Сейчас поймал себя на факте,что я не могу распаковать UPX .
Значит программа:
PowerArchiver http://www.3dnews.ru/download/arch/powerarchiver/
...упакована,как говорит PEiD, данным упаковщиком версии 0.80 - 0.84 .
Как говорится,что тут распаковывать?Но сколько я не долблюсь с ней,у меня ничего не получается.
Дело в том,что я там никак не могу найти привычных команд типа:
call XXXXXXXX
popad
jmp XXXXXXXX ; <- прыжок на OEP
После EP выполняется какой-то колоссальный код,который напичкан дальними переходами,вследствие чего происходит постоянное метание из последней секции ("a26losg3") в другую ("v0lowmiu").Под конец этих метаний потихоньку начинает запускаться программа,но такое впечатление,что при этом управление не передаётся в секцию кода("CODE") .
Сам UPX упакованный файл не может распаковать.
Сам же использую SoftIce.

В общем,хотелось бы услышать какие-нибудь мысли по этому поводу.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

SergSh пишет:
Импорт восстановил

А ты молоток.

По поводу

SergSh пишет:
Может кто подскажет как эта шняга правильно называется

Моё мнение ЕксеКриптор, только или старый или демо.

| Сообщение посчитали полезным:

NIKOLA Там EXECryptor 2.0

| Сообщение посчитали полезным:

Кстати вот почитайте Execryptor 2.2.50

pnluck.altervista.org/soft-tute/Execryptor_a_look_on.html

| Сообщение посчитали полезным:

Спасибо

| Сообщение посчитали полезным:

и вот тут тоже можно кое-что почитать...
__hxxp://tuts4you.com/tutorials/Unpacking/

| Сообщение посчитали полезным:

Вот тут добрые друзья сделали за нас всю работу ... Распаковали ExeCryptor + написали статью + ее можно скачать залил сюда ! Качаем и читаем
rapidshare.de/files/7385298/snd-execryptor2.powerarc.2006_v9.50.28.unpacking.tutorial.zip.html

| Сообщение посчитали полезным:

Большое спасибо за инфу. Но я пытаюсь распаковать Internet Access Monitor, а там все описанные методы уже не катят.Там всё значительно интересней. Может это всё-таки не EXECryptor 2.0.

| Сообщение посчитали полезным:

Кому интересно посмотрите, что у меня получилось.
Your Download-Link: rapidshare.de/files/7518369/__________EXECryptor_________InternetAccessMonitor_exe.rar.html
Высказывайтесь пожалуйста.

| Сообщение посчитали полезным:

Кажется я ошибся при восстановлении импорта. Конечно надо сделать Delete thunk(s) не восстановленным функциям. Извеняюсь погоричился, но я только учусь.

| Сообщение посчитали полезным:

SergSh Это мувик или просто документация ?

| Сообщение посчитали полезным:

Z0oMiK
Скачай да посмотри... Это doc...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS У меня трафик не бусконечный я и спрашию

| Сообщение посчитали полезным:

Да с импортом я конкретно лоханулся. Дело в том, что он использует таблицу идентификаторов не только для получения адреса функции, но и в процессе роспаковки он также и формирует эту таблицу под конкретную ось. Поэтому полученный выше описанным способом дамп вряд ли будет работать на другой машине. Следовательно IAT надо раскриптовывать обязательно. В принципе методика описана, но есть некоторые ньюансы, над которыми в данный момент и работаю. Было бы здорово если бы ктонибудь рассказал как избавится от триального периода, уж очень хочится поскорее закончить, да посмотреть, что там с Pelock.

| Сообщение посчитали полезным:

SergSh
а если после твоего "ручного" востановления ImpRECом прикрутить импорт?

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Да так и надо сделать, но тут возникает проблема с процедурами на прыжки, я с ними пока не разобрался.

| Сообщение посчитали полезным:

SergSh пишет:
как избавится от триального периода

Попробуй триал-резетом. Он находит ключики криптера, но по мойму не удаляет.

| Сообщение посчитали полезным:

SergSh
как избавится от триального периода
можно и триал-ресетом (ключи удаляет)..., а можно фри-версию скачать, в ней нет триала, упакована тем же + поможет в дальнейшем добиться полной функциональности проги... (imho)

| Сообщение посчитали полезным:

Кому интересно посмотрите, что у меня получилось в итоге.
Your Download-Link: rapidshare.de/files/7660450/EXECryptor_in_InternetAccessMonitor_exe.rar.html
Высказывайтесь пожалуйста.

| Сообщение посчитали полезным:

SergSh
переложи если не трудно на wefile.ru....
а то рапида последнее время мрет часто...

| Сообщение посчитали полезным:

наблюдал похожую картину с одной прогой
та также определялась UPX'ом, содержала безобразные имена секций
и постоянно совершала скачки из одной в другую
распаковал и сломал сам, но так и не понял, что это было такое

p/s новая версия той проги ведет себя точно также, но определяется уже как neolite

| Сообщение посчитали полезным:

Странно когда Trial-Reset.exe убираю ключики EXECryptora, то триальный период начинается с начала.

| Сообщение посчитали полезным:

SergSh пишет:
Странно...
триальный период начинается с начала
А что тут странного?? Ключь содержит кол-во прожитых (оставшихся) дней. Убиваем ключь - и все сначала.

Поэтому и наз-ся Trial Reset.

-----
TBR

| Сообщение посчитали полезным:

[Забанен за постоянные нарушения правил форума]

| Сообщение посчитали полезным:

такой же вопрос не могу понять чем ужат SQLite Analizer www.kraslabs.com пейн грит upx 0.80-0.84 но upx обратно не разворачивается ... как то можно точно определить чем его ужали ?

| Сообщение посчитали полезным:

качнул деде (3.50.04) при дампе нашёл использование ExeCryptor
подскажите плз как выкинуть код внесённый ехекриптором чтобы можно было вытащить dfm

| Сообщение посчитали полезным: