Есть нужда в распаковке 64 битной энигмы версии 5x с одного dll для дальнейшего исправления содержимого...

У кого какие мысли есть?

| Сообщение посчитали полезным:

1. Брать и распаковывать.
2. Идти в поиск специалистов.

| Сообщение посчитали полезным:

matrixa26 пишет:
У кого какие мысли есть?

Вы правила форума читали?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Archer пишет:
2. Идти в поиск специалистов.
Уже там...

Добавлено спустя 1 час 45 минут
P.S. Сам длл не сдампить - это 100% известно стало. Единственный вариант через загрузчик длл и в отладчике ковырять.

| Сообщение посчитали полезным:

matrixa26 пишет:
Сам длл не сдампить - это 100% известно стало
Интересно, почему? Почему Вы так считаете? Начнём тогда с простого вопроса: что Вы понимаете под словом "сдампить"? Я лично понимаю так: сдампить - это получить распакованный образ модуля(dll или exe) и не важно, будет он запускаться или нет - для анализа как-то годится.

Добавлено спустя 1 минуту
Не видел такого случая, чтобы нельзя было сдампить какой-то модуль какого-либо процесса )

-----
IZ.RU

| Сообщение посчитали полезным:

Уважаемый, DenCoder, могу выдать в личку архив и сами глянете. Но уверяю, что уже не один реверсер его посмотрел и все в один голос говорят, что дамп можно только с exe получить, а вот сам dll не выйдет, он даже в загрузчике dll не загружается.

| Сообщение посчитали полезным:

matrixa26, давай, гляну

Добавлено спустя 5 минут
У меня есть дампер под x64. Не выйдет дампером - верифер испытаю )

Добавлено спустя 19 минут
matrixa26 пишет:
Есть dll под энигма 5x
Кто может распаковать?
Так что нужно - сдампить или распаковать? Распаковать в моём понятии - это снять слой упаковщика с dll так, чтоб она загружалась, это одно. Сдампить - просто снять дамп, не важно, будет dll потом загружаться или нет, но чтоб был код для анализа, это другое.

-----
IZ.RU

| Сообщение посчитали полезным:

Сама прога написана на .NET.. Основные функции для обработки внутри этой dll.. Возвращаемые значения из нее bool(RunProtector) и int вроде по остальным(уже не помню)..
Если бул еще можно выяснить, то возвращаемый инт не понятен, ибо сегфолтится прога в защите из dll..

| Сообщение посчитали полезным:

DenCoder пишет:
распаковать?

Дамп не получается, так как длл нативна.

| Сообщение посчитали полезным:

matrixa26 пишет:
Дамп не получается, так как длл нативна.
Какая-то чушь!

для любой dll:
либо снаружи
OpenProcess + EnumerateLoadedModulesProc64 + ReadProcessMemory
либо изнутри
копируем в shared section, другим процессом забираем

Что неправильно? )
Можно, конечно, защиту и от этого придумать... Надо глянуть )

-----
IZ.RU

| Сообщение посчитали полезным:

Наработки в студию, иначе топик кандидат на закрытие по п.9 правил форума.

| Сообщение посчитали полезным:

Archer
Ещё суток не прошло, но уже ходит слушок, что наработок от лично тс не стоит ожидать )

-----
IZ.RU

| Сообщение посчитали полезным: Jaa

Archer пишет:
Наработки в студию

Свои измышления и советы я выдал выше, о каких наработках ещё может идти речь?

| Сообщение посчитали полезным:

Под наработками имеется в виду что-то вроде: загрузил в отладчик, обошёл антиотладку по адресам А и Б, восстановление импорта по адресу В, но вот застрял где-то в области Г, помогите советом.
Пока все наработки сводятся к: я поспрашивал у людей, и они все отмазались.

Тема закрыта за нарушение п.9 правил форума.

Предвидя следующий вопрос "я же запостил в поиск специалистов, но народу не видно", вот алгоритм действий:
1. Постится там запрос.
2. Выжидается срок на усмотрение.
3. Увеличивается цена в 2 раза, goto п.1.

| Сообщение посчитали полезным: DenCoder, CyberGod, sefkrd