Сейчас на форуме: (+5 невидимых)

 eXeL@B —› WorldWide —› ASProtect unpacking dll file
Посл.ответ Сообщение

Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 20 мая 2012 10:30 · Поправил: hereandthere
· Личное сообщение · #1

I tried unpacking this dll using various Olly scripts, but I always get non-working dll. Some code gets messed up in a first call after OEP in my dump with fixed imports using ImpRec.

This is information I got using script Aspr2.XX_unpacker_v1.15E.osc:


Address of IAT = 66CC9000
RVA of IAT = 00189000
Size of IAT = 0000094C

RVA of Relocation = 00202000
Size of Relocation = 0001E008
Address of OEP = 66C99986
RVA of OEP = 00159986

I can easily get to OEP just by setting brakepoint on memory write to RVA address 00159986.

Can anyone suggest what to try.
I'm on Win7, maybe that can be a problem?



Ранг: 42.9 (посетитель), 33thx
Активность: 0.040
Статус: Участник

 Создано: 20 мая 2012 12:14
· Личное сообщение · #2

hereandthere
changed in the unpacked dll - ImageBase=1000000

| Сообщение посчитали полезным: hereandthere

Ранг: 31.0 (посетитель), 70thx
Активность: 0.140
Статус: Участник

 Создано: 20 мая 2012 18:02
· Личное сообщение · #3

try DecomAS
http://exelab.ru/f/action=vthread&forum=13&topic=18361



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 мая 2012 18:28
· Личное сообщение · #4

I get the same problem with DecomAS. Totaly same as working with Olly script and fixing imports using ImpRec.


 eXeL@B —› WorldWide —› ASProtect unpacking dll file
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати