| Сейчас на форуме: subword, rtsgreg1989, zds, _MBK_ (+5 невидимых) |
 |
eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми |
| . 1 . 2 . 3 . 4 . 5 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 28 января 2007 23:24 · Личное сообщение · #1 Небольшая подборка свежих анпакми от немцев . В основном пакеры в несколько слоев ну и больше на сообразительность может кому интересно будет! rapidshare.com/files/13897034/Unpackmee.rar  |
|
|
Создано: 29 января 2007 02:36 · Личное сообщение · #2 MupMe2 херь какая-то, не запускается.. че с ним делать нада? сделать чтобы запустился.. Винда говорит, что мало виртуальной памяти и не запускает ево.. ----- Researcher |
|
|
Создано: 29 января 2007 02:51 · Личное сообщение · #3 У меня просто он "скушал" 1,32 Гб файла подкачки и всё - никаких действий, ни мессаджбоксов ни диалоговых окон .... ни ответа ни привета 
----- все багрепорты - в личные сообщения |
|
|
Создано: 29 января 2007 03:50 · Личное сообщение · #4 |
|
|
Создано: 29 января 2007 04:27 · Личное сообщение · #5 UsAr  Для тебя они слабенькие!
|
|
|
Создано: 29 января 2007 05:23 · Личное сообщение · #6 Обсуждать в этом топике можно или создать новый? к примеру из всех этих я взял unpackme_.exe сразу мессага о том, что пакован MoleBox 2 в эбауте чел говорит, вы удивитесь тому как много я сюда навесил.. я понял, что анпакмис пакован-перепакован.. кто-небудь начал его распаковывать? ----- Researcher |
|
|
Создано: 29 января 2007 05:43 · Личное сообщение · #7 overwriter Там в общем то ничего особо сложного нет извлечь 1 длл ! И вариантов распаковки очень много! Можещь поробовать по слоям а можно и сразу выдернуть! |
|
|
Создано: 29 января 2007 06:24 · Личное сообщение · #8 у меня MupMe2.exe запускается через раз) иногда нормально, а иногда вылетает GPF 0xC0000005 ----- Уважайте других и пишите грамотно. |
|
|
Создано: 29 января 2007 13:40 · Личное сообщение · #9 pavka, пожалуйста / Подскажи какую-небудь литературу.. по ручной распаковке, но ток не такую где описываются переходы на ОЕП для разных пакеров и протекторов, а больше теории и общей.. ну тоесть я не знаю чем паковано но найду ОЕП не зная как выглядит переход. / И еще какую-небудь по написанию дампера. ----- Researcher |
|
|
Создано: 29 января 2007 17:45 · Личное сообщение · #10 overwriter У Мыщха есть статьи по этой теме посмотри у него на сайте! У Нарвахи есть но там все на испанском! |
|
|
Создано: 29 января 2007 21:10 · Личное сообщение · #11 читай упаковщиков - две части.. и думаю в них ты найдешь все ответы =) ----- Тут не могла быть ваша реклама |
|
|
Создано: 29 января 2007 22:56 · Личное сообщение · #12 Спасибо.. pavka помнится недавно искал сайт этого Нарвавахи.. в гугле.. "Richardo Narvaja " и ниче не нашел, дай плз линк. ----- Researcher |
|
|
Создано: 29 января 2007 23:10 · Личное сообщение · #13 overwriter storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/ |
|
|
Создано: 30 января 2007 14:30 · Личное сообщение · #14 lord_Phoenix Все, что хотел не нашел, ибо первая часть теория я ее прочитал ниче по тому, что нада не нашел.. вторая часть нашел еще один способ нахождения ОЕП: прыжок после распаковки всегда будет происходить из области больших адресов в область меньших адресов и того с этим уже три: 1 искать попад, 2 hr esp-4 что-небудь еще подскажите.. как-то нудно искать CreateProcessA и пытаться понимать как он это распаковывает.. тада уж и понимать где ОЕП не трудно Неужели нада учить как выглядят переходы на всех пакерах и протах.. :::? ----- Researcher |
|
|
Создано: 30 января 2007 14:40 · Личное сообщение · #15 Да и прыжок будет происходить так если весь распаковщик в последней секции лоханулся немножко
а анпакмис немецкий стоит.. сколько раз думал, что нашел ОЕП.. дампил а оно се равно не пашет 
----- Researcher |
|
|
Создано: 30 января 2007 18:01 · Личное сообщение · #16 overwriter пишет: 1 искать попад, 2 hr esp-4 что-небудь еще подскажите.. как-то нудно искать CreateProcessA и пытаться понимать как он это распаковывает.. тада уж и понимать где ОЕП не трудно Неужели нада учить как выглядят переходы на всех пакерах и протах.. :::? Не нужно понимать все вот так буквально как руководство к действию! Вообще всегда лучше определить компилятор и действать по ситуации основываясь на особенностях компилятора В случае анпакми с молебоксом там со 100% вероятностью можно назвать оеп даже не заглядывая в распакованый файл так как автор гордо сообшает что написано на чистом ассемблере ;) |
|
|
Создано: 31 января 2007 02:01 · Личное сообщение · #17 К слову сказать, не все файлы в архиве чистые unpackme. Два из них у меня вообще не запустились на чистой (без crack tools) винде. Походу тут надо еще заголовки править, а это никакой нормальный пакер юзера делать не заставит. |
|
|
Создано: 31 января 2007 02:14 · Личное сообщение · #18 Странно это всё! Сначала у усамого не запускались, а теперь начали! 
Незнаю чё за косяк, но ImpRec зависает, когда натравливаеш его на жертву  Зависает на unpackme_.exe и dEFEAT.mE.eXe
OEP 100% правилное! ----- Research For Food |
|
|
Создано: 31 января 2007 03:44 · Личное сообщение · #19 daFix Cам два раза дампил.. не получается.. не знаю правильно ли я нашел ОЕП.. как ты искал.. я из предположения что начальная верхушка стека после распаковки должна остаться верхушкой.. очень похоже на то, что распаковано вже.. но ниче не получилось.. ----- Researcher |
|
|
Создано: 31 января 2007 04:03 · Личное сообщение · #20 daFix Совет ты выдерни их сначала в запакованом виде и все будет ок! |
|
|
Создано: 31 января 2007 04:10 · Личное сообщение · #21 Что делаю : беру адрес вершины стека, и перехожу на этот адрес в дампе (Ctrl+G) и ставлю на на дворд бряк на acess.. жму F9, и вываливается окошко о том, что все паковано МолиБоксом жму Да. Дальше вваливаюсь в Ольку: 00448700 61 POPAD 00448701 58 POP EAX 00448702 58 POP EAX 00448703 FFD0 CALL EAX 00448705 E8 C9C40000 CALL unpack_1.00454BD3 0044870A CC INT3 0044870B CC INT3 0044870C CC INT3 0044870D CC INT3 0044870E CC INT3 0044870F CC INT3 00448710 0000 ADD BYTE PTR DS:[EAX],AL 00448712 0000 ADD BYTE PTR DS:[EAX],AL 00448714 90 NOP 00448715 1E PUSH DS Смотрим на то, что пишет Олька..unpack_1.xxxxxxxx что же это может быть ? тобишь где
то должно это закончится и мы поймем где ОЕП..
но нет вот здесь блин уже вылезло окно чертово: 00401022 E8 9F000000 CALL unpack_1.004010C6 ; JMP to USER32.DialogBoxParamA Тоесть оно еще динамически распаковывается во время работы вже? ----- Researcher |
|
|
Создано: 31 января 2007 04:19 · Личное сообщение · #22 overwriter ОЕП 401000 Поставь бряк на VirtualAlloc сработает 005912C8 85C0 TEST EAX,EAX 005912CA 0F84 4D020000 JE unpackme.0059151D 005912D0 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 005912D3 89C7 MOV EDI,EAX 005912D5 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8] 005912D8 56 PUSH ESI 005912D9 89F1 MOV ECX,ESI 005912DB 034E 3C ADD ECX,DWORD PTR DS:[ESI+3C] 005912DE 8B49 54 MOV ECX,DWORD PTR DS:[ECX+54] 005912E1 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[> Б<----------- ECX=00001000 (decimal 4096.) DS:[ESI]=[005919BB]=4D ('M') ES:[EDI]=[00400000]=00 Сдампи регион 005919BB размер 8D000 Получишь пакованый молей файл |
|
|
Создано: 31 января 2007 05:41 · Личное сообщение · #23 pavka Надеюсь не сильно тебе заНАДОЕЛ.. что значит сдампить регион.. только участок процесса? а почему не весь? ----- Researcher |
|
|
Создано: 31 января 2007 06:34 · Личное сообщение · #24 >Погодите.. я ведь хочу разобрать его по слоям, а не сразу 401000 это наверна ОЕП для самого первого пакера/или протектора.. а ОЕП для Молибокса походу именно он последний навешан, где? >Делаю все как вы сказали, pavka, ставлю бряк на VirtualAlloc (bp VirtualAlloc), запускаю - брякаюсь здесь: 7C809A51 > 8BFF MOV EDI,EDI
это в стеке :
дальше жму еще раз F9, вылетает: Error: Bad or unknown format 32-bit executable file: '' жму еще три раза вылетает окошко об исполнении файла (которое от Молибокса), говорит, что пакован незарегистрированной версией исполнять его? жму ДА.. останавливается 7C809A51 > 8BFF MOV EDI,EDI
жму дойти до Ret потом выхожу из этой процедуры и остаюсь в библиотечных адресах
Что-небудь еще может мне следует прочитать? ----- Researcher |
|
|
Создано: 31 января 2007 08:18 · Личное сообщение · #25 overwriter пишет: дальше жму еще раз F9, вылетает не нужно жать F 9 Нужно выйти из функции в прогу у тебя 005912B8 /CALL to VirtualAlloc потом потреиси и увидишь потом любым дампером сдампь участок памяти и получишь чистый файл упакованый молей Ну и потом раздевай его ;) А 401000 это ОЕП неупакованой проги |
|
|
Создано: 31 января 2007 22:59 · Личное сообщение · #26 недумал я, что моля такая популярная
|
|
|
Создано: 31 января 2007 23:32 · Личное сообщение · #27 Кто те сказал, что Моля популярная.. просто наверна другие пакеры поверх остального вешаться не хотели.. кстати первый слой что ? самопальное чтоли? ----- Researcher |
|
|
Создано: 01 февраля 2007 03:38 · Личное сообщение · #28 добавка к подборке... блокнот накрытый StarForce (судя по версии dll-ки - 4.50.7.0)... _hxxp://rapidshare.com/files/14379603/NotePad_StarForce_3.xx.rar (весит чуть больше 5 метров) |
|
|
Создано: 01 февраля 2007 08:50 · Личное сообщение · #29 s0cpy пишет: блокнот накрытый StarForce (судя по версии dll-ки - 4.50.7.0)... gegter Хороший повод устройть нам мастер класс ;) Если как ты пишешь в одном из топов "я свободно гулял по старику, доходил до oep, дампил, крутил код.." Может и тутор наваяешь
|
|
|
Создано: 01 февраля 2007 14:24 · Поправил: Viktoro · Личное сообщение · #30 s0cpy пишет: блокнот накрытый StarForce чёта я не могу понять, может кто знает каким образом получилось на блокнот стар навесить ? )) для изучения самое оно
П.С.: размер получившегося блокнота впечатляет
----- Nothing just happens. You choose it to happen. |
| . 1 . 2 . 3 . 4 . 5 . >> |
|
eXeL@B —› Основной форум —› Небольшая подборка свежих анпакми |
Для печати