Сейчас на форуме: vsv1, -Sanchez-, testrev1337, johnniewalker, Kybyx, bedop66938 (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Распаковка RLPack 1.16 Full
Посл.ответ Сообщение


Ранг: 67.4 (постоянный)
Активность: 0.040
Статус: Участник

 Создано: 30 августа 2009 19:05
· Личное сообщение · #1

Решил опыта ради попробывать распаковать RLPack 1.16.
При дефолтных настройках распаковывается не тяжелее UPX.
А вот максимальные опции защиты.

Вроде обошел проверку наличия дебагера, нашел код который трет хидер. Но Imp Rec до сих пор говорит
что битый хидер. В чем проблема?

Все что накопал:
Code:
  1. проверка на наличие дебагера:
  2. 00411261  /$  60            PUSHAD
  3.  
  4. порча хидера:
  5. 004112C3  /$  60            PUSHAD
  6.  
  7. переход на OEP:
  8. 004101FF   .- E9 6736FFFF   JMP 0040386B                             ; ultra_.0040386B
  9.  
  10. OEP: 
  11. 0040386B  />  55            PUSH EBP


PS Есть какие то скрипты по востановлению IAT?

d412_30.08.2009_CRACKLAB.rU.tgz - ultra_.exe



Ранг: 60.6 (постоянный), 20thx
Активность: 0.070
Статус: Участник

 Создано: 30 августа 2009 20:22
· Личное сообщение · #2

tuts4you.com/search.php?q=RLPack&r=0&s.x=0&s.y=0&s=Search



Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

 Создано: 30 августа 2009 20:35
· Личное сообщение · #3

По поводу ImpRec - посмотри вот тут

Code:
  1. 00410758  |.  6A 00         PUSH 0
  2. 0041075A  |.  68 80000000   PUSH 80
  3. 0041075F  |.  6A 03         PUSH 3
  4. 00410761  |.  6A 00         PUSH 0
  5. 00410763  |.  6A 00         PUSH 0
  6. 00410765  |.  68 00000080   PUSH 80000000
  7. 0041076A  |.  FFB5 431F0000 PUSH DWORD PTR SS:[EBP+1F43]
  8. 00410770  |.  FF95 22140000 CALL DWORD PTR SS:[EBP+1422]             ; CreateFileA


импорт чуть позже гляну




Ранг: 67.4 (постоянный)
Активность: 0.040
Статус: Участник

 Создано: 30 августа 2009 22:26 · Поправил: Sunzer
· Личное сообщение · #4

Короче импорт был весь битым, написал код для востановления импорта:

В EAX начало, в ECX конец включая нулевой DWORD. И так для каждой либы, у меня две было.

Code:
  1. 00010000    B8 AC704000            MOV EAX,4070AC
  2. 00010005    B9 EC704000            MOV ECX,4070EC
  3. 0001000A    8B10                   MOV EDX,DWORD PTR DS:[EAX]
  4. 0001000C    8B5A 02                MOV EBX,DWORD PTR DS:[EDX+2]
  5. 0001000F    2B5A 09                SUB EBX,DWORD PTR DS:[EDX+9]
  6. 00010012    335A 11                XOR EBX,DWORD PTR DS:[EDX+11]
  7. 00010015    8918                   MOV DWORD PTR DS:[EAX],EBX
  8. 00010017    83C0 04                ADD EAX,4
  9. 0001001A    3BC1                   CMP EAX,ECX
  10. 0001001C  ^ 75 EC                  JNZ SHORT 0001000A


Скрипт все отлично востановил, RLPack снят. Всем спасибо.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 31 августа 2009 08:55
· Личное сообщение · #5

Тогда можно закрыть, полагаю.


 eXeL@B —› Крэки, обсуждения —› Распаковка RLPack 1.16 Full
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати