От многих участников форума видел сообщения, что Molebox легко распаковывается, защита примитивная, анпакер написать проще простого, а объяснения как получить не могу. Реально кто-нибудь его ковырял и может ли поделиться советом?

Есть прога, запакована Molebox'ом. Что я делаю. Нашел OEP в ольке, застопорил на нем прогу, сдампил petools'ом.
Дальше выключаю ольку, запускаю прогу, запускаю Imprec, вписываю OEP, нажимаю IAT auto search, он грит все ок, жми "достать импорт". Нажимаю, вся таблица нормально находится, 1247 определенных ф-ии и 11 неопределенных функций. Размер таблицы 13B0 (написано в секции IAT infos needed) и 154e (в разделе New import infos).
Делаю auto trace, он распознает оставшиеся 11 ф-ии. Делаю Fix dump, запускаю пофиксенный дамп - ошибка мля, прога выполнила недопустимую операцию.. Что я делаю не так?

Предыдущую версию проги я каким то чудом распаковал (уже и не помню как исхитрился, путем манипуляций с опциями импрека), она нормально запускалась, а с этой такие вот траблы. Галка Fix EP to OEP в опциях стоит.

Могу скинуть секции, скрины, что нужно будет. Поможете, гуры?

| Сообщение посчитали полезным:

>>Дальше выключаю ольку, запускаю прогу, запускаю Imprec, вписываю OEP, нажимаю IAT auto search..

не нужно закрывать, импрек пускай, стоя на OEP

| Сообщение посчитали полезным:

а кто тебе сказал что импрек распознает апи из молебоксовых переходников (тем более что там не просто мусорные переходники, а модифицированные функции).

PS http://www.exelab.ru/f/action=userinfo&user=1796 - забавно =)
PPS этот Imcaster я где-то уже видел ) непомню только где..

| Сообщение посчитали полезным:

Mario555
Где переходники эти искать? Как выглядят, особые приметы? Туторы по молю есть на русском или на английском? нашел только на испанском, но понимаю с трудом
Насчет переходиков.. Но ведь работало же! Распаковывал предыдущую версию..

>забавно =)



Пы Сы А чем отличаются Cut thunks от Delete thunks в импреке?

intty
А разницы нет, пробовал и так и так, он в обоих случаях находит одно и то же.

| Сообщение посчитали полезным:

Может не в ту сторону ковыряю. Реально требуется всего лишь просмотреть (и желательно продебажить) функцию генерации рег.номера по серийнику. Может не надо мне его для этого распаковывать? В снятом дампе я полноценно могу смотреть рабочий полностью распакованный код, но запустить его увы не получится. Attach to active proсess в ольке не поможет?

Айс ломает ставить спецом..

| Сообщение посчитали полезным:

Может и поможет. Кстати для моля вроде плагин к имреку был. А если функций и немного-11, то можно и руками потрейсить.

| Сообщение посчитали полезным:

synx
Интересно а с какой проги ты снимал молебох таким способом? А статей по нему в сети много!
У китайцев есть по полной версии, правда на китайском! Но код он и у китайцев код! Понять можно !))

| Сообщение посчитали полезным:

Archer
Где плагин взять?
Руками как трейсить, через импрек прямо?

| Сообщение посчитали полезным:

pavka
С этой же. только предыдущей версии.
Ссылки бы кидал. Все что смог найти - на испанском..

| Сообщение посчитали полезным:

synx
Погугли, где-то я его видел, не помню уже, где. Отладчиком, как ещё. Ставишь в Оле New origin here на непонятную функцию и трейсишь пока на АПИ не выйдешь.

| Сообщение посчитали полезным:

www.reversing.be/binaries/articles/20051017235136932.rar

| Сообщение посчитали полезным:

Всем огромное спасибо! Нашел у китайцев скрипт к ольке, который ищет OEP и заодно фиксит IAT (то, что собственно и требовалось). После запуска в ольке в импреке получаем красивый импорт без единой неопознанной ф-ции.

Вот код:
// This script will quickly put you at the OEP And Patch IAT of an MoleBox 2.x EXE.
// Just run it!
var addr

sto
mov addr,esp //

gpa "VirtualProtect","kernel32.dll" //
bp $RESULT
run

bc $RESULT
rtu

find eip,#8901# //
bp $RESULT
run
bc $RESULT
repl eip, #8901#, #9090#, 10 //

bphws addr,"r"
run

sto
bphwc addr
cmt eip,"OEP To Get,Please dumped it,Enjoy!"

| Сообщение посчитали полезным: