Кто сталкивался с распаковкой библиотек сжатых Pecompact 3.xx,
расскажите пожалуйста порядок действий.
В --> этой <-- теме ув. тов. PE_Kill давал распакованный файл и написал что остались релоки,
но восстановить две секции RVA я так и не смог, даже импортируя правильные заголовки через IMPREC,
они или зашифрованы или битые.
Большая просьба, покажите на --> этом <-- примере,
как првильно распаковать Pecompact 3.xx,
те кто думают что он распаковывается также, как pecompact 2.xx,
ошибаются или докажите обратное на dll-ке.

| Сообщение посчитали полезным:

sas123
Покажи свои наработки или иди в запросы на взлом,здесь тебе никто нечем необязон...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

sas123 пишет:
В --> этой <-- теме ув. тов. PE_Kill давал распакованный файл и написал что остались релоки
Я там полностью рабочий файл выкладывал.

sas123 пишет:
те кто думают что он распаковывается также, как pecompact 2.xx,
ошибаются или докажите обратное на dll-ке.
Круто, все кинуль доказывать. Я кстати в той теме написал, что если не хочешь именно УЧИТЬСЯ анпакать, то в запросы и не будет флудотопа.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Написал маленький скриптик (в аттаче) под olly (нужен плагин OllyAdvancedс включенными функциями IsDebuggerPresent и IsDebuggerPresent).
который на OEP отображает заголовки API функций из самой dll:
Запустив его и пройдя по F9 и F7 оказываемся на OEP c расшифрованными заголовками (imprec видит все функции).
проблема: снять дамп или правильно импортировать IAT.




2480_27.12.2011_EXELAB.rU.tgz - _2_.txt

| Сообщение посчитали полезным:

PE_Kill пишет:
Я там полностью рабочий файл выкладывал.
там нерабочие WS2_32 и OLEAUT32 и заголовки битые или зашифрованы.
p.s. sas123 пишет:
..или докажите обратное на dll-ке.
Я это написал к тому что метод распаковки PEC2 не подойдет к PEC3 в корне,
т.к. на OEP названия функция зашифрованы,
а на pec2 достаточно добраться до OEP, снять дамп и восстановить ресурсы,
здесь это не пройдет.

| Сообщение посчитали полезным:

sas123 пишет:
т.к. на OEP названия функция зашифрованы
Пек никогда ничего не шифрует. У него всё оформлено плагинами, значит применили просто один из плагинов. Оно и в 2.х так.

sas123 пишет:
там нерабочие WS2_32 и OLEAUT32 и заголовки битые или зашифрованы.
И что это значит?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
И что это значит?


до следующей секции не будет заголовков функций API.
p.s. знаю что dll сжата чистым PEC без использования плагинов.

| Сообщение посчитали полезным:

Почитай что такое импорт по ординалам. Там и не должно быть имен API.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Импорт по ординалом изначально используется в сжатом файле,
а также присутствуют virtualalloc и virtualfree в kernel32.dll.
Я к тому что в том виде, что Вы дали, dll была не рабочей,
если через ImpRec импортировать недостающие заголовки к WS2_32 и OLEAUT32,
то dll запускается, но работает некорректно,
может есть способ импортировать их корректно без ImpREC.
Можете поделиться секретом как распаковали прошлую dll, думаю многим это будет полезно?
p.s. в аттаче 2 дерева импорта к новой dll валидное и невалидное (не хватало 2-х функций).

0471_27.12.2011_EXELAB.rU.tgz - imprec.rar

| Сообщение посчитали полезным:

sas123 пишет:
Импорт по ординалом изначально используется в сжатом файле,
sas123 пишет:
если через ImpRec импортировать недостающие заголовки к WS2_32 и OLEAUT32,
ЧТО ТАКОЕ ЗАГОЛОВКИ? Если импорт идет по ординалам, то это не значит, что у ординалов нет имени. Короче толкучка воды. Что не работает неясно, формат PE не знаем, но утверждаем какие то непонятные тезисы...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Заголовки - я имел ввиду названия API функций к библиотекам WS2_32 и OLEAUT32.

| Сообщение посчитали полезным:

Что-то я никак не пойму суть проблемы, аффтор юзает какие-то свои термины, чем вводит в заблуждение. Ну, хочется поюзать импрек, бывает, ну тогда ситуация мне видится примерно так. Нашёл ОЕР, нашёл вызов какой-то API функции, по ней определил начало и конец IAT. Прекрасно, открыл импрек и вписал туда эти значения. А то, что цель изначально юзала ординалы - ну ладно, так или иначе обращения к API из кода программы идут, а значит где-то есть сами адреса, по которым можно создать новый массив из IMAGE_IMPORT_DESCRIPTOR's, то бишь таблицу импорта. Что именно не получается?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL у него что то не работает, но вот что он не хочет говорить, и пытается что то сделать, опять же непонятно что. Т.е. основная мысль топика - ЧТО ТО НЕ РАБОТАЕТ. Ну а дальше ждем экстрасенсов.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ARCHANGEL пишет:
так или иначе обращения к API из кода программы идут, а значит где-то есть сами адреса, по которым можно создать новый массив из IMAGE_IMPORT_DESCRIPTOR's, то бишь таблицу импорта. Что именно не получается?
Для импорта использовал скрипт Mr. eXoDia:

Не получается найти начало и конец таблицы импорта addr_start и addr_end,
в аттаче все Found intermodular calls.
А imprec (таблица импорта под него 5-ю постами выше) не получается использовать,
т.к. не выходит снять корректный дамп и почему это происходит можно почитать здесь (посты от redblkjck) .


483f_28.12.2011_EXELAB.rU.tgz - imc.txt

| Сообщение посчитали полезным: