| Сейчас на форуме: vasilevradislav, zds (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Unpackme "New Generation" |
| Посл.ответ | Сообщение |
|
|
Создано: 06 января 2007 23:11 · Поправил: Spirit · Личное сообщение · #1 У меня такая проблема: Есть анпакми, писан на дельфях, накрыт неизвестной, но легкой защитой. В нем нет никакой антиотладки, но там какая-то фигня с импортом... ну и еще антидамп... В общем я нашел ОЕР [00403414], снял дамп, а вот импорт, ка я уже и сказал побитый, и как его восстановить, я понятия не имею. Кто знает как распаковать данную хрень? З.Ы.: Или мне обращаться в запросы на взлом? 
[EDITED] Ну так что, мне вообще никто не может/хочет помочь? Ну хоть кто нибудь бы... [/EDITED]  07f6_06.01.2007_CRACKLAB.rU.tgz - NewGenerationUnpackMe.rar
----- iNTERNATiONAL CoDE CReW  |
|
|
Создано: 07 января 2007 00:49 · Личное сообщение · #2 Spirit пишет: накрыт неизвестной, но легкой защитой а почему неизвестной? вроде там NsPacK V3.7 -> LiuXingPing *, а импорт в нем криво и восстанавливается. |
|
|
Создано: 07 января 2007 00:51 · Личное сообщение · #3 Там NsPacK навешан, распаковывается и дампится легко. А ОПЕ ты нашол не правильно! Это тебе PEiD так показал? Не надейся на него, только ручками анпач! Дамп прилипил... 8722_07.01.2007_CRACKLAB.rU.tgz - damp.exe
----- -=истина где-то рядом=- |
|
|
Создано: 07 января 2007 00:52 · Личное сообщение · #4 gegter пишет: почему неизвестной? вроде там NsPacK V3.7 -> LiuXingPing Не, нспак там конечно есть, на за ним еще какая-то хрень, типа прот... Или где ты видел, чтоб на нспаке была защита импорта и антидамп? ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 07 января 2007 00:55 · Личное сообщение · #5 KingSise пишет: Там NsPacK навешан, распаковывается и дампится легко. А ОПЕ ты нашол не правильно! Это тебе PEiD так показал? Не надейся на него, только ручками анпач! Дамп прилипил... Все это лажа! дамп и у меня есть... Он 100% написан на дельфях (PEiD в этом деле почти не обманешь на харде). А где ты видел, чтоб ОЕП у дельфи начинался с такого кода: 004114A6: E9 55 DB FF FF JMP 0040F000 004114AB: 8B B5 D4 FD FF FF MOV ESI,[EBP+FFFFFDD4] 004114B1: 0B F6 OR ESI,ESI 004114B3: 0F 84 97 00 00 00 JZ 00411550 004114B9: 8B 95 DC FD FF FF MOV EDX,[EBP+FFFFFDDC] 004114BF: 03 F2 ADD ESI,EDX 004114C1: 83 3E 00 CMP DWORD PTR [ESI],00 004114C4: 75 0E JNZ 004114D4 004114C6: 83 7E 04 00 CMP DWORD PTR [ESI+04],00 004114CA: 75 08 JNZ 004114D4 004114CC: 83 7E 08 00 CMP DWORD PTR [ESI+08],00 004114D0: 75 02 JNZ 004114D4 004114D2: EB 7A JMP 0041154E 004114D4: 8B 5E 08 MOV EBX,[ESI+08] 004114D7: 03 DA ADD EBX,EDX 004114D9: 53 PUSH EBX 004114DA: 52 PUSH EDX 004114DB: 56 PUSH ESI 004114DC: 8D BD 1C FF FF FF LEA EDI,[EBP+FFFFFF1C] 004114E2: 03 7E 04 ADD EDI,[ESI+04] 004114E5: 83 C6 0C ADD ESI,0C 004114E8: 57 PUSH EDI 004114E9: FF 95 68 FE FF FF CALL DWORD PTR [EBP+FFFFFE68] 004114EF: 5F POP EDI 004114F0: 5A POP EDX 004114F1: 5B POP EBX 004114F2: 83 F8 00 CMP EAX,00 004114F5: 74 59 JZ 00411550 004114F7: 89 85 E4 FD FF FF MOV [EBP+FFFFFDE4],EAX 004114FD: 03 3E ADD EDI,[ESI] ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 07 января 2007 01:01 · Личное сообщение · #6 Spirit пишет: Все это лажа! дамп и у меня есть... Только твой дам не рабочий, а мой нормально запускается 
----- -=истина где-то рядом=- |
|
|
Создано: 07 января 2007 01:02 · Личное сообщение · #7 JMP 0040F000 по идее это и есть Прыг на ОПЕ... ----- -=истина где-то рядом=- |
|
|
Создано: 07 января 2007 01:05 · Личное сообщение · #8 KingSise пишет: JMP 0040F000 по идее это и есть Прыг на ОПЕ... По твоей идее? Если это так, то переправить можешь? ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 07 января 2007 01:11 · Личное сообщение · #9 Это и есть ОПЕ, унпакми действительно написан на делфи: Borland Delphi 6.0 - 7.0 [Overlay] ----- -=истина где-то рядом=- |
|
|
Создано: 07 января 2007 01:16 · Личное сообщение · #10 KingSise пишет: Это и есть ОПЕ Опять косяк... это не оеп, т.к. по адресу 0040F000: 0040F000: E2 08 LOOP 0040F00A 0040F002: E3 06 JECXZ 0040F00A 0040F004: 25 AA 65 AC 12 AND EAX,12AC65AA 0040F009: A0 41 MOV AL,[00000041] 0040F00B: 66 83 F4 00 XOR SP,00 0040F00F: 22 D2 AND DL,DL 0040F011: 30 C3 XOR BL,AL 0040F013: 30 C3 XOR BL,AL 0040F015: 56 PUSH ESI 0040F016: 50 PUSH EAX 0040F017: 55 PUSH EBP 0040F018: 66 C1 C8 C0 ROR AL,C0 0040F01C: 5D POP EBP 0040F01D: 58 POP EAX 0040F01E: 5E POP ESI 0040F01F: 90 NOP 0040F020: 76 07 JBE 0040F029 0040F022: 53 PUSH EBX 0040F023: 0D 00 00 00 00 OR EAX,00000000 0040F028: 5B POP EBX 0040F029: 52 PUSH EDX 0040F02A: 6A CE PUSH CE 0040F02C: 83 C4 04 ADD ESP,04 0040F02F: 5A POP EDX А дельфовый оеп начинается с: 55 8B EC и т.д. Снова мимо... ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 07 января 2007 01:18 · Личное сообщение · #11 OEP 00403414 55 push ebp 00403415 8BEC mov ebp,esp 00403417 83C4 F0 add esp,-10 0040341A B8 E4334000 mov eax,um.004033E4 0040341F E8 A4FEFFFF call um.004032C8 00403424 6A 40 push 40 00403426 68 3C344000 push um.0040343C ; ASCII "Unpackme "New Generation"" 0040342B 68 58344000 push um.00403458 ; ASCII " Try to unpack me,you jackass 2oo7 " 00403430 6A 00 push 0 00403432 E8 45FFFFFF call um.0040337C ; jmp to USER32.MessageBoxA 00403437 E8 C0F9FFFF call um.00402DFC 0040343C 55 push ebp 0040343D 6E outs dx,byte ptr es:[edi] 0040343E 70 61 jo short um.004034A1 00403440 636B 6D arpl word ptr ds:[ebx+6D],bp 00403443 65:2022 and byte ptr gs:[edx],ah 00403446 4E dec esi 00403447 65:77 20 ja short um.0040346A и импорт все просто 5d28_07.01.2007_CRACKLAB.rU.tgz - tree.txt
|
|
|
Создано: 07 января 2007 01:20 · Личное сообщение · #12 pavka Вот это другое дело! А как ты импорт нашел, если не секрет? ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 07 января 2007 01:31 · Личное сообщение · #13 Да там все просто ты импорт смотри не доходя до OEP и не жди пока он заголовок засерет запускай импрек! |
|
|
Создано: 07 января 2007 01:33 · Личное сообщение · #14 pavka Огомное тебе спасибо! ----- iNTERNATiONAL CoDE CReW |
|
eXeL@B —› Крэки, обсуждения —› Unpackme "New Generation" |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати