eXPressor 1.8.0.1

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 25 декабря 2011 23:05 · Личное сообщение · #1 Здравствуйте уважаемые форумчане! Столкнулся с проблемой распаковки eXPressor 1.8.0.1. Пользовался информацией с туторов и скриптов по распаковке. Мои действия: 1. bp VirtualProtect. 2. Снятие bp с п.1 и поиск по маске (E8????????83C40485C00F85) magic jump и изменение JNZ на JMP 00C52EAF /E9 88000000 JMP 00C52F3C. 3. Дальше нашел по маске (C600E88B45D4408945D050E8) место формирования IAT. 4. Установил bp на: 00C532F3 C600 E8 MOV BYTE PTR DS:[EAX],0E8 и по нажатию F9 таблица сформировалась по адресу 004CD000 и получилась размером 00000760. 5. После прохождения скриптом по коду восстановил таблицу. Код скрипта ниже. Code: var iatadd var iattx var begin mov begin,eip start: mov iatadd,[ebp-18] mov iattx,eax esto cmp eip,begin jne end mov [iattx],15ff find 004CCFFC,iatadd mov iatadd,$RESULT add iattx,2 mov [iattx],iatadd jmp start end: msg "OK" 6. Перешел на OEP -> 004A4045 поставил бряк. 7. После загрузки eXPressor'a: завершение работы скрипта и переход на OEP. 8. Дамп программы и добавление в дамп IAT. --> ДАМП <--. 9. Правка в LordPE -> BaseOfCode на 1000 и удаление в Directories -> TlsTable. После всех действий --> Вот такая ПРОБЛЕМА <-- Отладчик нормально открывает 1_.exe, но сыпется на такой ошибке при запуске: "Не знаю, как продолжить работу, поскольку память по адресу 00000000 не читаеся. Попробуйте изменить EIP или передать исключение в программу." Подскажите, что не так сделал и куда смотреть. P.S. Всех с наступающим Новым годом!

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 25 декабря 2011 23:12 · Личное сообщение · #2 Оригинальный файл не выложен или я его не вижу?
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 25 декабря 2011 23:16 · Личное сообщение · #3 Archer пишет: Оригинальный файл не выложен или я его не вижу? Оригинальный файл находится на сайте --> ТУТ <-- и является жертвой распаковки
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 26 декабря 2011 01:07 · Поправил: SReg · Личное сообщение · #4 inffo ты бы хоть импорт сначала проверил 004CD320 7C80AE40 kernel32.GetProcAddress 004A776B CALL DWORD PTR DS:[0] 00410B53 CALL DWORD PTR DS:[0] 00448D13 CALL DWORD PTR DS:[0] 00448D54 CALL DWORD PTR DS:[0] 004823FF CALL DWORD PTR DS:[0] 00482B76 CALL DWORD PTR DS:[0] 00486BD8 CALL DWORD PTR DS:[0] 0048B9B5 CALL DWORD PTR DS:[0] 00492696 CALL DWORD PTR DS:[0] 004A1B72 CALL DWORD PTR DS:[0] 004AEC0E CALL DWORD PTR DS:[0] 004AECC5 CALL DWORD PTR DS:[0] 004BADAA CALL DWORD PTR DS:[0] ну и далее посписку.... \| Сообщение посчитали полезным: inffo
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 26 декабря 2011 01:24 · Поправил: inffo · Личное сообщение · #5 Импорт посмотрел еще раз вроде таблица нормальная. add: Будем исправлять
MasterSoft Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors	Создано: 26 декабря 2011 18:40 · Личное сообщение · #6 offtopъ: если кто-то видел софт защищённый этим гуаном киньте линк в лс плиз.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 26 декабря 2011 18:54 · Личное сообщение · #7 А чем он сам не нравится? Он сам собой накрыт, полагаю. На тутс4ю были анпакмисы с ним ещё.
MasterSoft Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors	Создано: 26 декабря 2011 20:13 · Личное сообщение · #8 Archer пишет: А чем он сам не нравится? Он сам собой накрыт, полагаю. На тутс4ю были анпакмисы с ним ещё. это мы знаем, но ковырять анпакми не интересно совсем. а сам прот уже смотрел. да и не встречал софта никогда накрытый им.
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 26 декабря 2011 21:49 · Поправил: inffo · Личное сообщение · #9 Все распаковал Если кому пригодится то вот два затертых адреса из IAT: 004CD320 7C80AE40 kernel32.GetProcAddress 004CD388 7C809BE7 kernel32.CloseHandle Спасибо SReg за подсказку куда копать. MasterSoft пишет: offtopъ: если кто-то видел софт защищённый этим гуаном киньте линк в лс плиз. Есть зарегистрированная версия 1.8.0.1 (ссылку где-то на exelab'e видел) можно самому с разными опциями зажать, а потом анпакнуть любой exe. Вот рабочий дамп кому нужно --> тЫц <--
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 26 декабря 2011 22:46 · Личное сообщение · #10 inffo пишет: Вот рабочий аbout не воркает, вылетает. смотреть почему - нестал
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 26 декабря 2011 23:26 · Личное сообщение · #11 Не смотрел, но предположу, что апи прота отвалились, при отображении абаута он хвид через апи получает. \| Сообщение посчитали полезным: SReg
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 27 декабря 2011 02:10 · Личное сообщение · #12 Archer пишет: Не смотрел, но предположу, что апи прота отвалились, при отображении абаута он хвид через апи получает. Хвид нормально получается, нашел 2 ошибки и поправил: 1. При попытке вызвать About: 00414CC4 FFD0 CALL EAX <--- пытается перейти на адрес в котором ничего нет (00C23342) 2. Тоже самое при нажатии в окне About -> Register 0046A8B6 FFD0 CALL EAX <--- 00C23342 Обе команды затер NOP'ами и все ОК. Потестил распакованный файл и нашел еще одну проблему. При попытке сжать любой exe выскакивает ошибка --> вот <--. А окно программы отображает следующее --> вот <--. Завтра попытаюсь разобраться. Если есть у кого какие идеи пишите.
MasterSoft Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors	Создано: 27 декабря 2011 02:19 · Личное сообщение · #13 inffo http://exelab.ru/f/action=vthread&forum=12&topic=14143&page=0#2 \| Сообщение посчитали полезным: inffo
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 27 декабря 2011 02:53 · Личное сообщение · #14 MasterSoft Речь о косяке, связанном с изменением атрибутов секции .rdata после импрека? ----- Research For Food
MasterSoft Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors	Создано: 27 декабря 2011 03:10 · Личное сообщение · #15 daFix видимо да
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 27 декабря 2011 04:15 · Личное сообщение · #16 Без валидного ключа и Hwid можно забытьо полной функциональности программы. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 27 декабря 2011 08:06 · Личное сообщение · #17 MasterSoft благодарствую. Теперь прога зажимает все как надо. Правда в запакованном eXPressor'ом файле после его открытия появляется NAG окно о сжатии незарегистрированной версией программы. Ну это совсем другая история. ClockMan Задача была не зарегистрировать, а распаковать. Ну и еще функциональность в процессе проверить. Возможно попробую ее зарегистрировать (если получиться ). Всем ответившим и помогавшим спасибо. Тему пока закрывать не буду. P.S. Кстати рабочий и исправленный дамп --> ТУТ <--

Для печати