Прочитал статью про распаковку FSG 1.2 (http://xtin.km.ru/view.shtml?id=53) А как можно все это реализовать на Оле - добрался до перехода в в первую секцию проги, смотру куда идет переход - в секцию данных. может где в настройках Оли что справить?

| Сообщение посчитали полезным:

Есть скрипты для олли ollyscript.apsvans.com/
Я то по ним теперь учусь но часто они не работают зато
можно поправить немного под свою прогу и все получается!

| Сообщение посчитали полезным:

Нахрен скрипты для пакеров, тем более таких незатейливых, головой нужно думать..

| Сообщение посчитали полезным:

Кароче делаешь так, суешь прогу в Олю, ты на ЕР давишь Альт+М
Видишь таблицу, выбераешь секцию кода, 401000
ставишь на ней брейк (Set Memory Breakpoint on Access)
пускаешь прогу по Ф9

Видим примерно такое.

0042809F MOV DL,80
004280A1 XOR EBX,EBX
004280A3 MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] //Брякаемся здесь.
004280A4 MOV BL,2
004280A6 CALL DWORD PTR SS:[ESP]

Идешь на 2 экрана вниз. (примерно)

Это цикл восстоновления импорта
0042814E SCAS BYTE PTR ES:[EDI]
0042814F JNZ SHORT keygen.0042814E
00428151 DEC BYTE PTR DS:[EDI]
00428153 JE SHORT keygen.00428144
00428155 DEC BYTE PTR DS:[EDI]
00428157 JNZ SHORT keygen.0042815F
00428159 INC EDI
0042815A PUSH DWORD PTR DS:[EDI]
0042815C SCAS DWORD PTR ES:[EDI]
0042815D JMP SHORT keygen.00428168
0042815F DEC BYTE PTR DS:[EDI]
00428161 JE keygen.004014B2 ------------------------ !!! OEP !!!

Ставишь брейк здесь чтобы попасть в цикл, но сперва надо снять брейк с сецкции кода, Romeve memory breakpoint.
Дальше после брейка на 00428161, ставишь брейк на ОЕР и снимаешь дамп. После чего восстанавливаешь импорт с помощь ИмпРека, если прога не запускается, смотришь чтобы первый байт в OEP был неизменен на команду int 3, иначе меняешь с помощью НексЕдитора на тот который увидишь при переходе на ОЕР.
00428167 PUSH EDI
00428168 PUSH EBP
00428169 CALL DWORD PTR DS:[EBX+4]
0042816C OR DWORD PTR DS:[ESI],EAX
0042816E LODS DWORD PTR DS:[ESI]
0042816F JNZ SHORT keygen.0042814C
00428171 MOV EBP,ESP
00428173 RETN

| Сообщение посчитали полезным:

V0ldemAr, делаю как ты говоришь, но когда я ставлю бряк на OEP, Оля говорит, что бряк будет "on the data". Я соглашаюсь, ставлю бряк и попадаю на data, а не на OEP.

| Сообщение посчитали полезным:

monrus
Вот ещё один мини туторчик.
Проделано под win98(поэтому три бряка)
В 2k/XP можно обойтись двумя, первый ставить на LoadLibraryA.


1549221757__fsg12.rar

| Сообщение посчитали полезным:

monrus пишет:
ставлю бряк и попадаю на data, а не на OEP.

мля сделай анализ кода когда ты на ОЕР (Альт+А)

| Сообщение посчитали полезным:

Понял почему писалась дата - у меня почему-то анализ файла идет как-то неправильно. Если вовремя анализа его отменить, то все нормально.
Восстанавливаю иморт - файл работает, но peid пишет, что он все равно запакован FSG, хотя в w32dasm - видны string'и.
Возникла другая проблема. Скачал FSG 2.0, запаковал, распаковал, не восстанавливается импорт с запакованного файла. Если же восстанавливать импорт с незапакованного - восстанавливается. Что за глюк - не понимаю?

| Сообщение посчитали полезным: