Пытаюсь распаковать прогу под Softwrap по статье, которую выложил Биша в это топике: http://www.exelab.ru/f/action=vthread&topic=2659&forum=1&p age=-1

Прога Linx 5.7 Build 3250 (триал 25 дней):
http://download.canciu.net/linx_setup.exe [2 Mб]

Сдампил на ОЕР. Сдампил регионы трех секций (как в статье) и прикрутил их к дампу.
Восстановил импорт Импреком. И пытаюсь поправить адерса в секции xlok.
Вроде все поправил, но прога блин падает при запуске.
не пойму что не так сделал

В распаковке я не силен. Может кто глянет?

| Сообщение посчитали полезным:

Делал Dump regions по адресам:
00BD0000
00C20000
00C10000

Это то?

| Сообщение посчитали полезным:

Вообще подозреваю, что просто я не все указатели на адреса новых секций исправил.
Но вроде все какие нашел - поправил...

| Сообщение посчитали полезным:

Прога падает на строчке

00BD002B 8B0487 MOV EAX,DWORD PTR DS:[EDI+EAX*4]

В оригинале там
DS:[00C20B58]=00300033
EAX=000002D6

А в дампе пусто...

| Сообщение посчитали полезным:

В общем точно где-то что-то осталось со старыми адресами.

Думаю для спецов по анпаку труда не составит, раз даже я почти до конца дошел

| Сообщение посчитали полезным:

может это поможет? три предпоследних ссылки

www.jbfonline.net/sndtuts/dir=1-Packers%20%2B%20Unpacking%20Tutorials/

| Сообщение посчитали полезным:

Спасибо, почитаю.
А прогу никто не смотрел?

| Сообщение посчитали полезным:

WELL так вроде в этом классе и лучще проги есть

| Сообщение посчитали полезным:

Так мне распаковать охота. Сама прога мне не нужна.

Собственно вся загвоздка вот в таком коде:
00C30082 35 363AD3C1 XOR EAX,C1D33A36
00C30087 50 PUSH EAX
00C30088 8A00 MOV AL,BYTE PTR DS:[EAX]

В оригинале ксорятся норальные значения и все расшифровывается, а у меня хрень какая-то

| Сообщение посчитали полезным:

Мдя блин. Попробю тогда лоадер написать.
Хотя вроде так все просто - восстановить импорт и все...

| Сообщение посчитали полезным:

лоадер?
а тутор кто будет делать

| Сообщение посчитали полезным:

Так вот если бы распаковал...

| Сообщение посчитали полезным:

WELL
Имхо способ Моралеса проще! Посмотри на snd тутор Лены или на краклатинос оригинал!

| Сообщение посчитали полезным:

pavka пишет:
Имхо способ Моралеса проще! Посмотри на snd тутор Лены или на краклатинос оригинал!
Не понял ни слова
Урл есть?

| Сообщение посчитали полезным:

WELL, та ссылка, что я дал ведет на тутор лены из snd

| Сообщение посчитали полезным:

Понятно.

| Сообщение посчитали полезным:

В принципе если не заморачиватся можно сделать проще за минимум времени примерно вот так не красиво но очень быстро Лениво было восстанавливать каллы и джампы!
Вроде все и так работает!
rapidshare.de/files/36801318/dump_.rar

| Сообщение посчитали полезным:

pavka
и красиво и быстро и лениво - но не работает (по крайней мере у меня , мож у меня комп с системой ненормальные?)

| Сообщение посчитали полезным:

r99 пишет:
но не работает (по крайней мере у меня , мож у меня комп с системой ненормальные?)
Странно слышать такое от такого продвинутого реверсера! Что конкретно не работает? Где в каком месте падает?
Изначально у меня эта фигня не распакованая к примеру не запускалась висла в цикле вот в этом месте
005E53D2 3B5424 04 CMP EDX,DWORD PTR SS:[ESP+4]
005E53D6 EB 09 JMP SHORT Linx.005E53E1<--------------- пришлось джампить
005E53D8 3B0424 CMP EAX,DWORD PTR SS:[ESP]
005E53DB 5A POP EDX
005E53DC 58 POP EAX
005E53DD ^ 73 CD JNB SHORT Linx.005E53AC
005E53DF EB 04 JMP SHORT Linx.005E53E5
005E53E1 5A POP EDX
005E53E2 58 POP EAX
005E53E3 90 NOP<----------------------------------здесь нопить иначе попадала в цикл
005E53E4 90 NOP
005E53E5 A1 78A45E00 MOV EAX,DWORD PTR DS:[5EA478]
На Xp SP2 запускается нормально закладки импортирует сохраняет хотя я силньно не тестил!

| Сообщение посчитали полезным:

r99
Падает дамп у тебя вот здесь?
00BE1FCE 8BFF MOV EDI,EDI ; ntdll.7C910738
00BE1FD0 55 PUSH EBP
00BE1FD1 8BEC MOV EBP,ESP
00BE1FD3 837D 08 00 CMP DWORD PTR SS:[EBP+8],0
00BE1FD7 - 0F84 6F95C27B JE kernel32.7C80B54C<----------------------------- у тебя kernel32 по другим адр.
00BE1FDD FF75 08 PUSH DWORD PTR SS:[EBP+8]
00BE1FE0 68 3CB5807C PUSH 7C80B53C
00BE1FE5 8BFF MOV EDI,EDI
00BE1FE7 55 PUSH EBP
00BE1FE8 8BEC MOV EBP,ESP
00BE1FEA 51 PUSH ECX
Прот формирует импорт под ось на которой запускается! Как ни прискорбно но за пару минут можно снять его для конкретной оси!
В принципе в том дампе импорт востановлен полноценно нужно только восстановить каллы и джампы
Или сними сам на своей оси это действительно займет не больше пары минут!

| Сообщение посчитали полезным:

Нафига его распаковывать то вообще - есть же метода по созданию лоадера.
Есть Универсальный лоадер -регистратор для версии 6-7

pavka пишет:
Прот формирует импорт под ось на которой запускается!

Как тогда в заумных туторах его распаковывали ? (Хотя там только были проги на VB )

Можешь помочь со старыми версиями прота? (Если конечно разбирался с ними) Есть неплохие игры - нужен любой способ борьбы.
И кстати, извини за прошлую перебранку (в старой теме) - отношения выяснять не хочется, есть более важные и нужные дела.

| Сообщение посчитали полезным:

Soft_Ice пишет:
Нафига его распаковывать то вообще - есть же метода по созданию лоадера.
Есть Универсальный лоадер -регистратор для версии 6-7
Выложи этот лоадер.
Я вот по тутору одному тоже типа универсальный лоадер сделал. Только работает он только у меня.
А насчет нафига распаковывать - тут ты не прав. Распакованная прога получше лоадера будет.

| Сообщение посчитали полезным:

pavka пишет:
rapidshare.de/files/36801318/dump_.rar
У меня тоже не работает.

pavka пишет:
Падает дамп у тебя вот здесь?
00BE1FCE 8BFF MOV EDI,EDI ; ntdll.7C910738
00BE1FD0 55 PUSH EBP
00BE1FD1 8BEC MOV EBP,ESP
00BE1FD3 837D 08 00 CMP DWORD PTR SS:[EBP+8],0
00BE1FD7 - 0F84 6F95C27B JE kernel32.7C80B54C<----------------------------- у тебя kernel32 по другим адр.
00BE1FDD FF75 08 PUSH DWORD PTR SS:[EBP+8]
00BE1FE0 68 3CB5807C PUSH 7C80B53C
00BE1FE5 8BFF MOV EDI,EDI
00BE1FE7 55 PUSH EBP
00BE1FE8 8BEC MOV EBP,ESP
00BE1FEA 51 PUSH ECX
Прот формирует импорт под ось на которой запускается! Как ни прискорбно но за пару минут можно снять его для конкретной оси!
В принципе в том дампе импорт востановлен полноценно нужно только восстановить каллы и джампы
Или сними сам на своей оси это действительно займет не больше пары минут!

Я вот тоже с кернелом боролся. Отлаживал запакованную и дамп одновременно.
Хотя у меня даже для моей оси не получилось нормально снять.
И лоадер только на моей винде работает...
Неужели никак универсально нельзя сделать?

| Сообщение посчитали полезным:

А после
006B2082 35 363AD3C1 XOR EAX,C1D33A36
006B2087 50 PUSH EAX

У всех в ЕАХ правильное значение? У меня старый адрес.

| Сообщение посчитали полезным:

WELL пишет:
У всех в ЕАХ правильное значение? У меня старый адрес
Ты не те регионы памяти прикрутил! Запусти на ОЕП OllyDbg Pedumper выбери в карте памяти нужные регионы, посмотри у меня в дампе какие, поставь все галки в настройках и сдампь! И не нужно ни чего править адресса все будут нормальные! Импорт можно не восстанавливать просто скопируй с оригинальной ИАТ и замени в дампе адресса функций!
И все дамп на твоей машине должен запустится!
Если полноцнно хочешь распаковать! То в том дампе иат проги я восстановил нужно толко переделать ну к примеру
00406DB4 FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015 <-jmp GetModuleHandleA
00406DBA 8BC0 MOV EAX,EAX
00406DBC FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015
00406DC2 8BC0 MOV EAX,EAX
00406DC4 FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015
00406DCA 8BC0 MOV EAX,EAX
00406DCC FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015
И т.д
Если в двух словах то Моралес инжектит код и восстанавливает все переходы! Все это в принципе есть в туторе Лены к тому же есть екзешник с кодом для инжекта!

| Сообщение посчитали полезным:

А скрипт не пытались накатать? Я так быстренько глянул, там вроде всё просто, зачем дампить регионы? Или вы не про импорт?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
зачем дампить регионы?
Слишком уж сладкий вариант снять побыстрому!
Иат не сложно переадресовать в любое свободное место
0068C81E > \F6C3 02 test bl,2
0068C821 . 74 21 je short Linx.0068C844
0068C823 . FFB5 DF1C0000 push dword ptr ss:[ebp+1CDF]
0068C829 . 6A 10 push 10 ; /Arg4 = 00000010
0068C82B . 50 push eax ; |Arg3
0068C82C . FFB5 DF1C0000 push dword ptr ss:[ebp+1CDF]
на
0068C81E 3A0D A8E25E00 cmp cl,byte ptr ds:[5EE2A8]
0068C824 74 0E je short Linx.0068C834
0068C826 FE05 A8E25E00 inc byte ptr ds:[5EE2A8]
0068C82C 66:8305 ACE25E00 04 add word ptr ds:[5EE2AC],4
0068C834 8B1D ACE25E00 mov ebx,dword ptr ds:[5EE2AC]
0068C83A 8903 mov dword ptr ds:[ebx],eax
0068C83C 66:8305 ACE25E00 04 add word ptr ds:[5EE2AC],4

там вся возня с переходниками!

| Сообщение посчитали полезным:

ХМ, ну этот вариант заранее проигрышный. ИДА в дампе импорт не покажет, работать будед только на твоей платформе, только если без конверта потрэйсить и инлайнер накатать. Всё это ИМХО конечно...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

pavka пишет:
Если в двух словах то Моралес инжектит код и восстанавливает все переходы! Все это в принципе есть в туторе Лены к тому же есть екзешник с кодом для инжекта!
CodeTemplate.exe? Что-то я не понял как им пользоваться.

| Сообщение посчитали полезным:

а сам прот где-нибудь есть в инете?
обыскался

| Сообщение посчитали полезным: