Здравствуйте!
Первым делом я бы хотел всех поздравить с новым годом и наступающим рождеством.!

Прошу вашей помощи, т.к. окончательно запутался или наткнулся на подводный камень.
Прошу строго не судить я “ЧАЙНИК”. За все жизнь распаковал UPU и NEOLITE, прочитал 12 страниц Дневники чайника. Чтива 0, виток0, и добрался до 8 статьи www.wasm.ru/article.php?article=tbc01

Начну с того, что нашел хорошую программу и решил ей заняться, как первым самостоятельным опытом
Изучил программу (как смог). Узнал что она проверяет код активации, генерирует ID код, проверяет системное время, проверяет защиту программы. Но до этого я так и не добрался (надеюсь что это временный факт). Затем я решил перевести эту программу. Взял редактор ресурсов и открыл прогу. Оказалось что программа запакована! И тут все пошло поехало!
Найти какое либо название паковщика мне не удалось (в коде программы), пробовал разнообразные программы – результат один = никто ничего не знает. По этому решил изучать программу самостоятельно.

В результате чего обнаружил, что все это хозяйство очень сильно напоминает UPX. Решил попробовать распаковать. Поскольку я когда-то сталкивался с ним, и распаковка мне показалась сложной штукой (никто мне сильно не объяснял что и по чем), я написал подробную статью об этом здесь dedmoris.narod.ru/manualunpakupx1.htm В дальнейшем этой же статьей я и пользовался.

Статья разбита на 7 условных частей. И чтобы правильно сформулировать свой вопрос я хочу описать все стадии прохождения распаковки, а потом задам вопрос если никто не возражает! ОК?

1) Нахождение OEP.
Сразу вылезло сообщение “Module … has entry point outside the cod (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when settings breakpoints!” – точка входа вне кода … имейте это ввиду. Это единственное что меня немного расстроило, все остальное как и в статье выше. То есть без поблеем нашел 61 POPAD, бряк … Снова вылазит сообщение по смыслу таое же как и выше, тчк не в секции кода. Жму ОК, F9, и строкой ниже списую адрес у JMP
2) Снятие дампа памяти. Здесь как в статье, все ОК. Пробую запустить дамп не запускается, переводите не переводится (запаковано говорит) – так и должно быть.
3) Восстановление таблицы импорта. Правлю OEP, Ита, джет импорт, фикс. Все как в статье. Все, ОК! Пробую запустить дамп не запускается, переводите не переводится (запаковано говорит) – так и должно быть.
4) Делаем Rebuild программы. Сразу появляется окно “RTL70.bpl не найдена”! Закрываю окно. Иду дальше. Все по статье, все ОК. Пробую запустить дамп ЗАПУСТИЛСЯ, а вот переводите НЕ ПЕРЕВОДИТСЯ (запаковано говорит)!
5) Восстановление ресурсов. Все по статье, все ОК. .rsrc создался!
6) Удаление и восстановление ресурсов. Все по статье, но НЕ все ОК. Опа, а вот тут то и главная проблема! Пробую запустить дамп = “Ошибка при инициализации приложения (0х0000005)”, а вот переводить ПЕРЕВОДИТСЯ (т.е. могу править секцию ресурсов)!
7) Повторное восстановление таблицы импорта. Пробую запустить дамп = “Ошибка при инициализации приложения (0х0000005)”, переводить переводится!

Вот у меня в связи с этим и возникает вопрос. Почему так получается! Ведь на 4 шаге программа работает, только не могу править секцию ресурсов. И наоборот, начиная с 5-го шага, прога не запускается, а секцию ресурсов могу править.

Может кто подскажет где собака поКапалась. В софте, или я неправильно чето делаю (хотя этот способ распаковывал 100% UPX, я статью то понему и писал).
Или же из-за восстановления ресурсов была нарушена защита. А она есть в программе, только я ее пока не нашел, хочу сначала распаковать нормально, а потом в защите колупаться!

| Сообщение посчитали полезным:

что все это хозяйство очень сильно напоминает UPX
А ты проверял PEID ом?

| Сообщение посчитали полезным:

DedMoris пишет:
Снятие дампа памяти. Здесь как в статье, все ОК. Пробую запустить дамп не запускается, переводите не переводится (запаковано говорит) – так и должно быт
Чего-то я не все понял? Что это - "переводите не переводится"?. И почему "запаковано говорит", если
ты уже снял дамп?
DedMoris пишет:
Ошибка при инициализации приложения (0х0000005)”
Возможно, не весь импорт восстановил. Загрузи дамп в Олли и протрассируй до этой ошибки.
В своей статье ты пользовался Peid, а здесь что он показал?

| Сообщение посчитали полезным:

tar4 пишет:
4) Делаем Rebuild программы

Попробуй сначало перестроить ресурсы, а потом Rebuild программы ( я бы не делал Rebuild программы ),
а потом фиксить иат.

| Сообщение посчитали полезным:

cadet - да я пробовал PEiD, при сканировании он пишет Nothing found * Кроме этого у меня много програм которые специально для выяснения того чем запакованно это, но все молчат как партизаны!

tar4 - да дамп сняли но там еще надо импорт востанавливать, для того чтобы упорядочить секци рессурсов, и выровнять их адреса (мы же дамп из памяти снимали)! По этому дампа мало надо восстанавливать импорт. Да и к тому же если невостановить импорт, то прога не будет запускаться на других компьютерах, а только на том на которой был снят дамп!
Peid, а здесь что он показал? - в каком смысле что он показал? Ничего он нипоказал интересного! А от загрузить в ОЛЮ это надо попробовать!
Программа запакованна - есть программы которые могут править секцию рессурсов. С ними хорошо переводить программы на русский язык, я имел в виду это! А вот это какраз и даказывает что в программе неверно размещены секции рессурсов! И мне интерестно почему, кто виноват софт или защита!

NIKOLA - Это писал я, а не tar4 - но всеравно попробую. Всем спасибо!

Меня конечно другое смущает:
1) Olly Debugger Module … has entry point outside the cod (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when settings breakpoints!
2) PE iDentifier RTL70.bpl не найдена
Скажу честно у меня никогда этих ошибок небыло! Но по первому пункту мне кажется что это какая-то защита постаралась!

Всем спасибо, за помощь! Щас ещекрутить буду может получится, а потом отпишусь!

| Сообщение посчитали полезным:

DedMoris, давай ссылку на прогу или выкладывай куда-нить. Так без самой программы ты конкретных советов не получишь.

| Сообщение посчитали полезным:

NIKOLA нахожу ОЕР, снимаю дамп, востанавливаю ресурсы, в LordPE удаляю ресурс rsrc а вставить немогу, новый ресурс = говорит НЕХВАТАЕТ МЕСТА В ЗАГОЛОВКЕ!
Вот проверил. Выбросить Rebuild из этой цепочки нельзя, тогда невозможно почистить секции. Выдает ошибку о нехватке места.

Я вот тут такое нашел! У PEiD-а есть кнопка EXTRA INFORMATION. В этом окне пункт ENTROPY. В нем значение 6.52 (Maybe Packet) - что это. Может это и есть упаковщик?

| Сообщение посчитали полезным:

Mifodix и Все - http:\\dedmorissat.narod.ru\28.exe

| Сообщение посчитали полезным:

Моя ICQ: 333-002-097

| Сообщение посчитали полезным:

DedMoris, мой PeID(version 0.94) показывает, что экзешник запакован "Upack 2.x - 3.x Heuristic Mode -> Dwing". Cегодня ночью или завтра днём попробую распаковать(сейчас времени нет).

| Сообщение посчитали полезным:

DedMoris

У меня каспер выдал:

not-virus:Hoax.Win32.KyivStar.a

А вот описалово нету. Кому интересно:

www.viruslist.com/ru/viruses/encyclopedia?virusid=98264

| Сообщение посчитали полезным:

PEiD 0,93 - EXTRA INFORMATION - ENTROPY = 8.00 (Packed)
PE Snifer 1.06 - Невозможно определить упаковщик

Mifodix - что за PeID(version 0.94) и где его взять! На официальном сайте PeID лежит последняя version 0.93.

| Сообщение посчитали полезным:

NIKOLA пишет:
А вот описалово нету
А что там описывать? ;) Наверняка очередной взломщик интр0нета и генеРАТор карт оплаты имхо ;) я даже качать небуду....

| Сообщение посчитали полезным:

NIKOLA - дело не в том что прогрмма чем-то там занимается, я живу в Москве, а не в Киеве. И у меня нет мобильника киевского.
Мне эта программа нужна как пример. Чтобы нарасчивать умственные способности. Я посчитал что это неочень сложная программа и подойжет для начала обучения. Но последние 4 часа я думаю что начал не с того с чего надо было начинать.

| Сообщение посчитали полезным:

DedMoris пишет:
Вот проверил. Выбросить Rebuild из этой цепочки нельзя, тогда невозможно почистить секции.
данунафиг =) это как раз ребилд уменьшает размеры секций (всё конечно зависит от выставленных опций ребилдера, незная что у тебя там проставлено нельзя говорить о том что делает у тебя ребилд). Вообще говоря ещё и от дампера зависит, и его настроек, например от того включён ли в дампере тот же ребилд (лучше его выключить).
А вот "Повторное восстановление таблицы импорта" - это просто ЛОЛ ;) ты бы хоть до того как писать статью разобрался что и зачем делается.

| Сообщение посчитали полезным:

DedMoris пишет:
что за PeID(version 0.94) и где его взять! На официальном сайте PeID лежит последняя version 0.93.
Это на официальном сайте;) Держи webfile.ru/727064 пароль cracklab . Кстати, ты вообще туда смотришь в пеидэ? Вот где пишеться результат сканирования(см. скрин).

f0a4_screen.jpg.zip

| Сообщение посчитали полезным:

