Сейчас на форуме: _MBK_ (+6 невидимых) |
![]() |
eXeL@B —› Основной форум —› jdpack 2.0 unpacking? |
Посл.ответ | Сообщение |
|
Создано: 24 марта 2007 15:37 · Поправил: WolfHunter · Личное сообщение · #1 |
|
Создано: 24 марта 2007 17:26 · Личное сообщение · #2 |
|
Создано: 24 марта 2007 18:07 · Личное сообщение · #3 ну во первых смотрел, во вторых там смотрели jdpack 1.01. взял тут www.tuts4you.com/blogs/download.php?view.954 файлик им покрытый. по сравнению с 2.0 версией - детский лепет, весь код как на ладони. алго по сути, вроде бы, тот же. по-быстрому его потрейсил: 0046B284 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 0046B28A 8BB5 F1314000 MOV ESI,DWORD PTR SS:[EBP+4031F1] ; == 60000 ; esi points to original IMAGE_IMPORT_DESCRIPTOR's 0046B290 03F2 ADD ESI,EDX 0046B292 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C] 0046B295 0BC0 OR EAX,EAX 0046B297 0F84 4D010000 JE UnPackMe.0046B3EA ; либо дампим тут, либо исполняем прыжок (импорты будут не отрезолвлены) 0046B3EA EB 16 JMP SHORT UnPackMe.0046B402 0046B402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 0046B408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] ; == 000271AE ; RVA OEP 0046B40E 03C2 ADD EAX,EDX 0046B410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 0046B414 61 POPAD 0046B415 50 PUSH EAX 0046B416 C3 RETN ; goto OEP дампим, правим EP и RVA IMAGE_IMPORT_DESCRIPTOR'ов - распаковано. а вот во второй версии (почти) весь код покрыт одним макросом, в центре которого стоит int 3. в итоге получаем по экзепшену на (почти) каждую команду. в итоге - полный пиз#ец по скорости. да и отлаживать нихрена не удобно. в общем, там еще предстоит поепаться с разруливанием кода под макросом. а если, напр. просто запустить под той же олли (и надеяться непонятно на что %) - нуу... у меня просто терпения не хватило... ![]() |
|
Создано: 24 марта 2007 20:23 · Личное сообщение · #4 |
|
Создано: 25 марта 2007 01:56 · Личное сообщение · #5 |
|
Создано: 25 марта 2007 07:45 · Личное сообщение · #6 |
|
Создано: 25 марта 2007 08:56 · Личное сообщение · #7 |
|
Создано: 25 марта 2007 08:59 · Личное сообщение · #8 |
|
Создано: 25 марта 2007 09:14 · Личное сообщение · #9 |
|
Создано: 25 марта 2007 09:31 · Личное сообщение · #10 |
|
Создано: 25 марта 2007 09:42 · Личное сообщение · #11 |
|
Создано: 25 марта 2007 09:45 · Личное сообщение · #12 |
|
Создано: 25 марта 2007 10:00 · Личное сообщение · #13 WolfHunter Ну я могу предложить другой вариант, правда придётся подждать... Запускаем файл под олей и ждём минут 10 пока не выскочит тупое сообщение " This file PACKED by JDPack2.00 from www.JDPack.com", потом не нажимая на OK ставим бряк на секцию кода и тогда уже нажимаем на OK. И мы вываливаемся как раз на OEP... У меня пень 2.4 весь процесс распаковки занимает минут 10. Втопку такие пакеры!!! ![]() А чё там с импортом? Никакого API Redirection я там незаметил ![]() ----- Research For Food ![]() |
|
Создано: 25 марта 2007 10:56 · Личное сообщение · #14 |
|
Создано: 25 марта 2007 10:58 · Поправил: Hellspawn · Личное сообщение · #15 WolfHunter пишет: если знать когда дампить -- импорт в нетронутом виде) да он и так в нетронутом: 001) VA: 00060814 Name: .IAT_START Ord:0000
т.е. никакого редиректа нет... этот пакер даже на 98/ME пашет ![]() ----- [nice coder and reverser] ![]() |
|
Создано: 25 марта 2007 11:04 · Личное сообщение · #16 >Запускаем файл под олей и ждём минут 10 пока не выскочит тупое сообщение вариант номер два, запускаем файло просто так, ждем чутка меньше. на мессаге зовем айс, поскольку там остается < 10 команд покрытых(насколько я помню), в айсе же можно и протрейсить. либо eb fe и аттач оллей, а потом - как удобнее. ну и куча других вариаций на тему мессадж бокса, хотя способ опять-таки не катит против патченного файла... ![]() |
|
Создано: 25 марта 2007 11:12 · Личное сообщение · #17 |
![]() |
eXeL@B —› Основной форум —› jdpack 2.0 unpacking? |