Привет!
Мне надо распаковать utorrent(любой версии). С помощью peid узнал что прога упакована neolite 2.0. Пробывал с помощью procdump + imprec распаковать но ничего не получилось. Как вообще распаковывать neolite?

| Сообщение посчитали полезным:

Дал бы линк (мну не шарит в торрентах, поэтому под рукой нету). А вообще QuickUnpack попробуй.

| Сообщение посчитали полезным:

QuickUnpack 1.0 final не совсем справился(у меня ОЕР не мог найти). Начало неолита:

004340D0 > $ /E9 A6000000 JMP CRACKME7.0043417B
004340D5 |505C4300 DD CRACKME7.00435C50
004340D9 . |58404300 DD <&KERNEL32.LoadLibraryA>
004340DD . |5C404300 DD <&KERNEL32.GetProcAddress>

Смотрим немного ниже:

0043417A . 00 DB 00
0043417B > 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
0043417F . 2305 E1404300 AND EAX,DWORD PTR DS:[4340E1]
00434185 . E8 ED040000 CALL CRACKME7.00434677
0043418A . FE05 7A414300 INC BYTE PTR DS:[43417A]
00434190 . FFE0 JMP EAX

где JMP EAX - прыжок на ОЕР. Этот адрес (из ЕАХ) пишем в QuickUnpack и тогда он нормально распаковывается. Так проще всего восстановить импорт.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

спасибо!

| Сообщение посчитали полезным:

страно... QU показал что прога упакована PeCompact 2.xx
Peid говорит что NeoLite.. кому верить?

| Сообщение посчитали полезным:

msdn7 пишет:
кому верить?
сам посмотри.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

msdn7
QU предназначен в основном не для детекта, посему вероятность его ошибки всё же больше. С другой стороны, как разница, если анпачит.
HandMill
Уже 2.0 почти готов, выкладывалось несколько беток. Тамошние ОЕП файндеры наверняка справятся, хотя бы парочка из них.

| Сообщение посчитали полезным:

Archer пишет:
Тамошние ОЕП файндеры наверняка справятся, хотя бы парочка из них
Что-то из них всех только от UsAr справился - и то, только по тому, что я знал как ОЕР должно было бы выглядеть .... раз 10 щёлкнул "Next"

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill
Не может быть, чтоб от дероко не справился, там офигенный файндер с дровом (или я не релизил эту версию на паблик...). От хумана по идее должен был справиццо. А вообще да, ОЕП-файндеры-это довольно слабое место проекта, есть пара хороших, но больше или лучше всё равно я нигде не смог найти.
В любом случае оффтопить больше не буду, распаковано и ладно.

| Сообщение посчитали полезным:

У меня есть utorrent, кажется 1.6.1, который был под upxом. Вообще на прове авангарде я сижу, там сделали между юзерами хорошую скорость, от рейтинговой системы и от запоминания на трэкере чего ты качал отключиться можно элементарно

-----
Всем не угодишь

| Сообщение посчитали полезным:

msdn7
у меня PeID пишет
PECompact 2.x -> Jeremy Collake
И QU тоже
У меня µTorrent 1.6 (build 474)
OEP прекрасно находит QU и плагин для ПеИД (ОЕР=00434A95)
Статья от PE_Kill тоже рулит Распаковка PECompact 2.xx без использования ImpREC

| Сообщение посчитали полезным:

Archer пишет:
От хумана по идее должен был справиццо.
На utorrent 1.7.2(b 3458) плаг впал в глубокий ступор. Версия пакована каким-то измененным UPX.

msdn7 зайди на ихний форум, они там выкладывали недавно какую-то версию пакованую Pecopact, UPX, и не пакованую ни чем.

| Сообщение посчитали полезным:

uTorrent v1.6.1 build 490
PEiD, RDG Packer Detector: PECompact 2.x -> Jeremy Collake, PECompact v2.5x - v2.7x

А в чем трабл то ? .... распаковывается на ура и без проблем ....

В атаче скрипт.

edcc_19.08.2007_CRACKLAB.rU.tgz - PECompact_v2_55-v2_67c_OEP_finder_by_[TLG]Mysterio.txt

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Bad_guy
от рейтинговой системы и от запоминания на трэкере чего ты качал отключиться можно элементарно
С этого момента можно, пожалуйста, подробней? От чего хоть отталкиватся?

| Сообщение посчитали полезным:

кстати, насчет рейт. системы... как вариант можно в etc/hosts прописать 127.0.0.1 announce.xxxx.xx ... и прицепить свою прогу как вэб-сервер который будет ретранслировать все пакеты уже на трэкер... и конечно же изменить пакеты.. т.е. изменять саму статистику up/down...

| Сообщение посчитали полезным:

Можно просто перехватить пакет снифером, изменить там кол-во скачаной/отданой инфы и отправить на сервер. Но это не красиво, хотелось бы подправить клиент.

| Сообщение посчитали полезным:

если подправлять клиент(utorrent) то там надо просто изменить два push'a ( push 0)... перед вызовом wsprintf... когда формируется get запрос..

| Сообщение посчитали полезным:

в данный момент по ссылке /1.7.2/utorrent.exe http://download.utorrent.com/1.7.2/utorrent.exe лежит упакованный UPX'ом файл + цифровой сертификат, который до upx -d можно убрать с помощью ImageRemCert.exe

-----
EnJoy!

| Сообщение посчитали полезным:

vpadlo пишет:
С этого момента можно, пожалуйста, подробней? От чего хоть отталкиватся?
Имеем распакованный мюторент и снифер любой (commview например). Запускаем закачку файла, смотрим что пошло на трэкер, останавливаем закачку, смотрим что пошло на трэкер, потом смотрим что каждые 20 минут идёт на трэкер. Потом заходим на трэкер, внизу видим на каком он движке работает, ищем сайт, качаем движок, смотрим его php код и логи снифера и понимаем что можно исправить. Например, патчим строку в файле "downloaded" делаем из неё что-нибудь и всё, трэке уже не словит сколько скачано. потом можно потрогать "stopped" и всё прочее. Короче, задача трэкера "познакомить" нас с источниками, всё остальное это бред который можно обойти. Там есть еще в запросе параметр "key", похоже на хэш-подпись, но на моём трэкере было не заюзано.
Я честно говоря даже отладчик не запускал чтобы запатчить это дело

msdn7 пишет:
кстати, насчет рейт. системы... как вариант можно в etc/hosts прописать 127.0.0.1 announce.xxxx.xx ... и прицепить свою прогу как вэб-сервер который будет ретранслировать все пакеты уже на трэкер... и конечно же изменить пакеты.. т.е. изменять саму статистику up/down...
Да ну, это всё заумно слишком.

vpadlo пишет:
Можно просто перехватить пакет снифером, изменить там кол-во скачаной/отданой инфы и отправить на сервер. Но это не красиво, хотелось бы подправить клиент.
Да, такое тож можно. Когда ты знаешь какие запросы идут на трэкер, то можно запостить что ты уже зааплодил и скачал сотни гигабайт, причём одним запросом всё это

Только, давайте помнить, что всё-таки идея файлообмена в равной раздаче и раздавать патченый клиент нельзя ни в коем случае ! Одного "хакера" система выдержит, а всех нет.

-----
Всем не угодишь

| Сообщение посчитали полезным: