FSG 2.0 - eXeL@B

Сейчас на форуме: ==DJ==[ZLO], Magister Yoda, Rio, Dart Raiden, Alf (+5 невидимых)

Посл.ответ	Сообщение
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 11 октября 2004 08:02 · Личное сообщение · #1 Нужна инфа по распоковке FSG 2.0.

Mafia32 Ранг: 0.0 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 11 октября 2004 08:14 · Личное сообщение · #2 NIKOLA Помнится, SLV писал статейку по этому поводу. Щас у него че-то на сайт попасть не могу. Он прочитает, вышлет тебе. А вообще я не понимаю нафига она нужна. Там все достаточно просто. Ты сам ковырял? Есть какие-то вопросы?
GPcH Ранг: 631.1 (!), 62thx Активность: 0.37↘0.01 Статус: Участник Автор VB Decompiler	Создано: 11 октября 2004 08:25 · Личное сообщение · #3 /* ////////////////////////////////////////////////////////////// // FSG 2.0 OEP finder // Author: hacnho/VCT2k4 // Email : hacnho[@]hotmail.com // Website: nhandan.info/hacnho // OS : WinXP Pro, OllyDbg 1.10 Final, OllyScript v0.85 //////////////////////////////////////////////////////////// */ eob Break findop eip, #FF63??# // Find the special signal, this is the JUMP bphws $RESULT, "x" // Set a memory breakpoint on excute run //Run the program Break: bphwc $RESULT //Clear memory breakpoint sti //Step into (F7) an eip // Ctrl+A for Analyze log eip //Logs source to OllyDbg log window. cmt eip, "This is the OEP! Found by hacnho/VCT2k4" //Write a comment MSG "Dumped and fix IAT now! Thanx for using my Script...!" //Show a message ret //Exits script ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!
Man1ac Ранг: 0.0 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 11 октября 2004 09:11 · Личное сообщение · #4 На самом деле всё легко распаковывается. Прыжок на OEP выглядит вот так: 004001CC 40 INC EAX 004001CD 78 F3 JS SHORT RCIC.004001C2 004001CF 75 03 JNZ SHORT RCIC.004001D4 004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C] <-- JMP OEP RVA и SIZE таблицы импорта IMPREC может определить неверно, поэтому нужно руками ввести значения RVA и Size и обрезать левые функции.
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 11 октября 2004 12:58 · Личное сообщение · #5 GPcH Скрипт для Ольки у меня есть, да и ОЕР я сам нашёл. Проблема в востановлении импорта.ImpRec у меня не все функции определяет.Когда стоишь на ОЕР ImpRec определяет только три модуля.После запуска программы опять запускаю ImpRec, те три модуля определённые вначале, кудато пропадают и появляеться только один модуль.Проблема только в этом. Man1ac пишет: RVA и SIZE таблицы импорта IMPREC может определить неверно, поэтому нужно руками ввести значения RVA и Size и обрезать левые функции. Таблицу импорта я нашёл в дампе.Когда прописываю RVA и SIZE в ImpREC он почемуто вставляет свои данные.И нехрена у меня не получаеться.Если есть у кого какаянибуть инфа скинте на мыло плиз. nikolaekb[dog]pochta.ru
Mafia32 Ранг: 0.0 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 11 октября 2004 13:08 · Личное сообщение · #6 NIKOLA Импрек вставляет свои данные, потому что ты вписываешь RVA и нажимаешь IAT AutoSearch, надо сразу - GetImports. SIZE можешь не прописывать, только правильно вычисленные, например в FLC из LordPE RVA по offset.
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 11 октября 2004 13:56 · Личное сообщение · #7 Попробую.Но всёравно инфа не помешает.
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 11 октября 2004 14:28 · Личное сообщение · #8 Если кто желает поиследовать вот урла.Размер 620 Кб. download.kristanix.com/getfile.php?fileid=5
XPiS Ранг: 2.2 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 11 октября 2004 17:14 · Личное сообщение · #9 Дайте линк на fsg 2 в приват, плз
WELL Ранг: 266.8 (наставник), 5thx Активность: 0.22↘0.03 Статус: Участник very WELL :)	Создано: 11 октября 2004 22:59 · Личное сообщение · #10 protools.anticrack.de/files/packers/fsg.zip

Для печати