Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых)

 eXeL@B —› Основной форум —› Помогите разобраться с импортом (ExeCryptor)
Посл.ответ Сообщение

Ранг: 4.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 05 сентября 2007 10:47
· Личное сообщение · #1

Здраствйте, есть программа SSWx65, надо распаковать, чтобы в дальнейшем покапаться в ней.

PEid выдает как UPX 0.80 - 0.84 -> Markus & Laszlo
DIE эврестическим анализом показывает ExeCryptor 2.1.x

В IDA посомтрел на EP сразу джамп а потом просто идет сигнатура UPX
По названиям секций тоже больше похоже на ExeCryptor


Прога старая и версия на самом деле может быть такая, навороченной антиатладки по ходу нет.
Т.к. у меня в olly shadow без игры с планиами ollyAdvanced и Phantom нормально работает

OEP - 4014A6

сдампил.

IAT - я считаю по адресам:
start 404190
end 4048FA
length 769

Решил попробывать восстановить импорт с помощью скрипта от PE_Kill, но тут загвоздка, как не пробую уже на второй записи пишет, что запись is bad и т.д.

Я понимаю, что проблема скорее всего с руками и где-то я туплю.
Не могли бы вы помочь мне разобраться с этой проблемой.Просьба сильно не ругаться Заранее благодарен.

Положил архив программы на разные файлообменники.

[url=http://rapidshare.com/files/53511010/SSWx65.rar.html] rapidshare.com/files/53511010/SSWx65.rar.html
[/url]
ifolder.ru/3235579
slil.ru/24815968




Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 05 сентября 2007 11:43 · Поправил: Maximus
· Личное сообщение · #2

kukuruku

start 404190
end 4048FA

вот это не правильно, и ваще прога не запакована, там только первая секция восстанавливается при старте, можно и так пропадчить. И импорт кстате там тоже целый.

Правильные адреса
start 240967c
end 240a2d4

-----
StarForce и Themida ацтой!




Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 05 сентября 2007 17:10
· Личное сообщение · #3

Maximus пишет:
И импорт кстате там тоже целый.


НЕт! в импорте сперто 3 функции из kernel32.dll, а остальное там уже не системные библы, поэтому все у них цело.

kukuruku
Там просто криптор с большенством отключеных опций ( таких как антиотладка и воровать OEP )

В аттаче распакованный + IAT

8d8c_05.09.2007_CRACKLAB.rU.tgz - unpacked.rar



Ранг: 4.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 05 сентября 2007 21:48
· Личное сообщение · #4

Спасибо, разобрался с приложенным импортом, да и секции потренироваться поровнять благодаря приложенному экзешнику удалось


 eXeL@B —› Основной форум —› Помогите разобраться с импортом (ExeCryptor)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати