а вот эту супер-тормознутую хрень кто-нибудь распаковывал?
[url=http://www.tuts4you.com/blogs/download.php?view.1095
]http://www.tuts4you.com/blogs/download.php?view.1095
[/url]
у самого проблем нету, как в динамике, так и в статике.
просто интересно.
ЗЫ соотв. интересно примерно как распаковывали?

| Сообщение посчитали полезным:

WolfHunter пишет:
а вот эту супер-тормознутую хрень кто-нибудь распаковывал?
Поищи на форуме была тема распаковки и взлома

| Сообщение посчитали полезным:

ну во первых смотрел, во вторых там смотрели jdpack 1.01.
взял тут www.tuts4you.com/blogs/download.php?view.954 файлик им покрытый.
по сравнению с 2.0 версией - детский лепет, весь код как на ладони.
алго по сути, вроде бы, тот же.
по-быстрому его потрейсил:

0046B284 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465]
0046B28A 8BB5 F1314000 MOV ESI,DWORD PTR SS:[EBP+4031F1] ; == 60000
; esi points to original IMAGE_IMPORT_DESCRIPTOR's
0046B290 03F2 ADD ESI,EDX
0046B292 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C]
0046B295 0BC0 OR EAX,EAX
0046B297 0F84 4D010000 JE UnPackMe.0046B3EA
; либо дампим тут, либо исполняем прыжок (импорты будут не отрезолвлены)

0046B3EA EB 16 JMP SHORT UnPackMe.0046B402

0046B402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465]
0046B408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] ; == 000271AE
; RVA OEP
0046B40E 03C2 ADD EAX,EDX
0046B410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0046B414 61 POPAD
0046B415 50 PUSH EAX
0046B416 C3 RETN
; goto OEP

дампим, правим EP и RVA IMAGE_IMPORT_DESCRIPTOR'ов - распаковано.

а вот во второй версии (почти) весь код покрыт одним макросом, в центре которого
стоит int 3. в итоге получаем по экзепшену на (почти) каждую команду. в итоге - полный
пиз#ец по скорости. да и отлаживать нихрена не удобно.

в общем, там еще предстоит поепаться с разруливанием кода под макросом.
а если, напр. просто запустить под той же олли (и надеяться непонятно на что %) - нуу... у меня просто терпения не хватило...

| Сообщение посчитали полезным:

WolfHunter
Её невозможно роспоковать!

| Сообщение посчитали полезным:

>Её невозможно роспоковать!
жжошь! :P

| Сообщение посчитали полезным:

WolfHunter пишет:
во вторых там смотрели jdpack 1.01.
А другой нет ;)

| Сообщение посчитали полезным:

а файло покрытое 2.0 версией на tuts4you тогда откуда?
т.е. на паблике этого пакера нету?

| Сообщение посчитали полезным:

я кстати, не нашел...
ЗЫ правка не работает, ждите 4 секунды пишет

| Сообщение посчитали полезным:

да, там еще после декриптовки первого(и последнего) слоя можно пронаблюдать такую забавную строчку:
JDPack Preview This file PACKED by JDPack2.00 from www.JDPack.com

| Сообщение посчитали полезным:

Не знаю откуда Тед взял эту фигню! Но кроме int 3 ни чего нового там нет ;)
Мож какой нить китаец для прикола доработал Распаковка без проблем вот дамп
rapidshare.com/files/22659077/dumped_.rar

| Сообщение посчитали полезным:

>Мож какой нить китаец для прикола доработал Распаковка без проблем вот дамп
а как? (примерно)
я вот писал скрипт который код под макросом джампами связывал(в обход инт3)...

| Сообщение посчитали полезным:

запускать файлик и ставить бряк на GetProcAddress не предлагать, т.к. я как-то и больше получаса прождал(под варей), пока читал чего-то.

| Сообщение посчитали полезным:

WolfHunter

Ну я могу предложить другой вариант, правда придётся подждать...
Запускаем файл под олей и ждём минут 10 пока не выскочит тупое сообщение " This file PACKED by JDPack2.00 from www.JDPack.com", потом не нажимая на OK ставим бряк на секцию кода и тогда уже нажимаем на OK. И мы вываливаемся как раз на OEP... У меня пень 2.4 весь процесс распаковки занимает минут 10. Втопку такие пакеры!!!

А чё там с импортом? Никакого API Redirection я там незаметил

-----
Research For Food

| Сообщение посчитали полезным:

ну-ну, я так тоже умею...
у меня были файлики(неважно откуда), в которых был пропатчен вызов мессадж бокса ;(

>А чё там с импортом? Никакого API Redirection я там незаметил
если знать когда дампить -- импорт в нетронутом виде)

| Сообщение посчитали полезным:

WolfHunter пишет:
если знать когда дампить -- импорт в нетронутом виде)

да он и так в нетронутом:

001) VA: 00060814 Name: .IAT_START Ord:0000
002) VA: 00060818 Name: advapi32.dll.RegCloseKey Ord:00D9
003) VA: 0006081C Name: advapi32.dll.RegOpenKeyExA Ord:00F0
...
451) VA: 00060F1C Name: ole32.dll.StgOpenStorageOnILockBytes Ord:00FB
452) VA: 00060F20 Name: .IAT_SEPATAROR Ord:0000
453) VA: 00060F24 Name: oledlg.dll.OleUIBusyA Ord:0008
454) VA: 00060F28 Name: .IAT_END Ord:0000

total : [441] - functions
total : [12] - lib

т.е. никакого редиректа нет...

этот пакер даже на 98/ME пашет

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

>Запускаем файл под олей и ждём минут 10 пока не выскочит тупое сообщение
вариант номер два, запускаем файло просто так, ждем чутка меньше. на мессаге зовем айс,
поскольку там остается < 10 команд покрытых(насколько я помню), в айсе же можно и протрейсить.
либо eb fe и аттач оллей, а потом - как удобнее. ну и куча других вариаций на тему мессадж бокса, хотя способ опять-таки не катит против патченного файла...

| Сообщение посчитали полезным:

Hellspawn
имелось ввиду что будет достаточно поправить
PE_h->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Virtu alAddress
на нужный RVA, без юзанья импрека. есть там код перенаправляющий адреса из IAT или нет -
при таком варианте откровенно побоку.

| Сообщение посчитали полезным: