Приветствую!
Товарищи, нужна помощь! Препод дал нам свою методу не в pdf, а в exe. Оказался параноиком)
Суть в том, что это сделано в программе PDF2EXE, как я понял. Сначала, пробил через PEiD, и увидел: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo [Overlay]
Стал распаковывать, и увидел стандартную PUSHAD, и дошел до POPAD, а тут начался непонятный "ХОРОВОД", сразу после POPAD идет цикл заполнения стека нулями, а потом, резкий прыжок, а в этом прыжке прочая ерунда. Попытался всевить эти адреса в ImpREC, половина валидных, другая же нет, значит напортачил. Не подскажете?
Вот файл: http://rekldelo.esy.es/_Java.zip
И прога требует пароль, препод дал, он в архиве. Как выяснилось, прога фигачит этот PDF в GIF в temp папку.
Буду очень Вам признателен за замечания и подсказки

| Сообщение посчитали полезным:

Фигли там ковыряться. Сдампил память, нашел по сигнатуре pdf.

| Сообщение посчитали полезным: Alex___Raven

Самый обычный upx, шифрованная пдфка походу в оверлее.
Вот в общем твой файл, закрывай тему.

https://www.sendspace.com/file/3poh4l

-----
ds

| Сообщение посчитали полезным: Alex___Raven

И кстати говоря, файло распаковывается самим UPX'ом, достаточно пофиксить контрольную сумму.
http://rghost.ru/7RT5kPW5Y

| Сообщение посчитали полезным: Alex___Raven

Блин, парни, объясните, как? Мне важнее самому сделать, нежели чем просто достать)

Добавлено спустя 2 минуты
Начнем с того, как вы нашли OEP? Если в ручную распаковывать. И о том, как именно пофиксить контрольную сумму?

Добавлено спустя 2 минуты
Буду очень признателен за объяснение) Помогите пожалуйста)

| Сообщение посчитали полезным:

Как уже говорилось выше, UPX там самый обыкновенный. Нахождение ОЕР не представляет ни каких особенностей. На нашем сайте есть множество статей по распаковке этого упаковщика. Если будешь распаковывать при помощи дампинга и прикручивания импорта, то восстанавливать контрольные суммы не требуется.
Если же хочешь распаковать как я, чтобы получить оригинальный файл, тогда нужно воспользоваться плагином Recover UPX для PETools. Через сам UPX можно подглядеть нужные контрольные суммы C_adler и U_adler. Но исходя из постов выше, думаю этот способ тебе применять пока что рано.

| Сообщение посчитали полезным:

Alex___Raven пишет:
Блин, парни, объясните, как?

Настоящий хирург должен быть не только не брезгливым, но ещё и внимательным.(с)

Alex___Raven пишет:
прога фигачит этот PDF в GIF в temp папку.

Она его туда фигачит не только в GIF.


--Добавлено--

--> Java Manual v.3.0.0.128 <--

--> Java Manual v.3.0.0.128 (unpackable)<--



| Сообщение посчитали полезным:

dosprog пишет:
Она его туда фигачит не только в GIF.
Да, я это тоже заметил, и уже все стащил оттуда! Просто интересно, где я косякнул

| Сообщение посчитали полезным:

А при чём тут косяки?
Программа при завершении удаляет расшифрованный во временный каталог PDF.
А stub-вьювер производители программы специально после упаковки UPX'ом поковыряли в заголовке, чтобы он не опознавался самим UPX'ом как валидный. В последней Trial версии 5 на офсайте - stub вообще не упакованный.

Препод, видимо, неплохой. Умеет заинтересовать питомцев.



| Сообщение посчитали полезным:

Нее, он тупо параноик. Сказал: "Удали, не давай никому!"

Добавлено спустя 2 минуты
Косяки в плане распаковки. Почему после POPAD появляется цикл, который забивает в стек нули? И в итоге - никакой OEP не было найдено

| Сообщение посчитали полезным:

Потому что ты не владеешь информацией о стабе распаковщика UPX'a

| Сообщение посчитали полезным:

Какой упых, чо вы гланды через жопу рвёте то в несколько рыл ?

JohnyDoe всё верно сказал.
Открыли память в винхекск, нашли по сигне, сохранили пдфку, всё, делов на 1 минуту.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
Какой упых, чо вы гланды через жопу рвёте то в несколько рыл ?

Какой винхекс, ...
Раскриптованный PDF лежит в каталоге %TEMP% при работе вьювера, потом удаляется.
Просто скопировать его оттуда и всех делов.

Кстати, этот экзешник лепился с помощью поковырянной версии проги (2.0.0.99) -
тут в --> запросах <-- пяток лет назад она мелькнула.

В оригинальном стабе присутствует наглый месиджбокс при запуске.

--> Вот <-- этот же PDF с наглым окошком и фирменным стабом 2.0.0.99
И он нормально распаковывается, только после этого сам вьювер уже отказывается работать.

Рассматриваемый же файл не распаковывается UPX'ом.
)) То видать tihiy_grom стаб усовершенствовал против распаковки. Заодно.
Вернее, просто так получилось.



| Сообщение посчитали полезным:

dosprog пишет:
)) То видать tihiy_grom стаб усовершенствовал против распаковки. Заодно.


| Сообщение посчитали полезным:

) Да я уже увидел.
Там поредактирован этот стаб без распаковки, чтобы потом не срабатывала в нём же проверка размера файла. Отсюда и ошибка при распаковке UPX'ом.

Увидал --> старый пост <--, предположил, что с помощью той исправленной версии и делался рассматриваемый файл. Там ссылки давно мёртвые, это только предположение.

-- Добавлено --
Сам когда-то ковырял для себя эту программу, другую версию - не стал заморачиваться и убрал из этого вьювера вообще самопроверку целостности - полученную книгу можно паковать/распаковывать как угодно и чем угодно. Так удобнее.



| Сообщение посчитали полезным:

dosprog, проверка чексум не проходит потому, что к изначально пакованному стабу, прикручивается оверлей с ПДФ'ом. Как я уже писал выше, сам стаб депакера UPX'a оригинальный и никто его не изменял.

| Сообщение посчитали полезным:

TryAga1n пишет:
Как я уже писал выше, сам стаб депакера UPX'a оригинальный и никто его не изменял.


TryAga1n,
оверлей ни при чём. Всё дело именно в том, что поредактирован вручную стаб (без распаковки) для убирания нага.
Причём сделано это было в самой утилите PDF2EXE, с помощью которой лепили рассматриваемую книгу.

Вот повторно даю ссылку на книгу, сделанную (вчера мною) с помощью оригинальной триальной
утилиты той же версии.

Ссылка: --> Эта книга распаковывается нормально самим же UPX'ом <--
- Но в распакованном виде работать она не станет из-за самопроверки.

А книга, сделанная крякнутой утилитой, - в архиве топик-стартера. По ней как раз и возникли вопросы.
Сравните их двоично.


-- Добавлено --

Вот то, о чём я говорю: --> Cool PDF2EXE v 2.0.0.99 <-- - оригинальная утилита и триальный патч к ней.



| Сообщение посчитали полезным: