 |
eXeL@B —› Крэки, обсуждения —› FSG 2.0, оер нашёл, импорт прикрутил ... перепробовал всё ...(почти) |
| Посл.ответ | Сообщение |
|
|
Создано: 15 мая 2005 00:21 · Личное сообщение · #1 По всем признакам - это JMP на ОЕР: 004001CC 40 INC EAX 004001CD ^78 F3 JS SHORT SongsKG.004001C2 004001CF 75 03 JNZ SHORT SongsKG.004001D4 004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C] Импорт находится по IAT AutoSearch ( одна msvcrt.dll с 18-ю функциями ). После прикручивания: .exe is not a valid Win32 application. Скорее всего RVA определяется не правильно. Как вычисляется в таких случаях?  |
|
|
Создано: 15 мая 2005 01:20 · Личное сообщение · #2 |
|
|
Создано: 15 мая 2005 08:26 · Личное сообщение · #3 buddy IAT AutoSearch для FSG 2.0 неправильно определяет размер, поставь побольше, лишнее - удали, если not a valid Win32 application, попробуй Rebuild PE. |
|
|
Создано: 15 мая 2005 12:21 · Личное сообщение · #4 оер нашёл offtop: Там ОЕР лежит в самом конце файла в открытом виде 
|
|
|
Создано: 15 мая 2005 21:47 · Личное сообщение · #5 Bit-hack offtop 
DrFits Это первое, с чего я начал, но почему-то нет ни в дампе ни в файле getModuleHandleA и даже LoadLibraryA не находится, хотя в OllyDbg есть ASCII строка... bkslash Не помогает. 4All Это нормально, что нет ни user32.dll ни kernel32.dll в таблице? Сама прога - это кейген для проги: Allsongs.exe, про неё недавно было 2 топика, особой нужды в ней нет, заинтересовал FSG 2.0 (кстати аккорды не совсем правильные, песен 10 посмотрел,- в каждой ошибки) Может там ещё что-нибудь навешено? Вот это чудо, посмотрите плиз =>  8759_SongsKG.exe
|
|
|
Создано: 15 мая 2005 22:18 · Личное сообщение · #6 Сам запаковал файлик, перед этим запомнил ЕР, распаковал, ОЕР находится правильно, импорт - тоже, прога запускается, но дальше пишет, что "не может прочитать инструкции по адресу ..." |
|
|
Создано: 15 мая 2005 23:42 · Личное сообщение · #7 |
|
|
Создано: 15 мая 2005 23:48 · Личное сообщение · #8 |
|
|
Создано: 15 мая 2005 23:51 · Личное сообщение · #9 NIKOLA ясно, что дело тёмное
|
|
|
Создано: 16 мая 2005 00:34 · Поправил: ValdiS · Личное сообщение · #10 buddy Попробуй
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 16 мая 2005 00:36 · Личное сообщение · #11 Из-за правки исчез аттач 7c70_unfsg20.rar
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 16 мая 2005 00:47 · Личное сообщение · #12 Да млин, если каждый свой распакованный файл выкладывать будет, то что получиться? Лучше бы для buddy объяснили как распаковать, а то как гуру выложили файлы и довольны, так тогда бы уже с исходниками выкладывали. 
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 16 мая 2005 01:00 · Личное сообщение · #13 DrFits пишет: Лучше бы для buddy объяснили как распаковать http://exelab.ru/f/action=vthread&forum=1&topic=600 |
|
|
Создано: 16 мая 2005 01:17 · Личное сообщение · #14 NIKOLA Хмм, самому не нравится, когда тебе отвечают не так, как хочется... Нах постить распакованный файлик? Мне вот тоже интересно, как ты засунул в распакованный файл API, которая неопределилась? Или анпакеры рулят? |
|
|
Создано: 16 мая 2005 01:24 · Личное сообщение · #15 Ara пишет: Мне вот тоже интересно, как ты засунул в распакованный файл API, которая неопределилась? Посмотри 7911_IAT_8759_SongsKG.txt, размер иат по дефолту. То что не определилось, вырезал. Ara пишет: Или анпакеры рулят? Анпакер не справился. |
|
|
Создано: 16 мая 2005 06:12 · Личное сообщение · #16 buddy пишет: offtop Я это сказал просто так, для всех, кто этого не знал, т.к. ОЕР там действительно искать не надо, в конце файла лежат строки с именами каких-то winapi функций, а над ними ОЕР... buddy пишет: Импорт находится по IAT AutoSearch ( одна msvcrt.dll с 18-ю функциями ). Юзай Get Api Calls. 0615_Dumped_.rar
|
|
|
Создано: 16 мая 2005 11:03 · Личное сообщение · #17 ValdiS Анпакеры стараюсь не юзать, но этом случае пишет: The instruction at "0x00402e87" referenced at "0x00001014". The memory could not be "written". Bit-hack Распакованный у меня уже есть, спасибо, мне надо: Наташа Ростова: Поручик, вы любите детей? Поручик Ржевский: Нет, детей я не люблю, но сам процесс ... DrFits В яблочко!
Ara Какая API не определяется? И почему в уже распакованном файле импорт в дизасме не виден? |
|
|
Создано: 16 мая 2005 11:36 · Личное сообщение · #18 buddy Короче, ОЕР смотри в конце файла. Доходи до ОЕР в отладчике, дампь процесс. Грузи ImpRec. Вводи RVA OEP, Iat AutoSearch, кликни правой кнопкой мыши по окну, где должен быть импорт, Advanced..., Get Api Calls. Весь мусор вырежи. Дамп пофикси. Rebuild PE. |
|
|
Создано: 16 мая 2005 17:25 · Личное сообщение · #19 Bit-hack Офигенной спасибо!!! всё гуд, (мусора не было и оер почему-то в конце файла не наблюдается, дампил в начале топика).
|
|
eXeL@B —› Крэки, обсуждения —› FSG 2.0, оер нашёл, импорт прикрутил ... перепробовал всё ...(почти) |
Для печати