[ PE_Kill ] Распаковка PECompact 2.xx без использования ImpREC.doc

Сейчас на форуме: tyns777 (+5 невидимых)

Посл.ответ	Сообщение
Bad_guy Ранг: 536.4 (!), 171thx Активность: 0.66↘0.13 Статус: Администратор Создатель CRACKL@B	Создано: 22 ноября 2010 00:12 · Личное сообщение · #1 Обсуждение статьи Распаковка PECompact 2.xx без использования ImpREC.doc ----- Всем не угодишь \| Сообщение посчитали полезным: sas123

sas123 Ранг: 2.5 (гость) Активность: 0=0 Статус: Участник	Создано: 10 ноября 2011 11:23 · Поправил: sas123 · Личное сообщение · #2 У меня вопрос по скрипту, если нужно распаковать dll, то как корректно снять ее дамп, с exe проблем нету, а при попытке снять дамп с dll через ollydump пишет: unable to read memory of debugger process (10000000..105FEFFF) и потом появляется окошко c ошибкой дампера: Bad DOS Signature!! Как можно это исправить?
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 10 ноября 2011 11:37 · Личное сообщение · #3 Попробуй PETools. Может еще скрипт поломал заголовок, нужен бы сам пациент. ----- Yann Tiersen best and do not fuck
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 10 ноября 2011 11:38 · Личное сообщение · #4 Ну снимай дамп через любой другой софт, PETools, например.
sas123 Ранг: 2.5 (гость) Активность: 0=0 Статус: Участник	Создано: 10 ноября 2011 12:11 · Поправил: sas123 · Личное сообщение · #5 Пациент --> здесь <--, рабочий дамп после выполнения скрипта получается только через ollydump, через ollydumpEx уже не работает, так же как и снятый через LordPE, PETools, ImpREC 1.7e. -------------------------- Добавлю еще один вопрос: Вот --> здесь <-- видео ручной распаковки PECompact 3, сделал по видео скрипт: Code: var hwBP FIND eip, #??FF35# // Find "PUSH DWORD PTR FS:[0]" BP $RESULT RUN BD eip STEP mov hwBP, esp bphws hwBP, "r" //HWBP RUN bphwc // Clear HWBP FIND eip, #FFD7# //Find CALL [REGISTER] ABOVE the JNZ BP $RESULT FIND eip, #FFE0# //Find JMP [REGISTER] AFTER the JNZ BP $RESULT RUN STI STI FIND eip, #E847060000# //CALL TO IMPORT BP $RESULT RUN BD eip STI FIND eip, #E810000000# // CALL 000212C9 BP $RESULT RUN BD eip STI FIND eip, #FF93????00# //CALL GetProcAddress CUSTOM BP $RESULT RUN BD eip STI FIND eip, #7563# REPL $RESULT, #75#, #EB#, 2 //Change JNZ to JMP //RUN ret Когда применяю этот скрипт к своему пациенту, да и к тому что на самом видео (пример в архиве с видео), то в ImportREC некоторые заголовки с ошибками, можете помочь подправить скрипт, чтобы работал как на видео.
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 10 ноября 2011 12:52 · Личное сообщение · #6 sas123 про релоки слышал? ----- Yann Tiersen best and do not fuck
sas123 Ранг: 2.5 (гость) Активность: 0=0 Статус: Участник	Создано: 10 ноября 2011 13:20 · Личное сообщение · #7 PE_Kill пишет: sas123 про релоки слышал? Не слышал, я ollydbg увидел первый раз в прошлую пятницу, и то только из-за того чтобы распаковать dll, скрипт писал по readme ODbgScript.txt, что в архиве с плагином.
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 10 ноября 2011 14:04 · Личное сообщение · #8 Ну там надо релоки восстановить и мелочи всякие, вот держи http://www.sendspace.com/file/92z2vh В следующий раз иди в запросы, раз не шаришь и сам процесс распаковки не является целью. ----- Yann Tiersen best and do not fuck
kolobok66rus Ранг: -0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2011 11:38 · Личное сообщение · #9 Привет всем ! Делал всё по инструкции , всяко разно пробовал . У меня не получается разжать одну библиотеку , точнее она не хочет работать после распаковки. Вот пациент : http://uralwagon.com/soft/steamclient.dll Есть нет у кого какие предложения ? Могу расписать пошагово что я делал..
kolobok66rus Ранг: -0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2011 12:12 · Личное сообщение · #10 Отбой ! Уже всё сделали !!!
Ispanets Ранг: 3.5 (гость) Активность: 0=0 Статус: Участник	Создано: 08 августа 2015 14:12 · Личное сообщение · #11 тоже самое, этот же файл не могу распаковать, кто может помочь? распаковывал unpecompact2, после распаковки не работает файл. вот сам сжатый файл http://rghost.ru/8MLKZFHqp
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 08 августа 2015 14:30 · Личное сообщение · #12 Ispanets https://dropmefiles.com/yUqeF ----- ds \| Сообщение посчитали полезным: Ispanets
Ispanets Ранг: 3.5 (гость) Активность: 0=0 Статус: Участник	Создано: 08 августа 2015 15:01 · Личное сообщение · #13 Спасибо огромное. А редактировать его можно, чтоб он работоспособность не потерял? и чем редактировать?

Для печати