Я снял дамп с запущенного стандартного калькулятора, дамп рабочий, но когда восстанавливаешь импорт в ImpRec, полученный файл выдаёт сообщение, что не найдена .dll (неизвестно какая dll?). В чём дело?

| Сообщение посчитали полезным:

segabos пишет:
Я снял дамп с запущенного стандартного калькулятора, дамп рабочий, но когда восстанавливаешь импорт в ImpRec

Нафига??? незнаю как у кого, а у меня он нечем не пакован... (PEID Repporting:
Microsoft Visual C++ 7.0 Method2 [Debug]). И какой тут импорт востанавливать??? Если сам чем сжимал? то хотябы версию (пакера-протектора) скажи

| Сообщение посчитали полезным:

Red Bar0n
Ты же видишь - калькулятор + упакован + ранг1. Следовательно парень только учится. Имхо УПХ;))
)
segabos
Что именно пишет? Он же не пишет "Не найдена неизвестно какая длл?

-----
TBR

| Сообщение посчитали полезным:

1. segabos пишет: дамп рабочий
Что это значит?
2. Фраза такая выскакивает: "Приложению не удалось запуститься, поскольку .dll не был найден. Повторная установка приложения может исправить эту проблему."?
Неверно восстановил импорт для user32.dll (у меня лично не нашлись RVA: 000010B8, 000010E0, 0000114C, 00001164, 00001168, 00001180).
Grey
Видимо segabos ничем не упаковывал, просто снял дамп с calc и начал прикручивать импорт.

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

segabos

Забыл PEiD скачать ?

| Сообщение посчитали полезным:

Такие топики ИМХО удалать надо а автора отправить почитать всего-лишь одну статью от начала до конца, и у него в жизни больше подобных вопросов вообще не будет Здесь эта статья

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

дык наверно понаставили себе прог типа WindowBlinds и т.п. хрени, вот теперь и получаете перехваченные импорты из user32.dll ))

| Сообщение посчитали полезным:

Mario555
Правильно! Я потом догадался. Зато такой симпатишный рабочий стол

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Хм, наверно жертва вышедшего недавно хакера про взлом. Запостил странный вопрос и молчит, а тут все парятся, что же он всё-таки сделал и почему ЭТО вывалилось.

| Сообщение посчитали полезным:

segabos пишет:
снял дамп с запущенного стандартного калькулятора

может он у себя на Сеге нашёл, этот калькулятор ?

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

Я же сказал калькулятор стандартный, а значит ничем не упакованный. Getorix, ты правильно сказал, я просто решил восстановить библиотеку у самого обыкновенного дампа, обыкновенного калькулятора, но почему-то дамп работает, а после восстановления его таблицы импорта, файл при инициализации выдаёт следующее сообщение: "Приложению не удалось запуститься, поскольку .dll не был найден. Повторная установка приложения может исправить эту проблему".
Никаких WindowBlinds я не ставил, и прочей херни тоже. Так в чём же всё таки дело?
Getorix - ты тоже так сделал и тоже вывалилось это сообщение?
Дамп рабочий это значит, что он нормально запускается и нормально считает цифирки, т. е. выполняет свои функции, но всё таки это дамп, а я хочу сделать из него исходный калькулятор с таблицей импорта названий функций, а не их адресов (в образовательных целях).
Если ещё что не понятно - спрашивайте! И отвечайте

| Сообщение посчитали полезным:

DrFits пишет:
Такие топики ИМХО удалать надо а автора отправить почитать всего-лишь одну статью от начала до конца, и у него в жизни больше подобных вопросов вообще не будет Здесь эта статья

Что-то в той статье не совсем так. К примеру PeCompact распаковывают как и UPX.
Не знаю, но это не всегда выходит.Там импорт надо искать как MozgC учил.
Лучше распаковку начинать с MozgC статьи. http://www.exelab.ru/art/pkk.php

| Сообщение посчитали полезным:

segabos пишет:
тоже вывалилось это сообщение?
Ага, вываливалось, но я кривой дамп прикручивал из-за WindowsBlinds с ее перехватом импорта. А отдельно дамп у меня не заработал (да и не должен был, если я не ошибаюсь). А ты чем кстати дамп снимал?
ВСЕМ
Блин, а ловко segabos придумал! Человек осваивает снятие дампов и ImpRec. Так сказать тренируется на кошках

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Getorix пишет:
Блин, а ловко segabos придумал! Человек осваивает снятие дампов и ImpRec. Так сказать тренируется на кошках

Ага а потом начнет ломать freeware & GNU...
Тренероваться надо в обстановке приближенной к "боевой" ну или хотябы на крякми (унпакми)... А ошибка возможно выскакивает из-за неправельно проставленного Siz-а (у меня такое было пару раз)и (или) (если дамп рабочий возможно он был снят после oep). проверять свои предположения не буду не интересно...

| Сообщение посчитали полезным:

Red Bar0n пишет:
если дамп рабочий возможно он был снят после oep

Какое OEP если нет запаковки программы, у моего калькулятора есть только EP, и в единственном числе.
Статью MozgC "Распаковка от самого простого к чуть более сложному" я читал, и проделал всё что там описано (всё получилось), но хочется и самому что-нибудь сделать. Кстати я закачал эти четыре упаковщика\криптера и запаковывал\распаковывал их без проблем на разных прогах.
Дамп я снимал LordPE и PETools, они получаются одинаковыми (в опциях выставлено full dump: fix header, как в статье MozgC).
Методика снятия:
bpint 3 в SoftIce,
Break&Enter на Calc в LordPE,
в SoftIce запоминаем первые 2 байта от EP (у меня 6a 70), заменяем их на jmp eip, F5
в LordPE или PETools снимаем full dump,
в hex редакторе заменяем первые два байта от EP = EB FE, на 6a 70
Полученный подправленный дамп работает нормально!
запускаем исходный Calc, в ImpRec нацеливаемся на него, нажимаем IAT AutoSearch, что-то находится,
жмём Get Imports, появляется импорт все 6 строк YES (у меня OEP=EP=12475, RVA=1000, Size=228)
нажимаем Fix Dump и выбираем наш подправленный дамп. Ну а что полученный Dumped_ не работает я уже описывал.

| Сообщение посчитали полезным:

Всем:
Пишите на мыло: [Segabos@mail.ru=][/email]
ближайшие 20 дней у меня не будет доступа в Интернет.

| Сообщение посчитали полезным:

segabos пишет:
Пишите на мыло
Все конечно подорвались писать. Нормальный, блин, подход...
Red Bar0n пишет:
не интересно...

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным: