 |
eXeL@B —› Основной форум —› Пакер извращающий заголовок файла |
| Посл.ответ | Сообщение |
|
|
Создано: 17 марта 2006 09:32 · Личное сообщение · #1 Уже не в первый раз натыкаюсь на упаковщик с раскуроченным заголовком. olly ругается на неправильный формат файла, ida грузит, но криво, petools постоянно вылетают. Но при этом работает genoepfinder из peid и благодаря этому файл можно распаковать и он будет нормально работать и дизасмиться. В аттаче лежит определялка опций armadillo упакованная таким образом, которую я скачал на этом же форуме, в оригинале и в распакованном мной виде. Распаковывал довольно стандартно: дамп petools'ами, genoeopfinder, imprec. Я буду очень благодарен если кто-нибудь пояснит что это за пакер и как все он работает.  db4b_hzpacker.zip.zip
 |
|
|
Создано: 17 марта 2006 09:39 · Личное сообщение · #2 Ничего сложного, это winupack ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 17 марта 2006 09:43 · Личное сообщение · #3 Heder как у WinUpack или Mew, + hends. А вообще нефиг в чужих релизах копаться, найдешь такую шаравару - тогда выкладывай. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 марта 2006 09:43 · Личное сообщение · #4 Smon обогнал... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 марта 2006 09:49 · Поправил: Valenok Pirojkov · Личное сообщение · #5 Smon пишет: это winupack Спасибо за ответ PE_Kill пишет: А вообще нефиг в чужих релизах копаться Я не копаюсь. У меня привычка пропускать все что попадёться через иду и отладчик чисто из спортивного интереса. Вообще, если так мыслить нефиг проги ломать. В шароварках можно ковыряться, а крякерских приблудах нельзя? |
|
|
Создано: 17 марта 2006 10:16 · Поправил: DrFits · Личное сообщение · #6 Valenok Pirojkov пишет: У меня привычка пропускать все что попадёться через иду и отладчик чисто из спортивного интереса -а привычки знакомится со структурой файлов у тебя нету? Это ведь полезней+отпадают такие вопросы ----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 17 марта 2006 10:26 · Личное сообщение · #7 DrFits пишет: а привычки знакомится со структурой файлов у тебя нету? Это ведь полезней+отпадают такие вопросы Я перед тем как задавать вопрос ковырялся в пе формате уйму времени. Я невъехал почему ида высчитывает точку входа на начало импорта который запихан в заголовок, а виндозный загрузчик запускает файл нормально |
|
|
Создано: 17 марта 2006 10:42 · Личное сообщение · #8 Valenok Pirojkov пишет: Я невъехал почему ида высчитывает точку входа на начало импорта который запихан в заголовок Всё нормально ида высчитывает 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 17 марта 2006 10:50 · Личное сообщение · #9 PS______:00401018 PS______:00401018 public start PS______:00401018 start: PS______:00401018 or eax, [ecx] PS______:0040101A dec esp PS______:0040101B outsd PS______:0040101C popa PS______:0040101D db 64h PS______:0040101D dec esp PS______:0040101F imul esp, [edx+72h], 41797261h А это тогда что? |
|
|
Создано: 17 марта 2006 10:55 · Поправил: Smon · Личное сообщение · #10 Valenok Pirojkov Открываю отладчиком (OllyDbg): 00401018 MOV ESI,945d_Arm.004011B0 0040101D LODS DWORD PTR DS:[ESI] 0040101E PUSH EAX 0040101F PUSH DWORD PTR DS:[ESI+34] 00401022 JMP SHORT 945d_Arm.004010A0 Открываю дизасмом (IDA): PS______:00401018 public start PS______:00401018 start proc near PS______:00401018 PS______:00401018 ; FUNCTION CHUNK AT seg003:0040CE7B SIZE 00000114 BYTES PS______:00401018 PS______:00401018 mov esi, offset off_4011B0 PS______:0040101D lodsd PS______:0040101E push eax PS______:0040101F push dword ptr [esi+34h] PS______:00401022 jmp short loc_4010A0 Что же касается заголовка - то некоторое обсуждение уже было тут : http://www.exelab.ru/f/action=vthread&forum=3&topic=4030 ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 17 марта 2006 11:11 · Личное сообщение · #11 У меня ида 4.8 и точку чисто интуитивно определил вот как: ; ---------------------------------------------------------------------- ----- PS______:00401008 mov esi, 4011B0h PS______:0040100D lodsd PS______:0040100E push eax PS______:0040100F push dword ptr [esi+34h] PS______:00401012 jmp short near ptr dword_401080+10h PS______:00401012 ; ---------------------------------------------------------------------- ----- PS______:00401014 db 48h ; H PS______:00401015 db 1 PS______:00401016 db 0Fh PS______:00401017 db 1 PS______:00401018 ; ---------------------------------------------------------------------- ----- PS______:00401018 PS______:00401018 public start PS______:00401018 start: PS______:00401018 or eax, [ecx] PS______:0040101A dec esp PS______:0040101B outsd PS______:0040101C popa PS______:0040101D db 64h PS______:0040101D dec esp PS______:0040101F imul esp, [edx+72h], 41797261h А olly ругается на кривой файл, запускает его, тот нормально работает но отлаживать нельзя т.к. olly лезет в дебри ntdll.dll |
|
|
Создано: 17 марта 2006 15:05 · Личное сообщение · #12 для OllyDbg есть патч и плагин OllyAdvanced от Marcus/SnD помогает. ----- EnJoy! |
|
|
Создано: 18 марта 2006 18:22 · Личное сообщение · #13 Jupiter пишет: для OllyDbg есть патч и плагин OllyAdvanced спасибо помогло |
|
|
Создано: 18 марта 2006 19:04 · Личное сообщение · #14 vir-detective.be/?p=7 |
|
|
Создано: 18 марта 2006 19:31 · Личное сообщение · #15 dMNt Не востанавливает ресурсы этот анпакер ;( |
|
|
Создано: 18 марта 2006 20:21 · Личное сообщение · #16 Red Bar0n пишет: dMNt Не востанавливает ресурсы этот анпакер ;( могу кривые сорсы отдать, доделаешь если хочешь =) |
|
eXeL@B —› Основной форум —› Пакер извращающий заголовок файла |
Для печати