Подскажите, есть сетап состоящий из 2-х частей: собственно модуль инсталлера упакованных upx-ом и приделанный оверлеем файл данных. Хочется распаковать модуль и приделать к нему оверлей обратно. Как можно это сделать? Простое бинарное копирование не помогает. Видимо нужно где-то еще подправить адреса. На форуме подобный вопрос был но остался без ответа. Помогите.
Спасибо.

| Сообщение посчитали полезным:

отодарать у оригинального, распаковать, прикрепить обратно

а upx -d не катит?

| Сообщение посчитали полезным:

Вопрос не понят. Я спрашиваю как прикрепить обратно. Что я сделал: Отодрал, распаковал, попробовал сделать copy /B unpmod.exe + data.dat newmod.exe - непрокатило, не находит данных.
Вопрос: что еще нужно подправить чтобы находил?

| Сообщение посчитали полезным:

jfx
лови CreateFileA на свой исполняемый файл и смотри по какому смещению пытается прочитать, потом либо правь адреса либо двигай оверлей

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

по идее для оверлея не важно смещение, только если прога спецом не делает проверки, главное чтоб он находился сразу за последней секцией файла

| Сообщение посчитали полезным:

Возможно что после распаковки некорректно прописались размеры секций? Может такое быть?

| Сообщение посчитали полезным:

зависит от того, наверно, как ты распаковывал, upx -d или вручную под дебаггером

| Сообщение посчитали полезным:

jfx пишет:
Что я сделал: Отодрал, распаковал, попробовал сделать copy /B unpmod.exe + data.dat newmod.exe - непрокатило, не находит данных.
Распакованный экзе на совпадает с оригинальным - присутствует секция распаковщика. Поэтому и не прокатит. Зачем мучиться : либо засунь в ресурсы, либо работай просто как с файлом - ты ведь все равно оверлей отдельным файлом в дистре держать будешь.

| Сообщение посчитали полезным:

буквально на днях ломал коалаплейр, там тоже распаковываешь инстал и клеишь оверлей, но не работало.. забил ибо кейген писался легко и просто

| Сообщение посчитали полезным:

Суть проблемы немного глубже (вопрос уже поднимался и решение было найдено, просто сейчас это решение не работает, поэтом ищутся другие пути).
Есть инсталлер DXperience - .NET компоненты то DevExpress. Инсталлер лежит одним файлом, состоит из модуля на Delphi упакованного UPX-ом и оверлея - запароленного RAR архива. В ресурсах модуля лежит unrar.dll, она грузится прямо из модуля, без сохранения на диск. Что нужно? В архиве лежат исходники нужных компонентов, нужно их оттуда повыковыривать. Пароль к архиву лежит гдето внутри.
Отступление: К сожалению закейгенить нет возможности, т.к. используется RSA подпись с длинной ключа 400 бит.

Как решалось прошлый раз: Под отладчиком дожидался распаковки модуля, затем в памяти, в ресурсах, до загрузки, в начало процедуры RARSetPassword ставил CCh и запускал дальше. пропатченный unrar.dll грузился в память, откудато вызывался RARSetPassword и собственно останавливался в начале процедуры. Результат - пароль в стеке.

В новой версии так не получается, почему не пойму - под отладчиком валится в ексепшн Причину незнаю. Что хочется: не ковырятся в памяти, а распаковать модуль, пропатчить в файле unrar.dll, приделать обратко rar ну а дальше по старому сценарию.

| Сообщение посчитали полезным:

Блин, ответ лежал на поверхности: они жали upx-ом не сам модуль, а все вместе, модуль и оверлей. Сам upx справился с распаковкой. Затем патчь и запаковка обратно upx-ом дали нужный результат

| Сообщение посчитали полезным:

В ресурсах модуля лежит unrar.dll, она грузится прямо из модуля, без сохранения на диск
Может кому еще интересно будет, вот статья по теме:
_http://www.joachim-bauch.de/tutorials/load_dll_memory.html/en

| Сообщение посчитали полезным:

Дяденьки помогите, а?
Библиотеки лежат в ресурсах, грузятся в память средствами самой проги а не операционки... IDA соответственно ничего про импорт сказать не может... Как бы помочь IDA чтобы она поняла что из этих DLL-ок импортируются функции и расставила бы их названия в теле...
Заранее спасибо.

| Сообщение посчитали полезным:

думаю придется написать скрипт/плагин...

| Сообщение посчитали полезным:

Можно немного поподробней? Я бы и руками порасставлял, их там не много, но вопрос как найти эти вызовы?

| Сообщение посчитали полезным: