Короче беда такая, после распаковки DLL пакованой Aspr2.x, восстанавливаю релоки, прикручиваю импорт и .... пытаюсь запустить прогу с этой библиотекой, прога падает т.к. происходит редирект в небо...
Запускаю под Оллей, на месте где переходники, часть переходников изменены верно, т.е. там стоит jmp d, [адрес функи], а часть jmp d,[адрес функи + 1000] и естественно этот адрес в небо...
При статическом просмотре этого места все путем, т.е. все адреса соответствуют...
Подскажите пжалоста, в чем гимор, что так поганит переходники...
Заранее примного благодарен!

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Подскажите пжалоста, в чем гимор, что так поганит переходники...

зависит от того чем ты восcтанавливал импорт ;)

| Сообщение посчитали полезным:

DaRKSiDE
прЕмного, но это значения не имеет
А можно дампы и не править, а ВСЁ вручную, но это такой гемморой, что волосы дыбом встают. Читал я об этом как-то, по-моему, у мыщъха.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

DaRKSiDE пишет:
т.е. там стоит jmp d, [адрес функи], а часть jmp d,[адрес функи + 1000] и естественно этот адрес в небо...
Вообще эти адреса лежат внутри таблицы IAT, если всё так как ты написал то протектор копирует часть IAT и перенаправляет переходники jmp. Выход - найти код прота где это происходит и что-нибудь занопить, или написать небольшую прогу которая прочешит всю таблицу jmp переходов и если адрес не попадает в IAT вычтет из него 1000. Что-то конкретно не могу сказать, т.к. аспр со времён 1.2 не распаковывал.

| Сообщение посчитали полезным:

Если в статике все нормально трабл только в релоках!

| Сообщение посчитали полезным:

Asterix

Импреком как обычно.

dragon

Я в ручную правил переходники, т.е. вычитая из исходного кода 1000... для конкретного адреса на который грузиться DLL все верно, если загружать в отладчик без проги. А если имиджбаза меняется то все летит прахом.

pavka

Похоже ты прав! Интересно, какая тулза позволяет редактировать релоки руками, не считая хексредактора конечно?

Crawler

Ты случайно не учитель русского языка и литературы?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

http://exelab.ru/f/action=vthread&forum=3&topic=3233
Вот аналогичная трабла... в приципе я повторился...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Импреком как обычно.
мб ReloX тебе поможет? скачать с васма можно.

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Интересно, какая тулза позволяет редактировать релоки руками, не считая хексредактора
Хм.. хексом надежнее! Посмотри в памяти в хидере значения релоков иногда помогает

| Сообщение посчитали полезным:

Ёлы палы, ни ASPack ни ASProtect релоки НЕ ГРОХАЮТ. Ищи их в дампе пересчитывай размер и правь в PETools. Relox еще зачемто....

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Что их искать? Они на месте, где и должны быть. Ну правил я в директориях релоки на старые, DLL вообще перестает загружаться.
ASProtect релоки НЕ ГРОХАЮТ

Возможно более ранние версии и не грохают... а здесь... х.з.

Red Bar0n

Если б...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Давай ее сюда, если я говорю, то так оно и есть. Атач или закидывай куда нибудь.
Только запакованый вариант а не то что получилось...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

DaRKSiDE а ты кстати ImageBase поменял после распаковки?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Ну конечно!

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Ты случайно не учитель русского языка и литературы?
По первому (гуманитарному) я филолог.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

PE_Kill пишет:
а ты кстати ImageBase поменял после распаковки?
DaRKSiDE пишет:
Ну конечно!
Что на что и за чем?

| Сообщение посчитали полезным:

pavka

На оригинал 400000, в принципе я оставлял и старую базу 860000, картины это не меняло.

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE
Я точно не могу вспомнить, что за упаковщик я мучил. Но ситуация похожая - только часть импорта нормальная была. Смотрел IAT в памяти - она из 2-х или более кусков состояла. По совету PE_Kill отключил восстановление импорта и в PE Tools просто задал адрес начала IAT - все восстановилось само.

| Сообщение посчитали полезным:

DaRKSiDE пишет:
При статическом просмотре этого места все путем, т.е. все адреса соответствуют...
т.е они все перемещаемые и все адреса соответствуют?
tundra37
По совету PE_Kill отключил восстановление импорта и в PE Tools просто задал адрес начала IAT - все восстановилось само.
Ты не мог бы по подробнее расказать что это за совет такой и где его включать и выключать если речь идет об оллидампе то распаковывается как я понял DLL пакованая Aspr2.x где еще можно включить я чет не догоняю?

| Сообщение посчитали полезным:

pavka

Ну да! Все соответствует...

Вот аттач со скринами, чтобы было понятно о чем идет речь...

f069_17.08.2006_CRACKLAB.rU.tgz - Desktop.rar

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Хм.. Странно
Прыжки в иат
jmp [009DDD7C]
jmp [0097E244]
Какой размер у иат?=5FB38 это только со скринов а на самом деле?
Судя по скринам перемешается все нормально и прыжкт идут туда куда и должны!
Проблема в ИАТ

| Сообщение посчитали полезным:

pavka

Старт ИАТ - 0098E1CC
Размер - 838

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE
Это с твоего скрина Hiew
Прыжки в иат
jmp [009DDD7C]
jmp [0097E244]
Ты посмотри внимательно

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Запускаю под Оллей, на месте где переходники, часть переходников изменены верно, т.е. там стоит jmp d, [адрес функи], а часть jmp d,[адрес функи + 1000] и естественно этот адрес в небо...

На твоем скрине в ольке все Jmp d,[адрес функи + 1000] только часть попадает в иат а часть нет !
Ты сам представь иат такого размера

| Сообщение посчитали полезным:

ну вот об этом и говорил я... часть в иат а часть в небо...
гимор в релоках...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Нет ! Релоки тут не причем! Все перемещается нормально!
Они прыгают в те же аддресса что и в статике!
jmp ds:[98xxxx] попадает в иат а вот остальные
jmp ds:[99xxxx] .............................jmp ds:[9Dxxxx] в небо!
Ты возьми и посчитай

| Сообщение посчитали полезным:

pavka

Все разобрался, спасибо за внимание! ;)

PE_Kill

А тебе ОСОБЫЙ РЕСПЕКТ!

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Все разобрался, спасибо за внимание! ;)

очень рад за тебя, но все-таки следует поделится с общественностью в чем была проблема,
иначе топик не несет никакой смысловой нагрузки и в следующий раз подобный топик будет
удалятся сразу

| Сообщение посчитали полезным:

Asterix

Смысл в том, что я изначально неправильно распаковывал DLL-ку, что и вело к тому что дамп коробило.
Все-таки анпакеры это хорошо, в том числе и стриппер, но в моем случае это не помогло.
Кстати сказать, стриппер действительно очень хреново распаковывает DLL-ки, видимо изначально был заточен под ЕХЕ-шники.
Проблема решилась тем, что я просто руками распаковал (олля) DLL-ку, восстановил релоки, которые так и не тронутыми лежали в соответствующей секции и прикрутил импорт, и усе заработало.
Мараль той басни такова - анпакер - хорошо, а руки и голова лучьше! ;)

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Стриппер релоки заново создает а это не есть гуд. Т.к. у ДЛЛ аспр ниче не прет что может быть релокозависимым а в exe они все равно грохнуты, а во вторых заново создавать это не из сорсов компилить, всегда можно допустить неточность.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: