Чем упакована dll?

Сейчас на форуме: YDS, _MBK_, user99 (+9 невидимых)

Посл.ответ	Сообщение
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 января 2006 18:06 · Личное сообщение · #1 Доброго времени суток. Имеется dll-ка с одного игрового сервера. Длл нестандартная, то есть стандартными программами из нее извлечь нужную инфу не получается. slil.ru/22497576 PEiD говорит - Nothing Found CrypTool попробовал, но там слишком много всего, и думаю, это все же не то. Оригинальный размер этой длл-ки должен быть в районе 7 мб, сейчас же она весит 1,6. Подскажите советом (как узнать?) или - буду признателен - скажите, чем она запакована и как можно распаковать, чтобы она была стандартного размера. Спасибо заранее.

Mario555 Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•	Создано: 05 января 2006 19:43 · Личное сообщение · #2 Имена секций в студию и немного кода с ЕР. (ц) Ara ибо уже надоело писать такую фразу... надо её чтоли в правила форума добавить )
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 января 2006 19:52 · Личное сообщение · #3 Имена - .text .rsrc .reloc А вот насчет немного кода с EP - небольшая проблема ) Я задизассемблил кое-как этот dll, и в entry point 1432C050 EntryPoint: 1432C050 mov eax,L1432CF90 1432C055 push eax 1432C056 push fs:[00000000h] 1432C05D mov fs:[00000000h],esp 1432C064 xor eax,eax 1432C066 mov [eax],ecx 1432C068 push eax 1432C069 inc ebp 1432C06A inc ebx 1432C06B outsd 1432C06C insd 1432C06D jo L1432C0D0 1432C06F db 63h; 'c' 1432C070 db 74h; 't' 1432C071 db 32h; '2' 1432C072 db 00h; 1432C073 db 00h; Это то, что надо? Если нет, скажите, какой прогой доставать, плз
Runtime_err0r Ранг: 60.7 (постоянный), 12thx Активность: 0.04↘0 Статус: Участник KpTeaM	Создано: 05 января 2006 21:05 · Личное сообщение · #4 Похоже на PeCompact 2.x ... а QuickUnpack'ом не пробывал распаковать ?
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 января 2006 21:58 · Личное сообщение · #5 Quick Unpack v1.0 for Windows 2000/XP/2003/Vista (c) stripper engines by syd (c) code by FEUERRADER [AHTeam] 21:50:58 - Opened Engine.dll Quick self analyze.... PECompact 2.xx PESniffer EP Scan: PECompact v2.xx Running module: first pass... 21:51:02 - Target loaded at 0x10300000 0x7C800000 - module kernel32 loaded 0x77D40000 - module user32 loaded 0x7C800000 - module kernel32.dll loaded Похоже, то, что надо! Послушай, только я не пойму, куда он его распаковал. Если есть, скинь куда-нибудь ссылку на quick unpack поновее. Потому что этот какой-то странный, а другого в инете не нашел, одни серийники да кейгены для новых QUnpack.
Runtime_err0r Ранг: 60.7 (постоянный), 12thx Активность: 0.04↘0 Статус: Участник KpTeaM	Создано: 05 января 2006 22:27 · Личное сообщение · #6 http://www.exelab.ru/f/action=vthread&forum=1&topic=2773
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 05 января 2006 22:33 · Личное сообщение · #7 Knave пишет: одни серийники да кейгены для новых QUnpack. ЛОЛ, он стал шароварным? =)
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 января 2006 23:03 · Личное сообщение · #8 Да может плагиатят, хрен его знает )) В общем, разобрался тут, как она должна работать - когда вывелось все то, что я написал выше (0x7C800000 - module kernel32.dll loaded), нажал "Kill target", и он мне сохранил после second pass файл Engine___.dll Но вот вопрос)) Распакованный он стал занимать меньше, чем был запакованный. Я в принципе ламобот, и этого не скрываю )) но подскажите пожалуйста, что мне теперь с этим чудом делать? Может быть, тот запаковщик, которым по умолчанию пакуют длл-ки в этой игре, сделает из 1,6 мб -> 7 мб? Или это нереально? Дело в том, что я не знаю, что мне собственно с этой распакованной библиотекой делать =)
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 января 2006 23:16 · Личное сообщение · #9 Кстати, PEiD сказал, что Nothing found - про "распакованный файл Engine___.dll" То есть как-то кривовато я его анпакнул, похоже
intty Ранг: 122.3 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 06 января 2006 00:16 · Поправил: intty · Личное сообщение · #10 Knave: не обязательно криво, если "Nothing found" PEiD многие компиляторы не определяет. ресурсы нужные и код нормально видишь? значит все ок. >>Дело в том, что я не знаю, что мне собственно с этой распакованной библиотекой делать ну тогда это уже клинический случай. смысл был расспаковывать?
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 января 2006 00:50 · Личное сообщение · #11 Изначально смысл распаковки я видел в том, что файл станет стандартным (по размеру и структуре), и к нему можно будет применить стандартную программу для выяснения ключа. А сейчас, когда вот так вот распаковалось, я не знаю, что сделать дальше (( Мда, бред, сам вижу. Не спрашивать же "а что обычно делают с распакованными длл-ками?", хотя именно это и хочется спросить ))
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 января 2006 21:55 · Личное сообщение · #12 Господа, появилась новая информация. Дело в том, что quick unpack неправильно распаковал длл-ку. Запакована длл была не просто pecompact 2.x.x, а модификацией pecompact (причем модификацией индвидуальной, такой по идее нигде больше нет, т.к. человек, который этим занимался, работал в проекте по созданию pecompact). Дайте плз нубу ссылку, как можно распаковать длл вручную, и что потом с ней делать. Буду учиться, может пригодится)) Спасибо.
Runtime_err0r Ранг: 60.7 (постоянный), 12thx Активность: 0.04↘0 Статус: Участник KpTeaM	Создано: 06 января 2006 22:39 · Личное сообщение · #13 Knave Может быть, тебе и не надо её распаковывать, достаточно снять дамп ?
Knave Ранг: 3.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 января 2006 22:49 · Личное сообщение · #14 Runtime_err0r Возможно. Я сделал дамп, получился файлец 64 мегабайта, но вопрос, как оттуда достать токен, остается открытым... Возможно, не судьба. Поэтому и прошу - дайте какую-нибудь инфу а ля "руководство как стать кракером для чайника"))

Для печати