Значит тема такая: скачал пакер, упаковал им "Hello world" на асме. Как анпакнуть ума не приложу.
Знаю что OEP 00401000, но установленные там бряки не срабатывают. По-моему код программы стал выполняться еще до OEP.
Теперь вопрос:
Как это распаковывается, при условии что OEP неизвестен
см. аттач

f07a_13.11.2006_CRACKLAB.rU.tgz - unpack_me.exe

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

А побольше че нить запаковать не можеш ну с главным окном там для начала.
Flint пишет:
Как это распаковывается, при условии что OEP неизвестен
А при условии что известен все равно там не брякается.Там нули и нифига туда не пишется.
А самое прикольное что если мемори бряк ставиш на OEP то прога Termenit'ся.

| Сообщение посчитали полезным:

Dark Star
Dark Star пишет:
А побольше че нить запаковать не можеш ну с главным окном там для начала

пакер тут www.team-x.ru/projects/trainers/St_Gr/simple-pack.1.11.src-tmx.rar
размер 360 кб, можешь запаковать сам, тока это врятли что изменит.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Я пакер не качал, но на компе порыскал в нашёл вот такой Simplepack 1.11 (надеюсь то что нужно)
Так вот там 2 метода упаковки выбрал первый, взял многострадальный калькулятор, упаковал (потом проверил и на блокноте). Загрузил в Олю, набрал hr esp-4, вывалился тут:

0101F197 ^E9 F6FEFFFF JMP calc.0101F092
0101F19C 61 POPAD
0101F19D 68 75240101 PUSH calc.01012475 <---тут
0101F1A2 C3 RETN
0101F1A3 89E5 MOV EBP, ESP
0101F1A5 83C8 FF OR EAX, FFFFFFFF
0101F1A8 FF6424 20 JMP NEAR DWORD PTR SS:[ESP+20]
0101F1AC 55 PUSH EBP

Потом не знаю что на меня нашло (интуиция или скрытые знания от прочтения туторов), но поставил бряк на экзекушан на строку выше (popad). Перезапустил, брякнулся, сдампил в Оле с рибилдом по методу jmp call, сохранил, подождал, запустил dump, дамп заработал, не поверил. Проделал аналогичную операцию с блокнотом (1 esp-4 на 1 стр выше) все получилось, опять дамп рабочий. Не поверил. Упаковал по второму методу (NT который) загрузил, посмотрел, боже мой - там же одни 7-ки. Начала трассировать - ручками, мой калькулятор так не разу и не прыгнул в тело программы (на 4+).
Мыслей 0

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Flint
Это распаковывается элементарно!
Можешь поставить меморибряк на хидер или бряк на 00400000 а далее потрейсь ;)

| Сообщение посчитали полезным:

хз че делать, тормознул на 400000, далее пакер int 2e вызывает... а далее и еще кучу прерываний

| Сообщение посчитали полезным:

fix200
int 2e пропусти new origin here
попробуй скрипт
bp 400000
run
bc 400000
bp 40020E
run
bc 40020E
add eip,2
FINDOP eip,#FFE0#
go $RESULT
sti
cmt eip, "This is the OEP!"
MSG "Just : OEP ! Please dumped it,Enjoy! "
ret

| Сообщение посчитали полезным:

не катит скриптик

хитрожопый блин распаковщик, с утра вобщем буду смотреть, щас спать хочца уже((

| Сообщение посчитали полезным:

Flint, всё уже давно распаковано... да еще и релиз какойто старый взяли.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

pavka пишет:
поставить меморибряк на хидер или бряк на 00400000 а далее потрейсь
pavka пишет:
int 2e пропусти new origin here
Если действовать так то до OEP доходим , кста переход на OEP осуществляется командой JMP EAX и помоему она всегда находится по фиксированному адресу Image Base + 349

Guru_eXe пишет:
да еще и релиз какойто старый взяли
Какой на сайтесе лежал такой и взяли

P.S Осталость только для Peida сигнатуру на этот пак сделать

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

bagie.xost.ru/

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Могу сказать одно - лоховской пакер. Взял виндовский калькулятор, запаковал пакером. Загрузил в олю, первая строчка PUSHAD Выбрал в ольке Search for ->All commands, и ввел там POPAD. Нашло их штук 10(не считал). На всех ставлю бряки.Затем F9. Останавливаемся здесь:

0101719C 61 POPAD
0101719D 68 E0190101 PUSH CALC.010119E0
010171A2 C3 RETN

Три раза на F7 - мы на ОЕР.
Далее дамп РЕ TOOLS и импорт восстановил ImpREC.
Все работает. Распаковка заняла 3-4 минуты.
Паковал там методом 1, так как у меня Win98. И этот пакер у когото вызывает трудности??? Я бы не сказал, что его нужно добавлять в PEid.

| Сообщение посчитали полезным:

[dimaxmaster пишет:
Могу сказать одно - лоховской пакер. Взял виндовский калькулятор, запаковал пакером. Загрузил в олю, первая строчка PUSHAD Выбрал в ольке Search for ->All commands, и ввел там POPAD. Нашло их штук 10(не считал). На всех ставлю бряки.Затем F9. Останавливаемся здесь:
Способ котрым ты распаковывал точно лоховской ;) А у пакера други критерии оценки , степень сжатия совместимость и т.д а стойкость приветствуется но не обязательна! Нормальному челу не придет же в голову сказать к примеру UPX лоховской пакер потому что его снять раз плюнуть! Да судя по тому ка ты снимал первый метод то второй стал бы для тебя непреодолимой преградой!

| Сообщение посчитали полезным:

pavka пишет:
Способ котрым ты распаковывал точно лоховской ;) А у пакера други критерии оценки , степень сжатия совместимость и т.д а стойкость приветствуется но не обязательна! Нормальному челу не придет же в голову сказать к примеру UPX лоховской пакер потому что его снять раз плюнуть! Да судя по тому ка ты снимал первый метод то второй стал бы для тебя непреодолимой преградой!

Возможно pavka и сам автор этого пакера, то и переживает.Второй способ паковки гляну позже.А вот метод мой нормальный.Этот метод съема,как раз для такого "крутого" пакера. Просто топик открыл Flint , где сказал, что не может распаковать. Я показал такой метод. Есть другие - пожалуйста. Просто я показал, что даже такая "крутейшая" упаковка Методом 1, снимается таким "лоховским" методом, как я показал.

| Сообщение посчитали полезным:

dimaxmaster
С нетерпеним ждем результатов наверное это будет интерсный метод! Увы огорчу тебя автор не я..

| Сообщение посчитали полезным:

dimaxmaster пишет:
Взял виндовский калькулятор, запаковал пакером
Блин, ну причем тут калькулятор! А в самом начале аттач для какого хера прикрутил? Вот скачай его и попробуй распакуй своим продвинутым способом, а потом делись впечатлениями по поводу лоховского пакера.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Вобщем насчет аттача с первого поста. Int 2E просто обходим. Далее в коде там еще хрень будет по адресу 40031F, там условный переход и через пару джампов будет ExitThread. Далее можно ставить бряк на jmp eax. Но там одна ф-ция вобщем ExitProcess восстановился в импорте, а Месаджбокс- нет. Чувствую, что из-за того условного перехода. Щас буду дальше копать.

| Сообщение посчитали полезным:

хмм.. 2-й метод упаковки последней версии(1.21) распаковал, все ок.
А вот с программой Flint'a сложности - под отладчиком вообще не запукается. После Int 2eh она вообще улетает непонятно куда и вырубается, без извещения отладчика - процесс уже ни через одну прогу не виден, при попытке выхода из оли вылетает MessageBox с ошибкой "Access Denied при попытке Terminate Debugged Program".

Будем думать...

| Сообщение посчитали полезным:

Гы.. дамп снял у файла, который без отладчика был запущен. Вобщем распаковал файл.


d3f9_14.11.2006_CRACKLAB.rU.tgz - dumped_unpack_.zip

| Сообщение посчитали полезным:

Стоим на system breakpoint. Control+G, 400000, бряк на
00400003 /EB 01 JMP SHORT unpack_m.00400006

Топаем до сюда.

004001B9 /75 0A JNZ SHORT unpack_m.004001C5
здесь флаг меняем, прыг не срабатывал чтоб. Топаем фнутрь call'a и находим на такое:

0040020E CD 2E INT 2E
Спокойно жмакаем F7 и переходим на

00400213 /EB 04 JMP SHORT unpack_m.00400219
Усё, дальше следим за

0040039C D1E8 SHR EAX,1
проверка конца распаковки
При нуле идём на восстановление импорта. И потом переход на 401000.
Чё сложного???

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

ой.... не дамп... а этот... импорт.
Вобщем сложности при распаковке:
int 2e
и условный переход в коде (его нопим).
дамп снимаем на jmp eax
импорт восстанавливаем у запущенного файла без отладчика

| Сообщение посчитали полезным:

простите за оффтоп, но столько суеты из-за ничего. ужас прям. пакер один хер с сорцами да и без сорцов даже, вся "защита" снимается лементарно. но метод поиска popad действительно лоховский)) это надо до такого додуматься))

| Сообщение посчитали полезным:

Извиняюсь, тупил на 004001B9 не заметил антидебаг). А так все действительно просто).

| Сообщение посчитали полезным:

Не заню чё вы к этому пакеру приципились, для него и анпакер уже давно написан... может это новый способ набивания постов? дык давайте тогда еще и разберем распаковку упикса, может не все еще поняли.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Guru_eXe:

Весьма долго этот пакер не видели антивирусы
Может поэтому и прицепились.

| Сообщение посчитали полезным:

Guru_eXe
Да всё нормально - народ пожелал распаковать. Не вижу в этом ничего плохого. Просто опыта народу не хватило. На самом деле похвалить стоило - такое желание добить это пакер, что прям радуешься

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

> Весьма долго этот пакер не видели антивирусы

Как первый упакованый троян попался, так в тот же день сделал распаковщик. Ничего сложного в пакере замечено не было.

| Сообщение посчитали полезным:

А я вот не видел для него автораспаковщик... по этому написал свой...

Если кому надо - то в аттаче прикреплен мой UnSimplePack (18Кб)

Распаковывает SimplePack версии 1.11 и 1.21 на обоих методах,
если кому интересно потестите мож какие баги есть...

Если надо могу залить и пакер...

3a3b_14.03.2007_CRACKLAB.rU.tgz - UnSimplePack.exe

| Сообщение посчитали полезным:

Конечно потестим!
Прям сегодня!

| Сообщение посчитали полезным:

да там элементарно всё распаковывается.. ресурсы надеюсь ребайлдятся?
а если нет, то распаковщик за 5 минут пишется...

-----
[nice coder and reverser]

| Сообщение посчитали полезным: