Сейчас на форуме: _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых)

 eXeL@B —› Основной форум —› PKlite32 OEP finder
Посл.ответ Сообщение

Ранг: 77.7 (постоянный), 1thx
Активность: 0.040
Статус: Участник

 Создано: 25 июня 2005 10:46
· Личное сообщение · #1

что-то у меня не получается распаковать dll.
вроде PKlite32 1.1 старый пакер, неужели для него нет автомата распаковки?
что-то я ничего не нашел.
а не получается у меня найти OEP. по этому поводу есть скрипт для оли:

// PKLITE32 1.1 eop finder
// By R@dier 2004
//
var a
findop eip, #E955#
bphws $RESULT, "x"
mov a,$RESULT
run
bphwc a
sti
cmt eip, "This is the entry point"
msg "Arrived at entry point dump anytime"
ret

но олю я не понимаю, а оля не понимает меня.
что такое делает строка findop eip, #E955# ?
растолкуйте плизз необразованному !




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

 Создано: 25 июня 2005 10:59
· Личное сообщение · #2

ufo_maniac пишет:
что такое делает строка findop eip, #E955# ?
найти опкод E955 начиная с адреса, лежащего в eip



Ранг: 200.3 (наставник)
Активность: 0.090
Статус: Участник

 Создано: 25 июня 2005 13:04
· Личное сообщение · #3

если инглиш не понимаеш - взял бы (OllyScript plugin v0.91 by SHaG (перевод DrFits, HyPeR)) хоть корявый перевод, но там описано

-----
Само плывет в pуки только то, что не тонет.


Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

 Создано: 25 июня 2005 18:13
· Личное сообщение · #4

Хмм, вроде бы с пакерами проблем быть не должно никогда. И без разницы, какой дебаггер юзать. Может ссылку можно запостить?



Ранг: 77.7 (постоянный), 1thx
Активность: 0.040
Статус: Участник

 Создано: 25 июня 2005 23:58 · Поправил: ufo_maniac
· Личное сообщение · #5

Ara пишет:
проблем быть не должно
и в старом пакере не может быть ничего нового
//******************** Program Entry Point ********
:10030000 6880000310 push 10030080
:10030005 683F370410 push 1004373F
:1003000A B800000010 mov eax, 10000000
:1003000F 2B44240C sub eax, dword ptr [esp+0C]
:10030013 50 push eax
:10030014 E826370100 call 1004373F
:10030019 E9099EFEFF jmp 10019E27 ; при втором прохождении => OEP

; этот переход первый раз указывает на нулевые байты,
; второй раз - на push ebp, реально на OEP.
; дальше идет всякая лабуда :

:1003001E 40 inc eax

но что за опкод "09 55" ??
DrFits пишет:
если инглиш не понимаеш что там инглиш, я и руссиш не понимаю.
в моей dll такой опкод не встречается нигде и никогда.
потом 09 это первый байт длинного перехода, требующего четырех байт адреса.
что это за 55? ну ладно, пусть это сработало.
"Arrived at entry point dump anytime" ну да, как же. тут уже релоки сыграли.
для экзешника это по барабану, а сдампив тут dll, имеем в дампе довольно экзотическме вещи.
в общем так себе скриптец...
надо лезть в обработчик исключения и трейсить дальше, искать момент когда код распакован, но релоки не применились... это морока.
попробую Dll Rebaser by Dr. Golova применить.
или для пакованной dll это не сработает?


 eXeL@B —› Основной форум —› PKlite32 OEP finder
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати