| Сейчас на форуме: kris_sexy, vasilevradislav (+5 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› SBRunScr непонятный PE Header |
| Посл.ответ | Сообщение |
|
|
Создано: 27 апреля 2007 10:11 · Поправил: Release · Личное сообщение · #1 Есть такой сабж: SBRunScr http://serbis.pisem.net/ExeFiles/LCC/SBRunScr.zip , что вроде комбайного менеджера (скринсейвер, обои, погода и т.д., и т.п). Запакован WinUpack 0.39 final -> By Dwing, после распаковки PEiD пишет LCC Win32 1.x -> Jacob Navia. Но суть не в этом, а в том что не могу загрузить его в ольку ни запакованый, ни после распаковки WinUpack стрипером, хотя стартуют (пакованый, распакованый) нормально. Пробовал убирать весь мусор из заголовка, но не помогает  .
Подскажите, в чем "пакость" и где ее убрать.  |
|
|
Создано: 27 апреля 2007 10:18 · Личное сообщение · #2 Release пишет: не могу загрузить его в ольку ни запакованый какая ошибка вылазит? попробуй xPELister 0.4b, там есть функа RepairPE ----- [nice coder and reverser] |
|
|
Создано: 27 апреля 2007 10:55 · Поправил: Release · Личное сообщение · #3 Олька пишет: "Bad or unknown format of 32-bit executable file 'Путь \ к \ сабжу'." и выкидывает не на EP, а ntdll, в статусбаре пишет System startup breakpoint. xPELister находит ошибки, но после исправления эффект тот же.
Да, я забыл добавить сабж имеет размер 191.0 KB. Так что я думаю, если кому интересно, скачать и посмотреть будет не втягость. 
З.Ы. Пробовал загрузить в W32Dasm, пишет "Cannot Allocate File Buffer Memory". |
|
|
Создано: 27 апреля 2007 11:01 · Личное сообщение · #4 то что олли написала "Bad or unknown format of 32-bit executable file" еще ничего не значит. смотрим первым попавшимся под руку хиевом EntryPoint и ImageBase, делаем в олли go 401018, ставим бряк на этот адресс и запускаем - вуаля. И не надо патчить файл. как распаковать: бряк на LoadLibraryA, после того как брякнулись, бряк сюда: 00432DEB C3 RETN после ret'a мы на OEP. |
|
|
Создано: 27 апреля 2007 11:21 · Личное сообщение · #5 Release пишет: WinUpack стрипером Упак лучше всего распаковывает PE Explorer, там в последних версиях плагин есть для него. Вот распакованный http://www.pirateshare.net/?id=6858225 олька вроде не ругается. |
|
|
Создано: 27 апреля 2007 11:31 · Личное сообщение · #6 Release, скачай плагин Olly Advanced |
|
|
Создано: 27 апреля 2007 11:36 · Личное сообщение · #7 WolfHunter Спасибо, что ответил. Но основной вопрос стоял в том: как автор добился такого? |
|
|
Создано: 27 апреля 2007 11:40 · Поправил: Release · Личное сообщение · #8 Vovan666 Что-то у меня не получается от туда скачать. Пишет: "Веб-узел отклонил запрос на отображение этой веб-страницы".
Gideon Vi пишет: скачай плагин Olly Advanced Спасибо, посмотрю. |
|
|
Создано: 27 апреля 2007 19:07 · Личное сообщение · #9 продолжим... сдампили на OEP, записали новый EntryPoint = 1219. теперь веселые цифры для вбивания в импрек(IAT parameters): RVA = 1C580 Size = 434 соотв. натравили импрек на сдампленный файл и получили dmp.exe, работающий но все еще хреново выглядящий... после этого берем и натравливаем на получившийся dmp.exe тулзу из аттача. типа так: mapper dmp.exe preved.exe получаем preved.exe получше выглядящий и грузящийся в олли хоть и с матом("Unable to allocate xxx bytes of memory") зато с "вставанием" окна дизасма на EP. че делает тулза описывать лениво -- see the sources (ошметки от них =). могу сказать только что MapPEFile() и другие заделаны на основе MapPackedFile() из статик анпакера аспака by Dr.Golova. правда процедурки переписаны с нуля и основательно подрихтованы... вообще-то можно такую же хрень провернуть и с запакованным файлом(изврощенцы - они разные бывают =), вот только как минимум еще директорию импортов надо будет перенести... ну может еще чего, статик анпакера под упак не писал, всех приколов не знаю... ЗЫ тулза - гуан*, так софт писать нельзя. возможно где-то наглючил... но состояние сейчас не то чтобы писать нормально. и еще, чувствую меня лень задушит если я попытаюсь потом чего-то исправить/дописать, так что... ЗЗЫ а основная причина написания сего опуса не в том что некий бинарный обьект не грузится в олли, а в том что в виде "после тулзы" файло намного спокойней редактируется ПЕ редакторами (помню на грабли напарывался пару раз).  8a40_27.04.2007_CRACKLAB.rU.tgz - mapper.rar
|
|
|
Создано: 30 апреля 2007 16:10 · Личное сообщение · #10 Release пишет: Но основной вопрос стоял в том: как автор добился такого? Если ты про заголовок PE, испорченный WinUpack-ом, то просто этот упаковщик при супер-опциях , начиная с последних версий, корежит заголовок - про это уже писалось. Видимо "глюк" оказался полезным и его решили не править... |
|
|
Создано: 03 мая 2007 12:44 · Поправил: Release · Личное сообщение · #11 Спасибо всем отписавшимся. WolfHunter Спасибо, хотя это и не то, что мне нужно. Но (почти) любая инфа бывает полезной. tundra37 пишет: просто этот упаковщик при супер-опциях , начиная с последних версий, корежит заголовок Да я скачал этот упаковщик по тестил на паре файлов. Но, меня интересовало, в каком месте находится тот "дефект", из-за которого олька не хочет нормально грузить такой файл. Пробовал в ручную вылизывать заголовок и с помощью xPELister (там даже есть отдельный пункт специально для WinUpack-а) - не погло. Скачал по предложению Gideon Vi плагин Olly Advanced (оболденный, кстати, плагин, как я без него раньше обходился  ) и посмотрел, олька нормально грузит сабж с установленной галкой в пункте Kill NumOfRVA Bug. Буду дальше смотреть, что там не так.
|
|
eXeL@B —› Крэки, обсуждения —› SBRunScr непонятный PE Header |
Для печати