 |
eXeL@B —› Протекторы —› UPX 0.80 - 0.84 ... или ExeCryptor2 ?? |
| . 1 . 2 . 3 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 30 октября 2005 17:11 · Поправил: Модератор · Личное сообщение · #1 Сейчас поймал себя на факте,что я не могу распаковать UPX  .
Значит программа: PowerArchiver http://www.3dnews.ru/download/arch/powerarchiver/ ...упакована,как говорит PEiD, данным упаковщиком версии 0.80 - 0.84 . Как говорится,что тут распаковывать?Но сколько я не долблюсь с ней,у меня ничего не получается. Дело в том,что я там никак не могу найти привычных команд типа: call XXXXXXXX popad jmp XXXXXXXX ; <- прыжок на OEP После EP выполняется какой-то колоссальный код,который напичкан дальними переходами,вследствие чего происходит постоянное метание из последней секции ("a26losg3") в другую ("v0lowmiu").Под конец этих метаний потихоньку начинает запускаться программа,но такое впечатление,что при этом управление не передаётся в секцию кода("CODE")  .
Сам UPX упакованный файл не может распаковать. Сам же использую SoftIce. В общем,хотелось бы услышать какие-нибудь мысли по этому поводу. ----- the Power of Reversing team  |
|
|
Создано: 30 октября 2005 18:00 · Личное сообщение · #2 гЫ. Названия секций и метание по ним больше напоминают EXECryptor. PS оную тулзу ломал давно, старенькую версию, 8.70 вроде пасс там валялся в открытом виде в стеке. ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 30 октября 2005 18:35 · Личное сообщение · #3 [EXE]_cutor пишет: пасс там валялся в открытом виде в стеке ...у меня до этого стояла версия 9.20 этого архиватора.Файл был ничем не пакован,и серийник действительно можно было выудить из памяти в открытом виде.Программа была написана на Delphi 6-7 . Господа,какие будут ещё предположения? ----- the Power of Reversing team |
|
|
Создано: 30 октября 2005 18:58 · Поправил: Cigan · Личное сообщение · #4 Не знаю что у тебя за проблема, но только что скачал и распаковал! P.s. Кстати скачал рускую версию.  5b64_import_pa.txt
|
|
|
Создано: 30 октября 2005 19:46 · Личное сообщение · #5 Cigan Кхе-кхе 
Спасибо,конечно,за помощь,но невольно возникает пару вопросов: 1. Что это было (я имею в виду пакер/протектор) ?? 2. Как ты это сделал? P.S. Кстати,если скачать русскую версию программы,то PEiD выдаст: UPX 1.03 - 1.04 -> Markus & Laszlo ----- the Power of Reversing team |
|
|
Создано: 30 октября 2005 20:06 · Личное сообщение · #6 Хех некакой это не UPX 1.03 - 1.04 -> Markus & Laszlo посмотри на Section's ... такое натворить может ExeCryptor 
|
|
|
Создано: 30 октября 2005 23:21 · Поправил: Cigan · Личное сообщение · #7 Да в принципе все просто! Открыл в олге поставл bpm на секцию CODE. Он сработал три раза первые два раза во время распаковки а в третийтий раз уже на OEP. А что за пакер хз, но снимаеться в лет. |
|
|
Создано: 31 октября 2005 14:09 · Поправил: Z0oMiK · Личное сообщение · #8 Cigan Ага только она после распаковки незапускается |
|
|
Создано: 31 октября 2005 14:45 · Личное сообщение · #9 Я распаковывал этим: Quick Unpack v1.0 for Windows 2000/XP/2003/Vista (c) stripper engines by syd (c) code by FEUERRADER [AHTeam] P.S. И вообще зачем его распаковывать, в Ольке всё прекрасно видно и без распаковки. |
|
|
Создано: 31 октября 2005 15:25 · Поправил: Smon · Личное сообщение · #10 Может мы разные проги глядим :LOL: но у меня такое впечатление - что эта хрень (написанная на дельфах) побита какой то виртуальной машиной - код поуродован неплохо, хотя местами вообще не пошифрован..... да и отладчика не палит вовсе 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 15:28 · Личное сообщение · #11 Да вроде я про PowerArchiver 9.5 говорил. |
|
|
Создано: 31 октября 2005 15:31 · Личное сообщение · #12 EmptyneSS ага, он самый - PowerArchiver 2006 ver 9.50.20
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 15:55 · Личное сообщение · #13 Это типа эхекриптор с отключенной антиотладкой, без TLS'ной фичи старта до OEP и т.д. - один полиморфно-метаморфно-извращенный код =)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 16:18 · Личное сообщение · #14 Z0oMiK пишет: Ага только она после распаковки незапускается ...странно,на основе "дерева импорта" от Cigan я получил рабочий дамп,но Dede почему-то завис при его анализе  .
IDA походу кириллицу не понимает(распакована русская версия архиватора)... ----- the Power of Reversing team |
|
|
Создано: 31 октября 2005 16:28 · Личное сообщение · #15 Да у меня тоже в DeDe зависает на анализе. Я его в W32Dasm'е смотрел. |
|
|
Создано: 31 октября 2005 16:32 · Поправил: Z0oMiK · Личное сообщение · #16 Smon ага одни NOP's
DillerInc дык я юзад дерева импорта от Cigan я сам распаковывал ... и то криво |
|
|
Создано: 31 октября 2005 16:55 · Поправил: Smon · Личное сообщение · #17 Z0oMiK Может разные версии - я гляжу ту, которая у меня на диске Hard Soft 8 за эт год, а не ту которая в ссылке, хотя вроде одна версия =) Там нопов негусто, зато джампов всяких - видимо-невидимо =) Версия аглицкая =) ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 17:19 · Личное сообщение · #18 Так в принципе в чем щас проблема?  Че хотите увидеть то?
|
|
|
Создано: 31 октября 2005 17:21 · Личное сообщение · #19 EmptyneSS У меня не виснет ... попробуй еще прогой Source Rescuer Smon У меня PowerArchiver 2006 v9.50.20 посмотри у я какая ? может у тебя ниже версия ? |
|
|
Создано: 31 октября 2005 17:49 · Личное сообщение · #20 Z0oMiK Да вроде такая же =( Чёт оеп не найду - похоже где то чуть выше 007DADE8 и изменена или съедена чтоль ? 
007DADE8 8920 MOV DWORD PTR DS:[EAX],ESP 007DADEA A1 50F57E00 MOV EAX,DWORD PTR DS:[7EF550] 007DADEF 8B00 MOV EAX,DWORD PTR DS:[EAX] 007DADF1 E8 DE6ECBFF CALL POWERARC.00491CD4 ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 18:57 · Личное сообщение · #21 Чего то я вас не пойму в чем проблема то? |
|
|
Создано: 31 октября 2005 18:58 · Личное сообщение · #22 Z0oMiK пишет: Cigan Ага только она после распаковки незапускается хм у меня все запускаеться и работает! |
|
|
Создано: 31 октября 2005 20:25 · Личное сообщение · #23 Cigan Метода установки на мембрейка на секцию code не катит - никакого оеп не через 3, ни через 30 нажатий нет Стандартного дельфового начала тоже нет.... но импорт в чистом виде лежит =)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 20:44 · Личное сообщение · #24 И каким образом тогда работает у меня прога которую я распоковал? |
|
|
Создано: 31 октября 2005 23:15 · Личное сообщение · #25 Cigan оеп скажи плс, поглядим =)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 31 октября 2005 23:34 · Личное сообщение · #26 /*7DB2C8*/ PUSH EBP /*7DB2C9*/ MOV EBP, ESP /*7DB2CB*/ ADD ESP, -18 /*7DB2CE*/ XOR EAX, EAX /*7DB2D0*/ MOV DWORD PTR [EBP-14], EAX /*7DB2D3*/ MOV DWORD PTR [EBP-18], EAX /*7DB2D6*/ MOV EAX, Dumped_.007DA6C8 /*7DB2DB*/ CALL Dumped_.004079C0 Вот код с оеп Версия PowerArchiver 9.50.28 |
|
|
Создано: 31 октября 2005 23:46 · Личное сообщение · #27 Я чего то не пойму.. кто какую версию унпачит ? кто русскую кто английскую!
Я Английскую |
|
|
Создано: 01 ноября 2005 00:28 · Личное сообщение · #28 Я рускую |
|
|
Создано: 01 ноября 2005 00:42 · Личное сообщение · #29 Smon на погляди.. Сделал специально для тебя мувик rapidshare.de/files/7019562/Flash_Movie_UnPacking_ExeCryptor_2.zip Учись Студент
|
|
|
Создано: 01 ноября 2005 01:12 · Личное сообщение · #30 |
| . 1 . 2 . 3 . >> |
|
eXeL@B —› Протекторы —› UPX 0.80 - 0.84 ... или ExeCryptor2 ?? |
Для печати