Кстати, DedMoris забыл сказать, Quick Unpack v0.7 влёгкую распаковывает, но после изменения ресурса(а нахрена оно вообще тебе надо?) вылетает ошибка "Ошибка при инициализации приложения (0х0000005)". Ручками распаковать - 10 секунд, однако всёравно вылетает ошибка после изменения ресурсов. Судя по твоему плану распаковки в первом посте, тебе надо отправляться в раздел статьи этого сайта(спасибо, Mario555, а то я что-то не заметил про "второе восстановление импорта") Лучше всего, мне кажется, прочитать статью "Распаковка?... Легко!", но это имхо.

| Сообщение посчитали полезным:

Mifodix - dedmorissat.narod.ru/1.gif
Mario555 - я отвечу попозже мне там все понятно. Кстати на UPX эта схема работает 100%. Я когда статью писал, во первых я по всему форуму инфу соберал, а во вторых когда писал, делал что там написанно

| Сообщение посчитали полезным:

Да распаковываться распаковывается, но не так как надо в этом весь и вопрос! Первое востановление импорта ведет к запуску программы но невозможно работать с секцией ресурсов (недьзя перевести программу допустим на нужный язык). Потом мы чистим секции чтобы получить нормальную чистую секцию без мусора!!! Удаляем все секции и добавляем новую (чистую)!!! А после этого как же невостановить таблицу импорта, если на 1 секцию стало меньше!!! Вот для этого и нужно второй раз востанавливать импорт!

Ребята! Я же сказал что ничего непридумал! Все свои знания я черпал на ЭТОМ форуме и стати читал тоже здесь. Но неодин предложенный способ мне не помог! Пока я когото невстретил здесь и он мне неподсказат все эти 7шагов.

А ну я недоговорил! Вот после первого вост импорта прога работает, а ресурсы нередактируются.
А после второго вост импорта наоборот ресурсы редактируются а прога не запускается!

Вот по этому я сюда и пришел за помощью!

| Сообщение посчитали полезным:

DedMoris пишет:
Mifodix - http://dedmorissat.narod.ru/1.gif http://dedmorissat.narod.ru/1.gif
Качай мой пеидэ с плагинами, ссылка в одном из предыдущих постов и таких проблем у тебя не будет. И всё-таки попробуй распаковать не по своему плану.

| Сообщение посчитали полезным:

DedMoris

[url=http://webfile.ru/727140
]http://webfile.ru/727140
[/url]
Имя файла - 28.rar , размер 258 Кбайт. Файлу присвоен номер 727140, он будет доступен до 10.01.2006
Пароль: cracklab

Распаковка как upx. На ОЕП снял дамп > перестроил ресурсы > вырезал секцию ресурсов >
прикрутил перестроинную секцию рес. > прикрутил иат > поправил Tls Table > поправил оеп.

Забыл, для активации введи любые цифры.

| Сообщение посчитали полезным:

DedMoris пишет:
А ну я недоговорил! Вот после первого вост импорта прога работает, а ресурсы нередактируются.
А после второго вост импорта наоборот ресурсы редактируются а прога не запускается!
гы, ну а зачем тогда первое ? сразу из дампа получи ресурсы, потом отреж .rsrc и поставь полученную, ну а потом уже импорт. Кроме того - можно и после импорта приделать секцию ресурсов (правда ребилдеру ресурсов в этом случае надо будет указать соответствующий целевой оффсет, т.к. изменится адрес директории ресурсов).

| Сообщение посчитали полезным:

NIKOLA - спасибо что ты для меня все сделал. Но это небыло моей целью. Я хочу сам все зделать. Повторюсь, что программа мне ненужно. Я думал что это легкий пример для обучения. Мне нужна практика и какие то основы. По этому давайте до завтра отложим, эту тему. А попробую сам распаковать по твоей технологии. ОК?

Всем спасибо за дискусии и помощь начинающему ЧАЙНИКУ! Хочу всех поздравить с Новым 2006 годом и пожелать всего чего вы сами себе пожелаете в новом году. С наступающим вас рождеством Христовым!

C уважением DedMoris!

| Сообщение посчитали полезным:

Всем огромнийшее спасибо за помощь и наставления в этом нелегком занятии. У меня все получилось. Распаковка прошла успешно. Я испробовал оба способа распаковки и NIKOLA и тот который описывал я.
В результате получилось что способ NIKOLA на несколько килобайт уменшил размер файла по сравнением с моим способом. Выражаю ему огромнейшее уважение.
Причиной ошибки Ошибка при инициализации приложения (0х0000005) стало бональное TSL Table, т.е. при исправлении значения TSL Table в программе PEditor все становится на свои места и все работает нормально.

По сему хочу задать вопрос! Я значение TSL Table содрал у программы NIKOLA. А как самому найти правильное значение?

Выражаю свое почтение и глубочайшее уважение всем участникам данного форума!

| Сообщение посчитали полезным:

DedMoris

Загляни в раздел рар статьи ( распаковка аспака). Я там немного описал,
про тлс табле.

| Сообщение посчитали полезным: