и все пашет. |
|
|
Создано: 11 марта 2005 13:18 · Личное сообщение · #18 bUg пишет: там в одном месте он проверяет на отладчики и еще на чего-то он на много чего проверяет ;) например: DeDe, OllyDbg, LordPE, PE Tools, GUW32, ProcDump32, PEiD, PiD etc ----- EnJoy! |
|
|
Создано: 11 марта 2005 13:38 · Личное сообщение · #19 Jupiter он когда выводит ошибку запускает блокнот ну и ловить его надо на CreateProcess |
|
|
Создано: 11 марта 2005 13:52 · Личное сообщение · #20 bUg: он когда выводит ошибку запускает блокнот ну и ловить его надо на CreateProcess хм... ты уверен? вообще то он запускает .txt через ShellExecute а я его отловил по строке TDeDeMainForm, там цикл проверки так вот в цикле inc esi cmp esi,00000010h jnz L0057A47C просто cчётчик убиваешь ;) но там ещё другие ограничения по работе со словарём короче, он проверяет ключик в папке с прогой если ключа нет - то демо ----- EnJoy! |
|
|
Создано: 11 марта 2005 13:58 · Поправил: bUg · Личное сообщение · #21 Jupiter но там ещё другие ограничения по работе со словарём короче, он проверяет ключик в папке с прогой если ключа нет - то демо вот это я еще не смотрел, вот экзамен сдам тогда посмотрю. К тому же цель топика распаковать, а с распаковкой я проблем не вижу... |
|
|
Создано: 11 марта 2005 21:02 · Личное сообщение · #22 bUg пишет: а с распаковкой я проблем не вижу...-так пожалуйста скажи как распаковать, а то всё енто только слова, пора к делу переходить
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 12 марта 2005 11:50 · Личное сообщение · #23 DrFits не можеш руками распакуй QuickUnpack'ом. Там потом тока 1 call придеться подправить, по-моему. |
|
|
Создано: 13 марта 2005 00:00 · Личное сообщение · #24 Кстати запаковав блокнот, ИМПРЕК не определил тока функцию GetCommandLineW (pop eax test ebx,ebx sub eax, eax[eax+56f4] lea eax, [eax+56f4] retn) может он импорт ворует?
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 13 марта 2005 06:33 · Личное сообщение · #25 DrFits может он импорт ворует? похоже на то но очень уж неумело типа подворовывает ;) ----- EnJoy! |
|
|
Создано: 13 марта 2005 12:26 · Личное сообщение · #26 что именно в этой проге я не знаю (качать многова-то), но раньше в ориене была видна origIT, поэтому для восстановления импорта можно было обойтись без импрека. |
|
|
Создано: 13 марта 2005 14:25 · Личное сообщение · #27 Mario555 автор ориена о новой версии: * внимательно изучены дампы защищенных файлов - теперь все бреши закрыты * корректная обработка ситуации, когда при загрузке возникала ошибка импорта какой-либо функции из библиотеки но это, видимо, не особо помогло ;) ----- EnJoy! |
|
|
Создано: 14 марта 2005 19:22 · Личное сообщение · #28 Jupiter сегодня с универа скачал эту прогу... вообщем ничего там в защите этого ориена не изменилось... origIT так же как и раньше существует в чистом виде. |
|
eXeL@B —› Основной форум —› Нужна помощь в распаковке ... |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати