Проблема с распаковкой UPX v 0.89.6 у новичка

Сейчас на форуме: r0lka, yashechka (+4 невидимых)

Посл.ответ	Сообщение
acidon Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 октября 2005 04:24 · Поправил: acidon · Личное сообщение · #1 Помогите народ! Совсем уже запарился пытаясь получить работающий дамп после ручной (и с помощью распаковщиков тоже) распаковки UPX запакованного файла. Я только начинаю постигать премудрости кракинга, так что не исключено,что моя проблема заключается в моих корявых руках,но все же... Сам сабж лежит здесь http://www.masterofwizards.com/YaTBoTsetup.exe http://www.masterofwizards.com/YaTBoTsetup.exe . Установил. PEid выдал следующее : UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]. 1) Вначале попробовал QUnpack (qu07) - oep определяет правильный,все распаковывает гладко - дамп не работает. На всякий случай восстановил табл импортов ImpRec'ом у полученного дампа - результат тотже. 2)Ручная распаковка - Нашел ОЕР в Олли (0042ADE8),затем дампил а) с помощью PE TOOLs б) с помощью плагина самой Олли . Дамп в случае с олли не запускается( хоть там вроде импорт должен ребилдится автоматом). Восстанавливаю табл импорта с ImpRec : запускаю сабж,прикрепляюсь к процессу, прописываю ОЕР как 0042ADE8 - 00400000 --> 2ADE8 , IAT AutoSearch,Get Import,Fix Dump - дамп не работает!!! Может там какойнить скрамблер или чтонить? В петулсах попробовал плагин Restore UPX и прогнал процесс еще раз - результат опять нулевой. Самостоятельно выйти из данного тупика не могу, может кто поможет дельным советом,может тулзы не те юзаю,или мозги не к тому месту прикладываю?Вопрос, я уверен, для вас, спецов,пустяковый, но все мы когдато учились в первый раз Пожалуйста помогите разобраться! п.с. upx.exe -d сабж.exe - первая вещь что я попробовал,но дамп не работал.

Error_Log Ранг: 228.7 (наставник), 2thx Активность: 0.12↘0 Статус: Участник malware research	Создано: 18 октября 2005 11:08 · Личное сообщение · #2 acidon пишет: Дамп в случае с олли не запускается Что значит не запускается? Вылетает с ошибкой или сразу закрывается? Если второе, то дело не в упх а в целосности кода... ----- Research is my purpose
mysterio Ранг: 307.9 (мудрец), 196thx Активность: 0.18↘0 Статус: Участник	Создано: 18 октября 2005 15:07 · Поправил: mysterio · Личное сообщение · #3 acidon Там не UPX v0.89.6, там UPX v1.25 - хотя один фиг ;) Распаковывается без проблем. OEP у тебя правильный. Правда после распаковки он начинает просить какой-то свой скрипт. ----- Don_t hate the cracker - hate the code.
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 18 октября 2005 16:12 · Личное сообщение · #4 Прога после распаковки чекает саму себя на анпак. Сперва проверяется последние 12 байт файла, потом поблочно почти весь файл. Ищи места проверок и правь.
WELL Ранг: 266.8 (наставник), 5thx Активность: 0.22↘0.03 Статус: Участник very WELL :)	Создано: 19 октября 2005 03:36 · Личное сообщение · #5 Кстати на васме есть UPX Ripper. Им автоматически распаковывается даже

Для печати