Сейчас на форуме: (+6 невидимых)

 eXeL@B —› Протекторы —› Themida распаковка (пробовал скриптом)
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 02 сентября 2016 08:56
· Личное сообщение · #1

Hi All!
Прошу помощи в распаковке, прилагаю 2 файла упакованный и "распакованный" пробовал скриптом Themida - Winlicense Ultra Unpacker 1.4.
упакованный:
http://dropmefiles.com/6baiw
и распакованный
http://dropmefiles.com/SlScS
буду рад если укажете направление.
С уважением, Rio.




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 12 сентября 2016 02:23
· Личное сообщение · #2

Rio тебе Hellspawn показал же? или ты не догнал?

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

 Создано: 12 сентября 2016 08:43
· Личное сообщение · #3

Это он нализался коктейля, которым с ним поделился покемон reversecode из соседней ветки.

-----
TEST YOUR MIGHT

Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 08:48
· Личное сообщение · #4

ClockMan
пока не "догнал"(



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

 Создано: 12 сентября 2016 09:44 · Поправил: dosprog
· Личное сообщение · #5

Таблица импорта содержит настроенные при распаковочном запуске адреса импортированных функций. Проще говоря, грязь.
(Судя по --> скриншоту от Hellspawn<-- . В той колонке, куда укаывает стрелка).




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 12 сентября 2016 11:43
· Личное сообщение · #6

dosprog
содись два))) у него табличка восстановлена по ординалу, в настройках надо отключить когда импорт восстанавливаешь)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 11:44
· Личное сообщение · #7

Может как раз прояснит:
http://dropmefiles.com/IlRtl




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 12 сентября 2016 11:53
· Личное сообщение · #8

дамп выложи свой ещё посмотрю)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 12:09
· Личное сообщение · #9

ClockMan
http://dropmefiles.com/mGj3Q



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

 Создано: 12 сентября 2016 14:47 · Поправил: dosprog
· Личное сообщение · #10

ClockMan пишет:
содись два)))

) Бывает, чо.. Файлов-то уже нету.

Добавлено спустя 2 минуты

.. а, вот ..

Rio пишет:
ClockMan
http://dropmefiles.com/mGj3Q

в заголовке адрес таблицы импорта указывает в никуда.

Code:
  1. ============================================================
  2.  Directory          at offset 00000178
  3. =============================================================================
  4.  Directory name             RVA     Size
  5. --------------------------  --------  --------
  6.  Export                   0121E5D8  0000004A
  7.  Import                     01A03000  000045EC   <-------------(!)
  8.  Resource                   00789000  0043C2DC
  9.  Exception                  00000000  00000000
  10.  Security                   00616C00  00001708
  11.  Base Relocation            0121E5C8  00000010  
  12.  Debug              00000000  00000000
  13.  Decription/Architecture    00000000  00000000
  14.  Machine Value              00000000  00000000
  15.  Thread Storage             00000000  00000000
  16.  Load Configuration         00000000  00000000
  17.  Bound Import               00000000  00000000
  18.  Import Address Table       00000000  00000000
  19.  Delay Import               00000000  00000000
  20.  COM Runtime Descriptor     00000000  00000000
  21.  (reserved)                 00000000  00000000

Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 15:05
· Личное сообщение · #11

dosprog
начало таблицы правильное 00401449?



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

 Создано: 12 сентября 2016 15:09 · Поправил: dosprog
· Личное сообщение · #12

Rio пишет:
начало таблицы правильное 00401449?

Ерунда какая-то..

;----------------------------------------------------
.004013F0: 66 61 63 65-64 4F 62 6A-65 63 74 D0-13 40 00 84 facedObject╨ @ ä
.00401400: 12 40 00 00-00 06 53 79-73 74 65 6D-00 00 8B C0 @ System ï└
.00401410: 14 14 40 00-11 0B 54 42-6F 75 6E 64-41 72 72 61 @ TBoundArra
.00401420: 79 04 00 00-00 00 00 00-00 03 00 00-00 84 10 40 y ä @
.00401430: 00 06 53 79-73 74 65 6D-3C 14 40 00-04 09 54 44 System< @ TD
.00401440: 61 74 65 54-69 6D 65 01- FF (*!!!!!*) 25 F4 A3-B0 00 8B C0 ateTime  %⌠ú░ ï└
.00401450: FF 25 F0 A3-B0 00 8B C0-FF 25 EC A3-B0 00 8B C0  %≡ú░ ï└ %∞ú░ ï└
.00401460: FF 25 E8 A3-B0 00 8B C0-FF 25 E4 A3-B0 00 8B C0  %Φú░ ï└ %Σú░ ï└
.00401470: FF 25 E0 A3-B0 00 8B C0-FF 25 DC A3-B0 00 8B C0  %αú░ ï└ %▄ú░ ï└
.00401480: FF 25 D8 A3-B0 00 8B C0-FF 25 D4 A3-B0 00 8B C0  %╪ú░ ï└ %╘ú░ ï└
.00401490: FF 25 D0 A3-B0 00 8B C0-FF 25 CC A3-B0 00 8B C0  %╨ú░ ï└ %╠ú░ ï└
.004014A0: FF 25 C8 A3-B0 00 8B C0-FF 25 08 A4-B0 00 8B C0  %╚ú░ ï└ % ñ░ ï└
.004014B0: FF 25 C4 A3-B0 00 8B C0-FF 25 C0 A3-B0 00 8B C0  %─ú░ ï└ %└ú░ ï└
.004014C0: FF 25 BC A3-B0 00 8B C0-FF 25 04 A4-B0 00 8B C0  %╝ú░ ï└ % ñ░ ï└
.004014D0: FF 25 B8 A3-B0 00 8B C0-FF 25 B4 A3-B0 00 8B C0  %╕ú░ ï└ %┤ú░ ï└
.004014E0: FF 25 B0 A3-B0 00 8B C0-FF 25 AC A3-B0 00 8B C0  %░ú░ ï└ %¼ú░ ï└
.004014F0: FF 25 A8 A3-B0 00 8B C0-FF 25 A4 A3-B0 00 8B C0  %¿ú░ ï└ %ñú░ ï└
.00401500: FF 25 A0 A3-B0 00 8B C0-FF 25 9C A3-B0 00 8B C0  %áú░ ï└ %£ú░ ï└
.00401510: FF 25 98 A3-B0 00 8B C0-FF 25 94 A3-B0 00 8B C0  %ÿú░ ï└ %öú░ ï└
.00401520: FF 25 90 A3-B0 00 8B C0-FF 25 8C A3-B0 00 8B C0  %Éú░ ï└ %îú░ ï└
.00401530: FF 25 88 A3-B0 00 8B C0-FF 25 84 A3-B0 00 8B C0  %êú░ ï└ %äú░ ï└
.00401540: FF 25 00 A4-B0 00 8B C0-FF 25 80 A3-B0 00 8B C0  % ñ░ ï└ %Çú░ ï└
.00401550: FF 25 7C A3-B0 00 8B C0-FF 25 78 A3-B0 00 8B C0  %|ú░ ï└ %xú░ ï└
.00401560: FF 25 18 A4-B0 00 8B C0-FF 25 14 A4-B0 00 8B C0  % ñ░ ï└ % ñ░ ï└
.00401570: FF 25 10 A4-B0 00 8B C0-FF 25 74 A3-B0 00 8B C0  % ñ░ ï└ %tú░ ï└
.00401580: FF 25 70 A3-B0 00 8B C0-FF 25 6C A3-B0 00 8B C0  %pú░ ï└ %lú░ ï└
.00401590: FF 25 28 A4-B0 00 8B C0-FF 25 24 A4-B0 00 8B C0  %(ñ░ ï└ %$ñ░ ï└
.004015A0: FF 25 20 A4-B0 00 8B C0-FF 25 68 A3-B0 00 8B C0  % ñ░ ï└ %hú░ ï└
.004015B0: FF 25 64 A3-B0 00 8B C0-FF 25 60 A3-B0 00 8B C0  %dú░ ï└ %`ú░ ï└
.004015C0: FF 25 5C A3-B0 00 8B C0-FF 25 58 A3-B0 00 8B C0  %\ú░ ï└ %Xú░ ï└
.004015D0: FF 25 54 A3-B0 00 8B C0-53 83 C4 BC-BB 0A 00 00  %Tú░ ï└Sâ─╝╗
.004015E0: 00 54 E8 41-FF FF FF F6-44 24 2C 01-74 05 0F B7 TΦA   ÷D$, t ╖
.004015F0: 5C 24 30 8B-C3 83 C4 44-5B C3 8B C0-FF 25 50 A3 \$0ï├â─D[├ï└ %Pú
.00401600: B0 00 8B C0-FF 25 4C A3-B0 00 8B C0-FF 25 48 A3 ░ ï└ %Lú░ ï└ %Hú
.00401610: B0 00 8B C0-FF 25 44 A3-B0 00 8B C0-FF 25 40 A3 ░ ï└ %Dú░ ï└ %@ú
.00401620: B0 00 8B C0-FF 25 3C A3-B0 00 8B C0-FF 25 38 A3 ░ ï└ %<ú░ ï└ %8ú
.00401630: B0 00 8B C0-FF 25 34 A3-B0 00 8B C0-53 83 C4 F4 ░ ï└ %4ú░ ï└Sâ─⌠
.00401640: BB E8 E5 AF-00 83 3B 00-75 59 68 44-06 00 00 6A ╗Φσ» â; uYhD j
.00401650: 00 E8 A6 FF-FF FF 89 44-24 08 83 7C-24 08 00 75 Φª   ëD$ â|$ u
.00401660: 07 33 C0 89-04 24 EB 50-8B 44 24 08-8B 15 E4 E5 3└ë $δPïD$ ï Σσ
.00401670: AF 00 89 10-8B 44 24 08-A3 E4 E5 AF-00 33 C0 8B » ë ïD$ úΣσ» 3└ï
.00401680: D0 03 D2 8B-4C 24 08 8D-54 D1 04 89-54 24 04 8B ╨ ╥ïL$ ìT╤ ëT$ ï
.00401690: 54 24 04 8B-0B 89 0A 8B-54 24 04 89-13 40 83 F8 T$ ï ë ïT$ ë @â°
.004016A0: 64 75 DC 8B-03 89 44 24-04 8B 44 24-04 8B 00 89 du▄ï ëD$ ïD$ ï ë
.004016B0: 03 8B 44 24-04 89 04 24-8B 04 24 83-C4 0C 5B C3 ïD$ ë $ï $â─ [├
.004016C0: 89 00 89 40-04 C3 8B C0-53 56 83 C4-F8 8B F2 8B ë ë@ ├ï└SVâ─°ï≥ï
;----------------------------------------------------



Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 15:29 · Поправил: Rio
· Личное сообщение · #13

в оле по ff 25 (ctrl-b) : 00401448 $- FF25 F4A3B000 JMP NEAR DWORD PTR DS:[0xB0A3F4] ; kernel32.CloseHandle.
в дампе:00B0A3F4 7C809D07 ќЂ| kernel32.CloseHandle



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

 Создано: 12 сентября 2016 15:36
· Личное сообщение · #14

Программа себе там чего-то поназагружала динамически.
Это не структура PE.



Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 15:45
· Личное сообщение · #15

dosprog
теперь выкидывает такое:


7c18_12.09.2016_EXELAB.rU.tgz - Безымянный.JPG



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

 Создано: 12 сентября 2016 15:52
· Личное сообщение · #16

Работать этот дамп не будет.
В оригинале, похоже, таблица импорта была где-то в районе .00B0A000.

| Сообщение посчитали полезным: Rio


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 12 сентября 2016 16:40 · Поправил: ClockMan
· Личное сообщение · #17

Rio пишет:
теперь выкидывает такое:
unpack--> Link <--


/*454236*/ JE SHORT 0045423A
/*454238*/ MOV BL,1
/*45423A*/ MOV EAX,[EBP-4]

хз у меня всё стартует unpack--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: Rio

Ранг: 95.5 (постоянный), 36thx
Активность: 0.080.04
Статус: Участник

 Создано: 12 сентября 2016 17:24 · Поправил: Rio
· Личное сообщение · #18

ClockMan
Второй отлично, благодарю.
С уважением, Rio.


<< . 1 . 2 .
 eXeL@B —› Протекторы —› Themida распаковка (пробовал скриптом)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати