Всем привет. Это первая тема на форуме, не судите строго. Если что не так оформил, скажите, поправлю. Теперь по теме. Уже неделю мучаю один сервер, запакован он протектором PC guard, файл достаточно весомый - 5.2 Мб. В нем происходит проверка ключика который записан в реестре. Проблема в том что я не могу грамотно распаковать данный файл. Я нашел OEP, нашел битые функции в таблице импорта, при сдирании дампа обхожу запуск виртуального кода. В одном мануале есть описание того что битые функции нужно затирать, то есть при вырезании функции нужно затирать и вызова к этой функции ну или переадресовывать. Вопрос - есть ли способ быстрого поиска всех вызовов этой функции? Если да, то в каком дебаггере? Ну и если есть у кого какие нибудь мануалы по распаковке PC guard 5.0. Я много их нашел, но толком не то что нужно. Заранее благодарю за помощь.

| Сообщение посчитали полезным:

harek10

> я не могу грамотно распаковать

Только полные задроты анпакают. Инфектите загрузчик и свой модуль. Всё.

Да и что такое OEP - это код апосля NtAllocVM. Любая хуита, если конечно нет виртуализации так вскрывается, причём это делается автоматически(arce). А потому что авторы боты.

| Сообщение посчитали полезным: harek10

Благодарю за информацию. Можно объяснить словами по понятнее вот это -"Инфектите загрузчик и свой модуль "

| Сообщение посчитали полезным:

harek10

Инфектите загрузчик, оный вашу надстройку подгрузит. Она выполнит необходимые поправки. Что собстно не понятно ?

| Сообщение посчитали полезным:

>Инфектите загрузчик.

Я так понимаю это что то вроде добавления своего кода в код программы?
Если так, то есть ли готовое ПО для выполнения этих операций, или нужно писать вручную?

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

запустите прогу в отладчике, ищите первую выполняющую апишку (смотря на чем написана прога) и оттуда уже пляшите для нахождения оеп, помоему там импорт ищется элементарно, давно попадался пкгурд
выложите example тогда думаю можно и по подробнее сказать что и как
И вообще на тутсях есть видео по анпаку 5 версии
гуглом пользоваться пробовали???

| Сообщение посчитали полезным: harek10

Dr0p пишет:
Только полные задроты анпакают.
он вас задротом обозвал, а вы его благодарите
INДЯ\Dr0p или как вас там еще ну когда вы уйметесь
На самом деле достало ваши матюги читать (заменяй их пи-пи)
По теме Jaa вполне ответил

| Сообщение посчитали полезным: SReg

Ребят, всем спасибо.
По поводу примера, что именно выложить? пример кода? или таблицу импорта?

А по поводу <<И вообще на тутсях есть видео по анпаку 5 версии>> я уже штук 5 разных примеров анпака скачал, в том числе и предлагаемый, но все не то, а здесь спросил, ну мало ли вдруг что новое предложите.

| Сообщение посчитали полезным:

harek10 пишет:
что именно выложить? пример кода? или таблицу импорта?

ФАЙЛ. Упакованный сэмпл. Таргет, который анпакаете. Софт, который изучаете. Я понятно объясняю?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

http://rghost.ru/48999419 вот ссылка на архив. В нем вся моя работа над файлом и сам оригинальный файл. Благодарю за помощь.

| Сообщение посчитали полезным:

harek10, изучайте Олли скрипт или память отсутствующую в дампе прикручивайте.

| Сообщение посчитали полезным:

NikolayD Понятно, спасибо.

| Сообщение посчитали полезным:

Посмотрел в папку "Запакованный Оригинал" увидел что он не запакован, стандартное сишное оеп. В чём прикол?

| Сообщение посчитали полезным:

Извиняюсь, возможно перепутал файл. Сейчас гляну.

| Сообщение посчитали полезным:

Оригинальный файл тут: http://rghost.ru/49000018

| Сообщение посчитали полезным: