| Сейчас на форуме: vasilevradislav, zds (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Ручная распаковка Armadillo 1.xx-2.xx |
| Посл.ответ | Сообщение |
|
|
Создано: 18 января 2007 00:45 · Личное сообщение · #1 1.Прога запакована Armadillo v.1.xx-2.xx (об этом говорит PEiD, ProtecrionID) 2.Загружаю прогу в Оллю, останавливаюсь на ЕР по адресу: 004BB433 PUSH EBP MOV EBP, ESP PUSH-1 3. Если ссылаться на статью автора estet'а "Распаковка Армадилло с IAT Elimination, то именно с этой ассемблерной команды (PUSH EBP; MOV EBP, ESP;PUSH-1) начинается точка входа в ОЕР? 4. О том, что ОЕР начинается именно с этого адреса подтвердил мне QUnpack (004BB433) 5. На этом адресе (004BB433) снимаю дамп (OllyDbg, даже пробовал и с PETools), далее с помощью ImpREC востанавливаю таблицу импорта. Что интересно импорт восстанавливается полностью (что подозрительно для Армы?) 6. Загружаю damped_exe. в PEiD, он мне снова показывает - Armadillo 1.xx-2.xx (т.е. прога от Армы не распаковалась) Вопрос к участникам форума: 1. Каким образом с помощью ручной распаковке можно распаковать Armadillo 1.xx-2.xx? 2. С помощью чего это можно сделать автоматически (QUnpack пробовал - не получается)? email: head_63@mail.ru  |
|
|
Создано: 18 января 2007 02:10 · Личное сообщение · #2 morg пишет: 2.Загружаю прогу в Оллю, останавливаюсь на ЕР по адресу: 004BB433 PUSH EBP morg пишет: 4. О том, что ОЕР начинается именно с этого адреса подтвердил мне QUnpack (004BB433) чёт я не понял =) ты разберись вначале что такое EP и что такое OEP ;) |
|
|
Создано: 18 января 2007 02:18 · Личное сообщение · #3 Однако значение POP3 Password зашифровано и я никак не могу найти информацию про алгоритм шифрования, который майкрософт здесь применяет. Если у кого-нибудь есть мысли по поводу сабжа, буду благодарен. |
|
|
Создано: 18 января 2007 06:04 · Личное сообщение · #4 morg Действительно не понятно, у тебя OEP в EP 
А автоматически с помощью DilloDIE, armStripper(bit-hack респект), ArmaGUI, ArmInline. Знаю афигенный сайт, где все распаковщики всех версий, но он чето закрылся 
Да нет, он переехал! unpacking.narod.ru/unpackers.html |
|
|
Создано: 18 января 2007 06:36 · Личное сообщение · #5 unpacking.narod.ru/unpackers.html Is Good. And TRUE. |
|
|
Создано: 18 января 2007 07:23 · Личное сообщение · #6 Наболевшая тема про Армадиллу! morg, почитай, может, про ручную распаковку армы, может поможет. |
|
|
Создано: 18 января 2007 07:59 · Личное сообщение · #7 kaiZer пишет: Наболевшая тема про Армадиллу! Про распаковку армы туторов уйма, в них всё разжованно до мелочечей, ленивый только не сможет в них разобраться, гугл в вруки и вперёд. morg пишет: 2.Загружаю прогу в Оллю, останавливаюсь на ЕР по адресу: 004BB433 PUSH EBP MOV EBP, ESP PUSH-1 Это у тебя еп распаковщика, выглядит как стандартное начало прог на си. |
|
eXeL@B —› Крэки, обсуждения —› Ручная распаковка Armadillo 1.xx-2.xx |
Для печати