Сейчас на форуме: Slinger, Rio (+4 невидимых)

 eXeL@B —› Основной форум —› Распаковка Softwrap
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 12 октября 2006 23:00
· Личное сообщение · #1

Пытаюсь распаковать прогу под Softwrap по статье, которую выложил Биша в это топике: http://www.exelab.ru/f/action=vthread&topic=2659&forum=1&p age=-1

Прога Linx 5.7 Build 3250 (триал 25 дней):
http://download.canciu.net/linx_setup.exe [2 Mб]

Сдампил на ОЕР. Сдампил регионы трех секций (как в статье) и прикрутил их к дампу.
Восстановил импорт Импреком. И пытаюсь поправить адерса в секции xlok.
Вроде все поправил, но прога блин падает при запуске.
не пойму что не так сделал

В распаковке я не силен. Может кто глянет?




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 12 октября 2006 23:02
· Личное сообщение · #2

Делал Dump regions по адресам:
00BD0000
00C20000
00C10000

Это то?




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 12 октября 2006 23:08
· Личное сообщение · #3

Вообще подозреваю, что просто я не все указатели на адреса новых секций исправил.
Но вроде все какие нашел - поправил...




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 12 октября 2006 23:25
· Личное сообщение · #4

Прога падает на строчке

00BD002B 8B0487 MOV EAX,DWORD PTR DS:[EDI+EAX*4]

В оригинале там
DS:[00C20B58]=00300033
EAX=000002D6

А в дампе пусто...




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 13 октября 2006 00:16
· Личное сообщение · #5

В общем точно где-то что-то осталось со старыми адресами.

Думаю для спецов по анпаку труда не составит, раз даже я почти до конца дошел



Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 13 октября 2006 01:54
· Личное сообщение · #6

может это поможет? три предпоследних ссылки

www.jbfonline.net/sndtuts/dir=1-Packers%20%2B%20Unpacking%20Tutorials/




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 13 октября 2006 05:08
· Личное сообщение · #7

Спасибо, почитаю.
А прогу никто не смотрел?




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 13 октября 2006 06:47
· Личное сообщение · #8

WELL так вроде в этом классе и лучще проги есть




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 13 октября 2006 07:04
· Личное сообщение · #9

Так мне распаковать охота. Сама прога мне не нужна.

Собственно вся загвоздка вот в таком коде:
00C30082 35 363AD3C1 XOR EAX,C1D33A36
00C30087 50 PUSH EAX
00C30088 8A00 MOV AL,BYTE PTR DS:[EAX]


В оригинале ксорятся норальные значения и все расшифровывается, а у меня хрень какая-то




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 13 октября 2006 07:52
· Личное сообщение · #10

Мдя блин. Попробю тогда лоадер написать.
Хотя вроде так все просто - восстановить импорт и все...




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 13 октября 2006 08:16
· Личное сообщение · #11

лоадер?
а тутор кто будет делать




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 13 октября 2006 18:06
· Личное сообщение · #12

Так вот если бы распаковал...



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 14 октября 2006 01:41
· Личное сообщение · #13

WELL
Имхо способ Моралеса проще! Посмотри на snd тутор Лены или на краклатинос оригинал!




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 октября 2006 04:23
· Личное сообщение · #14

pavka пишет:
Имхо способ Моралеса проще! Посмотри на snd тутор Лены или на краклатинос оригинал!

Не понял ни слова
Урл есть?



Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 14 октября 2006 05:32
· Личное сообщение · #15

WELL, та ссылка, что я дал ведет на тутор лены из snd




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 октября 2006 18:59
· Личное сообщение · #16

Понятно.



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 15 октября 2006 00:34
· Личное сообщение · #17

В принципе если не заморачиватся можно сделать проще за минимум времени примерно вот так не красиво но очень быстро Лениво было восстанавливать каллы и джампы!
Вроде все и так работает!
rapidshare.de/files/36801318/dump_.rar




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 15 октября 2006 04:07
· Личное сообщение · #18

pavka
и красиво и быстро и лениво - но не работает (по крайней мере у меня , мож у меня комп с системой ненормальные?)



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 15 октября 2006 05:58
· Личное сообщение · #19

r99 пишет:
но не работает (по крайней мере у меня , мож у меня комп с системой ненормальные?)

Странно слышать такое от такого продвинутого реверсера! Что конкретно не работает? Где в каком месте падает?
Изначально у меня эта фигня не распакованая к примеру не запускалась висла в цикле вот в этом месте
005E53D2 3B5424 04 CMP EDX,DWORD PTR SS:[ESP+4]
005E53D6 EB 09 JMP SHORT Linx.005E53E1<--------------- пришлось джампить
005E53D8 3B0424 CMP EAX,DWORD PTR SS:[ESP]
005E53DB 5A POP EDX
005E53DC 58 POP EAX
005E53DD ^ 73 CD JNB SHORT Linx.005E53AC
005E53DF EB 04 JMP SHORT Linx.005E53E5
005E53E1 5A POP EDX
005E53E2 58 POP EAX
005E53E3 90 NOP<----------------------------------здесь нопить иначе попадала в цикл
005E53E4 90 NOP
005E53E5 A1 78A45E00 MOV EAX,DWORD PTR DS:[5EA478]
На Xp SP2 запускается нормально закладки импортирует сохраняет хотя я силньно не тестил!



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 15 октября 2006 08:16
· Личное сообщение · #20

r99
Падает дамп у тебя вот здесь?
00BE1FCE 8BFF MOV EDI,EDI ; ntdll.7C910738
00BE1FD0 55 PUSH EBP
00BE1FD1 8BEC MOV EBP,ESP
00BE1FD3 837D 08 00 CMP DWORD PTR SS:[EBP+8],0
00BE1FD7 - 0F84 6F95C27B JE kernel32.7C80B54C<----------------------------- у тебя kernel32 по другим адр.
00BE1FDD FF75 08 PUSH DWORD PTR SS:[EBP+8]
00BE1FE0 68 3CB5807C PUSH 7C80B53C
00BE1FE5 8BFF MOV EDI,EDI
00BE1FE7 55 PUSH EBP
00BE1FE8 8BEC MOV EBP,ESP
00BE1FEA 51 PUSH ECX
Прот формирует импорт под ось на которой запускается! Как ни прискорбно но за пару минут можно снять его для конкретной оси!
В принципе в том дампе импорт востановлен полноценно нужно только восстановить каллы и джампы
Или сними сам на своей оси это действительно займет не больше пары минут!



Ранг: 74.0 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 15 октября 2006 16:13 · Поправил: Soft_Ice
· Личное сообщение · #21

Нафига его распаковывать то вообще - есть же метода по созданию лоадера.
Есть Универсальный лоадер -регистратор для версии 6-7

pavka пишет:
Прот формирует импорт под ось на которой запускается!


Как тогда в заумных туторах его распаковывали ? (Хотя там только были проги на VB )

Можешь помочь со старыми версиями прота? (Если конечно разбирался с ними) Есть неплохие игры - нужен любой способ борьбы.
И кстати, извини за прошлую перебранку (в старой теме) - отношения выяснять не хочется, есть более важные и нужные дела.




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 15 октября 2006 16:48
· Личное сообщение · #22

Soft_Ice пишет:
Нафига его распаковывать то вообще - есть же метода по созданию лоадера.
Есть Универсальный лоадер -регистратор для версии 6-7

Выложи этот лоадер.
Я вот по тутору одному тоже типа универсальный лоадер сделал. Только работает он только у меня.
А насчет нафига распаковывать - тут ты не прав. Распакованная прога получше лоадера будет.




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 15 октября 2006 17:02
· Личное сообщение · #23

pavka пишет:
rapidshare.de/files/36801318/dump_.rar

У меня тоже не работает.

pavka пишет:
Падает дамп у тебя вот здесь?
00BE1FCE 8BFF MOV EDI,EDI ; ntdll.7C910738
00BE1FD0 55 PUSH EBP
00BE1FD1 8BEC MOV EBP,ESP
00BE1FD3 837D 08 00 CMP DWORD PTR SS:[EBP+8],0
00BE1FD7 - 0F84 6F95C27B JE kernel32.7C80B54C<----------------------------- у тебя kernel32 по другим адр.
00BE1FDD FF75 08 PUSH DWORD PTR SS:[EBP+8]
00BE1FE0 68 3CB5807C PUSH 7C80B53C
00BE1FE5 8BFF MOV EDI,EDI
00BE1FE7 55 PUSH EBP
00BE1FE8 8BEC MOV EBP,ESP
00BE1FEA 51 PUSH ECX
Прот формирует импорт под ось на которой запускается! Как ни прискорбно но за пару минут можно снять его для конкретной оси!
В принципе в том дампе импорт востановлен полноценно нужно только восстановить каллы и джампы
Или сними сам на своей оси это действительно займет не больше пары минут!


Я вот тоже с кернелом боролся. Отлаживал запакованную и дамп одновременно.
Хотя у меня даже для моей оси не получилось нормально снять.
И лоадер только на моей винде работает...
Неужели никак универсально нельзя сделать?




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 15 октября 2006 17:06
· Личное сообщение · #24

А после
006B2082 35 363AD3C1 XOR EAX,C1D33A36
006B2087 50 PUSH EAX

У всех в ЕАХ правильное значение? У меня старый адрес.



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 15 октября 2006 18:54
· Личное сообщение · #25

WELL пишет:
У всех в ЕАХ правильное значение? У меня старый адрес

Ты не те регионы памяти прикрутил! Запусти на ОЕП OllyDbg Pedumper выбери в карте памяти нужные регионы, посмотри у меня в дампе какие, поставь все галки в настройках и сдампь! И не нужно ни чего править адресса все будут нормальные! Импорт можно не восстанавливать просто скопируй с оригинальной ИАТ и замени в дампе адресса функций!
И все дамп на твоей машине должен запустится!
Если полноцнно хочешь распаковать! То в том дампе иат проги я восстановил нужно толко переделать ну к примеру
00406DB4 FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015 <-jmp GetModuleHandleA
00406DBA 8BC0 MOV EAX,EAX
00406DBC FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015
00406DC2 8BC0 MOV EAX,EAX
00406DC4 FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015
00406DCA 8BC0 MOV EAX,EAX
00406DCC FF15 58A06800 CALL DWORD PTR DS:[68A058] ; Linx.0068D015
И т.д
Если в двух словах то Моралес инжектит код и восстанавливает все переходы! Все это в принципе есть в туторе Лены к тому же есть екзешник с кодом для инжекта!




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 15 октября 2006 18:57
· Личное сообщение · #26

А скрипт не пытались накатать? Я так быстренько глянул, там вроде всё просто, зачем дампить регионы? Или вы не про импорт?

-----
Yann Tiersen best and do not fuck




Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 15 октября 2006 19:22
· Личное сообщение · #27

PE_Kill пишет:
зачем дампить регионы?

Слишком уж сладкий вариант снять побыстрому!
Иат не сложно переадресовать в любое свободное место
0068C81E > \F6C3 02 test bl,2
0068C821 . 74 21 je short Linx.0068C844
0068C823 . FFB5 DF1C0000 push dword ptr ss:[ebp+1CDF]
0068C829 . 6A 10 push 10 ; /Arg4 = 00000010
0068C82B . 50 push eax ; |Arg3
0068C82C . FFB5 DF1C0000 push dword ptr ss:[ebp+1CDF]
на
0068C81E 3A0D A8E25E00 cmp cl,byte ptr ds:[5EE2A8]
0068C824 74 0E je short Linx.0068C834
0068C826 FE05 A8E25E00 inc byte ptr ds:[5EE2A8]
0068C82C 66:8305 ACE25E00 04 add word ptr ds:[5EE2AC],4
0068C834 8B1D ACE25E00 mov ebx,dword ptr ds:[5EE2AC]
0068C83A 8903 mov dword ptr ds:[ebx],eax
0068C83C 66:8305 ACE25E00 04 add word ptr ds:[5EE2AC],4

там вся возня с переходниками!




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 15 октября 2006 19:33
· Личное сообщение · #28

ХМ, ну этот вариант заранее проигрышный. ИДА в дампе импорт не покажет, работать будед только на твоей платформе, только если без конверта потрэйсить и инлайнер накатать. Всё это ИМХО конечно...

-----
Yann Tiersen best and do not fuck





Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 15 октября 2006 21:21
· Личное сообщение · #29

pavka пишет:
Если в двух словах то Моралес инжектит код и восстанавливает все переходы! Все это в принципе есть в туторе Лены к тому же есть екзешник с кодом для инжекта!

CodeTemplate.exe? Что-то я не понял как им пользоваться.




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 15 октября 2006 22:25
· Личное сообщение · #30

а сам прот где-нибудь есть в инете?
обыскался


. 1 . 2 . >>
 eXeL@B —› Основной форум —› Распаковка Softwrap
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати