| Сейчас на форуме: _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› UPX ли обрабоана прога ? |
| Посл.ответ | Сообщение |
|
|
Создано: 17 мая 2005 21:27 · Личное сообщение · #1 Выложил екзешник на www.webfile.ru/308000 красивый номерок ;0 короче говоря - может это и UPX 0.72 да только в дампе никак не могу поправить импорт и тем более открыть его хоть каким то браузером ресурсов.. в хексе вижу строки от С++ но не более того. Не справился сам с распаковкой, прошу рассказать, где спотыкачь.. Точку входа определил как 16e71c - попал ?  |
|
|
Создано: 18 мая 2005 02:26 · Поправил: turist · Личное сообщение · #2 угу попал молодец. все ок только дампь лордом - и как говорится говорится, раз и в дамки..xe xe 
ps. upx это |
|
|
Создано: 18 мая 2005 09:02 · Личное сообщение · #3 нет, дамп от лорда тоже редактировать не могу.. imprec не помог либо я не смог его одолеть. |
|
|
Создано: 18 мая 2005 17:47 · Личное сообщение · #4 Открываешь mosaic.exe с помощью ollydbg, ставишь бряк на переход на oep (в самом конце кода распаковки), переходишь на oep. Стоя на oep, запускаешь LordPE, делаешь full dump. Получается dumped.exe Всё ещё стоя на oep, не закрывая Olly Debugger, запускаешь ImpRec, выбираешь процесс mosaic.exe, в поле OEP вводишь найденный тобой OEP (найденная тобой точка входа), жмешь: IAT Autosearch, Get Imports, Fix Dump, выбираешь dumped.exe, получается dumped_.exe распакованный. Дальше его в IDA и вперед. Ну, или в DeDe, кому как больше нравится. |
|
|
Создано: 18 мая 2005 17:56 · Личное сообщение · #5 Для того, чтобы после распаковки ресурсы править, там ещё вроде надо перестроить эти ресурсы типа Resource Rebuilder by Dr. Golova |
|
|
Создано: 18 мая 2005 18:06 · Личное сообщение · #6 блин, upx -d рулит |
|
|
Создано: 18 мая 2005 19:22 · Личное сообщение · #7 Ara пишет: блин, upx -d рулит В этой проге не рулит, проверял. |
|
|
Создано: 18 мая 2005 20:16 · Личное сообщение · #8 Используй плагин под PEid - Unpacker for UPX ,если не можешь вручную распаковать! |
|
|
Создано: 18 мая 2005 20:36 · Личное сообщение · #9 Через связку UPX под PEID и поправку дампа imprec + resrebuilder получил таки наружу ресурсы.. теперь задача сл. - зарегистрировать прогу.. начинаю ковырять |
|
|
Создано: 19 мая 2005 07:57 · Личное сообщение · #10 Ara пишет: блин, upx -d рулит UPX 0.71 - 0.72 -> Markus & Laszlo |
|
|
Создано: 19 мая 2005 08:18 · Личное сообщение · #11 Вот здесь 0056756B 75 07 JNZ SHORT 00567574 если зделать так 0056756B 90 NOP 0056756C 90 NOP Будет Pro версия. |
|
|
Создано: 19 мая 2005 09:05 · Личное сообщение · #12 Спасибо ! Вчера к вечеру я таки сам сделал этот же патч, но утромрад был увидеть подтверждение ходу моих мыслей. |
|
|
Создано: 19 мая 2005 11:27 · Личное сообщение · #13 NIKOLA пишет: 0056756B 90 NOP 0056756C 90 NOP Лучше так: 0056756B 75 00 JNZ SHORT 0056757D 
|
|
|
Создано: 19 мая 2005 12:33 · Личное сообщение · #14 WELL пишет: Лучше так: 0056756B 75 00 JNZ SHORT 0056757D Разницы не вижу. |
|
|
Создано: 19 мая 2005 12:40 · Личное сообщение · #15 NIKOLA пишет: Разницы не вижу. 1 байт, это как бы круто (хотя и медленнее, если это можно измерить )
----- Всем привет, я вернулся |
|
|
Создано: 19 мая 2005 13:41 · Личное сообщение · #16 Bitfry пишет: 1 байт, это как бы круто угу =) имхо чем меньше байт пропатчено, тем эстетичнее =) |
|
|
Создано: 19 мая 2005 15:08 · Личное сообщение · #17 WELL пишет: чем меньше байт пропатчено, тем эстетичнее А в проге ковырятся- это эстетично ? |
|
|
Создано: 20 мая 2005 19:36 · Личное сообщение · #18 Я бы даже сказал, один бит
|
|
eXeL@B —› Основной форум —› UPX ли обрабоана прога ? |
Для печати