Не получается корректно распаковать зтот файл -> ifolder.ru/2867859
Мои действия: дамплю в ОЛЛИ, восстанавливаю импорт (корректно) в ИМРЕК, но при запуске файл вешается на EnterCriticalSection, вопрос что делал не так?

| Сообщение посчитали полезным:

pavka пишет:
полчаса окошко прорисовывается
А че у тебя за комп, у меня нормально запускается...

pavka пишет:
распакуется длл можешь ее взять
Да в том то и дело что я на сехе уже запарился обламываться...

| Сообщение посчитали полезным:

DIMAIN
Там все то же самое пракический ... Сначала выделяется память распаковывается длл встаешь на оеп длл и дальше все то же самое практический по этим адресам распаковывается основной экзешник ;)
Можешь действительно просто запустить и сдампить из первго процесса регион у меня BF0000 размером А5000 и все потом снимешь пекомпакт!
А комп нормальный Писать нормально надо да память освобождать вовремя

| Сообщение посчитали полезным:

pavka пишет:
комп нормальный
А проц какой?

pavka пишет:
Там все то же самое пракический
Все да не все, под айсом не запускается, а под олей до ДЛЛ немогу дойти

| Сообщение посчитали полезным:

DIMAIN пишет:
походу другой стаб
По ходу ты не разобрался.
Делай как pavka пишет:
распаковывается длл встаешь на оеп длл и дальше все то же самое практический по этим адресам распаковывается основной экзешник .
Разница здесь только в том, что файл запускается из dll. Сначала только распаковывается dll...
Заметил интересную строчку в дампе
008BD050 58 6C 6F 58 5F 44 2E 64 6C 6C 00 00 00 00 00 00 XloX_D.dll......
Тут используются какие-то наработки из движка протектора XloX-Layer-Protector, про который ты говорил?

-----
Программист SkyNet

| Сообщение посчитали полезным:

Все ДЛЛку достал, а как ее запустить, loaddll не помогает, на ней пекопакт но авто распаковщики не все берут, я то ее распаковал, а дальше как?

FrenFolio пишет:
Тут используются какие-то наработки из движка протектора XloX-Layer-Protector, про который ты говорил?
Может быть, наверно изза этого файл такой "жирный".

Кто может с самого начала по подробнее написать как распаковывать, какие опции в ОЛЛИ надо выставить, а какие убрать, чтоб пройти все SEH блоки? Че то я тормажу...

| Сообщение посчитали полезным:

DIMAIN пишет:
Все ДЛЛку достал, а как ее запустить, load
Не нужно ее доставать ! проходишь просто два слоя Встал на оеп дллки и дальше все то же самое бряк на выделение памяти и смотри он по этим же адресам раскриптовывает екзешник сначала упакваный пекомпактом , затем в новы буфер для распаковки пекомпакта... Ты можешь тупо ни чего не делать просто запустить под олей и пока первый процесс не прибит просто снять из памяти упакованый пекомпактом екзешник или пройди до того как во второй буфер будет скопирован встань не еп и бряк на lбракнешься на заполнении таблички импорта Скопируй табличку и бряк на оеп нардварный на исполнение вставь табличку и дампь!

| Сообщение посчитали полезным:

pavka
Стока оЧеПяток , походу ты в отрубе уже...

pavka пишет:
Не нужно ее доставать
Просто ты до этого писал, что надо вначале ДЛЛ выцепить, вот я и трудился...

А че у тебя за плуги для ОЛЛИ, как ты СЕХ проходиш? еслиб не сехи я б и сам допер...
Просто там почти на каждой функции ОЛЬКА вылетает, да и ЛордПе не дампит

| Сообщение посчитали полезным:

DIMAIN пишет:
Просто ты до этого писал, что надо вначале ДЛЛ выцепить
Я тебе схему обрисовал как работает эта фигня..
Олька простая не патченая + адвансед больше ни чего
DIMAIN пишет:
Стока оЧеПяток ,
Скрипт работал, ковырял одну дрянь коп тормозит жутко

| Сообщение посчитали полезным:

pavka пишет:
Олька простая не патченая
Ты прям ТЕРМИНАТОР

Достал я сам екзешник, да вот с распаковкой пипец, не один автомат не берет, а QU вообше копыта откидывает, пробовал в ручную, в итоге файл получается не рабочий...

| Сообщение посчитали полезным:

DIMAIN пишет:
пробовал в ручную, в итоге файл получается не рабочий...
Возьми скрипт ПеКила он распакует Пекомпакт

| Сообщение посчитали полезным:

pavka пишет:
Возьми скрипт ПеКила
Да там не в этом дело, там стаб модифицированный

| Сообщение посчитали полезным:

DIMAIN
Ну и что?
00461000 00000000 ИАТ начало бряк HW на доступ
00461004 00000000
00461008 00000000
0046100C 0006176C
00461010 00061118
00461014 00000000
00461018 00000000
0046101C 00000000
00461020 00061A8C
00461024 000611CC

00391871 /74 24 JE SHORT 00391897 бряк сработал
00391873 |0306 ADD EAX,DWORD PTR DS:[ESI]
00391875 |74 03 JE SHORT 0039187A
00391877 |0343 08 ADD EAX,DWORD PTR DS:[EBX+8]


заполнилась
00461000 00000000
00461004 00000000
00461008 00000000
0046100C 0006176C
00461010 00061118
00461014 00000000
00461018 00000000
0046101C 00000000
00461020 00061A8C
00461024 000611CC
00461028 00000000
0046102C 00000000
00461030 00000000
00461034 00061AD2
00461038 000611E0
0046103C 00000000
00461040 00000000
00461044 00000000
00461048 00061B12
Копируй бинарно и вставляй на оеп
004A4CE2 /EB 3C JMP SHORT Dumped.004A4D20 <---- OEP
004A4CE4 |06 PUSH ES
004A4CE5 |6C INS BYTE PTR ES:[EDI],DX ; I/O command
004A4CE6 |45 INC EBP

Можешь стаб дописать сам он маленький

| Сообщение посчитали полезным:

Короче жопа, распаковал ЕХЕшник, нащел ОЕП, восстановил весь импорт, восстановил крад. байты(вроде правильно), но файл не пашет, хоть убейте. UNPACKED http://ifolder.ru/3103039

| Сообщение посчитали полезным:

DIMAIN
Ты хоть маленько сам посмотри
Если стартовать с джампа
004A4CE2 /EB 3C JMP SHORT Dumped.004A4D20 <---- OEP
то табличка смещается на 3 по этому и падает это типа защиты от анпака ! перепищи стаб вот так все это ты можешь взять пройдясь по джампам

004A4D86 > 55 PUSH EBP
004A4D87 8BEC MOV EBP,ESP
004A4D89 83C4 F0 ADD ESP,-10
004A4D8C B8 546A4500 MOV EAX,XXLTRAIN.00456A54
004A4D91 E8 7A19F6FF CALL XXLTRAIN.00406710
004A4D96 B8 5F6C4500 MOV EAX,XXLTRAIN.00456C5F
004A4D9B E8 D828F6FF CALL XXLTRAIN.00407678
004A4DA0 E8 DBFFFFFF CALL XXLTRAIN.004A4D80

и файл нормально запустится Если хочещь могу выложить тебе анпакнутый файл

| Сообщение посчитали полезным:

pavka
Глянь как я делал, ссылка в моем предыдущем посте.
Я ОЕП не на джамп ставил...

pavka пишет:
могу выложить тебе анпакнутый файл
Да нет не надо, мне интересен сам процесс, а то что ктото распаковал, мне от этого, лучше не станет...

pavka пишет:
перепищи стаб вот так
Чет я не пойму, получается, если вернуть спизж. байты на родное место то файл работать не будет? (как этого добились?)

pavka
з.ы Восстановил по тем адресам которые ты указал, пашет! нихера не пойму в чем подвох, я тоже самое вставлял но на ориг. точку входа и файл не работал...

| Сообщение посчитали полезным:

DIMAIN
Вот в чем
004569BC A1 1C7F4500 MOV EAX,DWORD PTR DS:[457F1C]
004569C1 8B00 MOV EAX,DWORD PTR DS:[EAX]
004569C3 E8 0481FFFF CALL XXLTRAIN.0044EACC
004569C8 A1 1C7F4500 MOV EAX,DWORD PTR DS:[457F1C]
004569CD 8B00 MOV EAX,DWORD PTR DS:[EAX]
004569CF BA 086A4500 MOV EDX,XXLTRAIN.00456A08
004569D4 E8 FF7CFFFF CALL XXLTRAIN.0044E6D8
004569D9 8B0D F47F4500 MOV ECX,DWORD PTR DS:[457FF4] ; XXLTRAIN.00460C60
004569DF A1 1C7F4500 MOV EAX,DWORD PTR DS:[457F1C]
004569E4 8B00 MOV EAX,DWORD PTR DS:[EAX]
004569E6 8B15 005B4500 MOV EDX,DWORD PTR DS:[455B00] ; XXLTRAIN.00455B4C
004569EC E8 F380FFFF CALL XXLTRAIN.0044EAE4
004569F1 A1 1C7F4500 MOV EAX,DWORD PTR DS:[457F1C]
004569F6 8B00 MOV EAX,DWORD PTR DS:[EAX]
004569F8 E8 6781FFFF CALL XXLTRAIN.0044EB64
004569FD C3 RETN

Можшь скопировать и чуть изменить стаб, он не будет гадить заголовок
004A4D86 > 55 PUSH EBP
004A4D87 8BEC MOV EBP,ESP
004A4D89 83C4 F0 ADD ESP,-10
004A4D8C B8 546A4500 MOV EAX,XXLTRAIN.00456A54
004A4D91 E8 7A19F6FF CALL XXLTRAIN.00406710
004A4D96 B8 5F6C4500 MOV EAX,XXLTRAIN.00456C5F
004A4D9B E8 D828F6FF CALL XXLTRAIN.00407678
004A4DA0 E8 171CFBFF CALL XXLTRAIN.004569BC <---------------

| Сообщение посчитали полезным: