Интересно что с появлением утили Олдстера траблы с извлечением файлов исчезли но появились судя по вопросам проблеммы с основным ехе!И советы даются весьма забавные поискать маджик джамп или поменять версию импрека ;) Или почитать туторы ;) А подумать? Все туторы кроме Олдстера персказывают пост флая пятилетней давности и схема эта хоть и рабочая но можно все сделать гораздо проще! Молебокс, Тинстал, Пебиндл это не протекторы и для своих функций они юзают систимные функи из оригинальной ИАТ проги и нет ни какой нужды пользоваться импреком, когда проще взять ИАТ в оригинальном виде!Скрипт прилагается
На примере одного из молебохсов
Ещем по сигне выходна оеп #FFDO# в старых соответственно ищем джамп
00441700 E8 DBFBFFFF CALL mbox2w.004412E0
00441705 58 POP EAX
00441706 E8 55070000 CALL mbox2w.00441E60 <---- первый кэлл выше ставим брякHW и запускаем!
.....................................................
00441713 FFD0 CALL EAX <----- нашли ставим HW бряк
00441715 E8 A2C90000 CALL mbox2w.0044E0BC
0044171A CC INT3
0044171B CC INT3
0044171C CC INT3
0044171D CC INT3
0044171E CC INT3
0044171F CC INT3
Брякнулись ищем функцию обрабатывающюю ИАТ Она легко находится по сигнатурам
00448AB0 55 PUSH EBP <--------брякHW eax==IAT VA ставим ret=C3
00448AB1 8BEC MOV EBP,ESP
00448AB3 83EC 48 SUB ESP,48
00448AB6 C645 FC 01 MOV BYTE PTR SS:[EBP-4],1
00448ABA C745 F8 0000000>MOV DWORD PTR SS:[EBP-8],0
00448AC1 EB 09 JMP SHORT mbox2w.00448ACC
00448AC3 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
00448AC6 83C0 01 ADD EAX,1
00448AC9 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX
00448ACC 8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]

....................................................
00448BD3 68 104C4500 PUSH mbox2w.00454C10 ; ASCII "The dynamic link library '%s' could not be found"
00448BD8 E8 1A390000 CALL mbox2w.0044C4F7
00448BDD 8B15 E84B4500 MOV EDX,DWORD PTR DS:[454BE8] ; mbox2w.00455918
00448BE3 8955 E8 MOV DWORD PTR SS:[EBP-18],EDX
00448BE6 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14]
00448BE9 A3 E84B4500 MOV DWORD PTR DS:[454BE8],EAX
00448BEE 6A 00 PUSH 0
00448BF0 FF15 18574500 CALL DWORD PTR DS:[455718] ; kernel32.GetModuleHandleA
00448BF6 3B45 0C CMP EAX,DWORD PTR SS:[EBP+C]
00448BF9 75 67 JNZ SHORT mbox2w.00448C62
00448BFB C745 CC 044C450>MOV DWORD PTR SS:[EBP-34],mbox2w.00454C0>; ASCII "EXECUTABLE"
00448C02 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14]

EAX 00427C50 mbox2w.00427C50 <----IAT VA
ECX 00400100 ASCII "PE"
EDX 00400000 mbox2w.00400000
EBX 7FFDF000
ESP 0012FE1C
EBP 0012FE74
ESI 00441B7E mbox2w.00441B7E
EDI 00372104
EIP 00448AB0 mbox2w.00448AB0
Отпускаем ;) тормозим на оеп меняем в заголовке IAT RVA и дампим удаляем Ненужные секции и получаем оригинальный файл!
По экстракту, есть конечно утиль Но в ольке в принципе извлечь не намного сложнее файлы в оригинальном виде без танцев с бубном вокруг импрека!

00444D81 8B80 804B4500 MOV EAX,DWORD PTR DS:[EAX+454B80]
00444D87 8B00 MOV EAX,DWORD PTR DS:[EAX] ; <------buffer
00444D89 8945 C4 MOV DWORD PTR SS:[EBP-3C],EAX
00444D8C 8B45 DC MOV EAX,DWORD PTR SS:[EBP-24]
00444D8F C1E0 04 SHL EAX,4
00444D92 8B0D 08594500 MOV ECX,DWORD PTR DS:[455908]
00444D98 8B49 08 MOV ECX,DWORD PTR DS:[ECX+8]
00444D9B 837C01 08 00 CMP DWORD PTR DS:[ECX+EAX+8],0
00444DA0 0F85 07010000 JNZ mbox2w.00444EAD
00444DA6 8B45 CC MOV EAX,DWORD PTR SS:[EBP-34] ; <=== Name From Box
00444DA9 8B40 08 MOV EAX,DWORD PTR DS:[EAX+8]

бокс иго структура
003731E3 004C4C44 mbox2w.004C4C44
003731E7 00373198 ASCII "MBOX2_BLACKLIST.TXT"
003731EB 0006CC24
003731EF 0000039D
003731F3 00000033
003731F7 003731AC ASCII "MBOX2_BOOTUPDBGLT"
003731FB 0006CE31
003731FF 0001B200
00373203 00000033
00373207 003731BE ASCII "MBOX2_BOOTUPLT"
0037320B 00079E2A
0037320F 00016800
00373213 00000033
00373217 003731CD ASCII "MSKINCORE.DLL"
0037321B 00084BE8
0037321F 00021000
00373223 00000033
00373227 003731DB ASCII "MSVCP60.DLL"
0037322B 000921F6
0037322F 00062000
буферы для записи
004558F8 010A0048 <---buffer
004558FC 010B0090 <---buffer
00455900 010C0098 <---buffer
00455904 010D00A0 <---buffer
00455908 00372518 ASCII "H27"
0045590C 00373140 ASCI
Файлы не превышающие размер буфера дампятся прямо из него Для больших файлов выделяем память и копируем частями .

831c_02.06.2008_CRACKLAB.rU.tgz - MoleBox Unpacker_exe.txt

| Сообщение посчитали полезным:

Спасибо Pavka!

| Сообщение посчитали полезным:

респект

| Сообщение посчитали полезным:

good work

| Сообщение посчитали полезным:

831c_02.06.2008_CRACKLAB.rU.tgz - MoleBox Unpacker_exe.txt <-- it has no content y is it

| Сообщение посчитали полезным:

BURAOT
This script

| Сообщение посчитали полезным:

pavka "Add ignore custom exption or ranges [EF000007]" как и с чем есть этот варнинг.. после него ругается на "No such commands: GMEMI eip, MEMORYBASE"...

PS ньюб

| Сообщение посчитали полезным:

kain пишет:
"Add ignore custom exption or ranges [EF000007]" как и с чем есть этот варнинг..
Зайди в ольке в меню "Debugging options" на вкладку "Exceptions", там во "Add range" добавь EF000007. После этого ругательного сообщения не увидишь.

-----
Программист SkyNet

| Сообщение посчитали полезным:

версия OllyDbg v1.10
вот вроде тут трудно запутаться, но варниг по прежнему выскакивает....
http:/./imageshack.us

и после закрытия его вылетает err

http:/./imageshack.us

| Сообщение посчитали полезным:

Попробуй запустить с чистой Олей, загрузи отсюда www.ollydbg.de/
Потом зайди в опции оли Alt+O и на вкладке Exseption поставь везде галчки а в Ignor also...
напеши 00000000....FFFFFFFF;

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

kain пишет:
и после закрытия его вылетает err
Так это ошибка исполнения скрипта! Дело может быть в старом плагине скриптов для ольки. Попробуй ODbgScript 1.65.1.

-----
Программист SkyNet

| Сообщение посчитали полезным:

У него OllyScript 0.9x, а новые версии называются OllyDBGScript 1.x

ODbgScript 1.65:

3351_16.08.2008_CRACKLAB.rU.tgz - Script-1_65.rar

| Сообщение посчитали полезным:

таксь на сей раз дамп сделан за что всем спс.. другой вопрос что надо дальше сделать или как убедиться в коректности действий скрипта... файл не заработал (если кто силен в ошибках MS могу выложить)

PS может надо опции еще какие добавить до запуска скрипта...

add: таксь перевел завершающее сообщение скрипта ...
The file is unpacked! Remove unnecessary section in Dump
попробую почитать про удаление сексций но шансов мало для первых опытов)

| Сообщение посчитали полезным:

kain пишет:
сделать или как убедиться в коректности действий скрипта... файл не заработал (если кто силен в ошибках MS могу выложить)
Проверить коректность дампа очень просто Открой его в HIEW и если он не ругнеться на испорченую таблицу ипорта то все о.к Как правило если скрипт делает дамп, то делает его корректно Ошибка при запуске у тебя, скорее всего из за неизвлеченных длл ..kain пишет:
про удаление сексций но шансов мало для первых опытов)
Для неудачных опытов есть бекап , Для начинающих лучше для этого дела юзать CFF Explorer . там наглядно видно что секция содержит

| Сообщение посчитали полезным:

ну в моем molebox был exe и два файла от игры это все что смог найти (2 файла утилитой олдстера вытащил ) все DLL наместе ... пойду пробовать по статье maklab.narod.ru

add: запустил в hiew никто не ругался , запустил обратно в оле:
Module 'RF_Onlin' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints!

кто понимает дайте комент

| Сообщение посчитали полезным:

Если олька так ругается, это не значит, что файл упакован. Ссыль в студию, короче.

| Сообщение посчитали полезным:

вот вообщем дамп и что сохранил imprec_1.6 ... (что то у меня голова пухнет как и что с этим делать)
rf-ru.ifolder.ru/7778880

| Сообщение посчитали полезным:

kain пишет:
вот вообщем дамп и что сохранил imprec_1.6 ... (
Ты чего дамп импреком обрабатывал? Зачем? Скинь оригиналный файл

| Сообщение посчитали полезным:

импреком я сохранил структуру или как правильнее (в txt, ничего не фиксил) сейчас скину оригинал ...
rf-ru.ifolder.ru/7783414

| Сообщение посчитали полезным:

kain
ты че издеваешься
Данный файл может быть скачан только после просмотра дополнительной рекламы
(установленно владельцем файла)
че нет нормальных обменников?

| Сообщение посчитали полезным:

соре, постараюсь не забывать ... мне там удобнее выкладывать много файлов что бы не путаться +ftp ладно...
rapidshare.com/files/138690544/RF_Online.bin.html рапида котируется ?))

| Сообщение посчитали полезным:

kain пишет:
рапида котируется ?))
рапида нормально
старая версия моли в скрипте замени и все распаковывает нормально
mov patch,$RESULT
mov [patch],#C3#
BPHWS patch,"x"
run
mov iat_start,eax <---- eax Заменить на edx
BPHWC patch
BPHWS OEP,"x"

| Сообщение посчитали полезным:

таксь в err не падает вообщем признаки жизни есть, но сотрудничать с остальным миром не хочет (или мир с ним)))) выкладываю еще лаунчер с которого стартует этот бинарник может какие проверки на целостность...
rapidshare.com/files/138825921/launcher.7z.html
тут лаунчер и dll рядом положите файл не распакованный надо добиться результата что с распакованным был такой же win_msg
PS можно меня пнуть в нужную сторону

| Сообщение посчитали полезным:

При дампе и запуске такого же RF_Online.bin вылезает "R6002 - floating point support not loaded"..

| Сообщение посчитали полезным:

kain пишет:
таксь в err не падает вообщем признаки жизни есть, но сотрудничать с остальным миром не хочет (или мир с ним))))
Насчет того что хочет или не хочет.. Ты выложил файл который не запускаеться без библ. То что экзешник скриптом распаковывается нормально это точно А что там в библах или лаунчерах х.з я ури гелер гадать не умею

| Сообщение посчитали полезным:

всех поздравляю наверно сказывается мое нубство... все что я распаковал с вашей помощью и упаковал обратно работает ... возможно не стоит забивать себе голову распакованным exe, исключительно в моем случае.

PS если кто объяснит сей феном буду признателем, лишними знания не бывыают.

| Сообщение посчитали полезным:

kain пишет:
и упаковал обратно работает ...
Лаунчер видимо чекает длину

| Сообщение посчитали полезным:

Всё это, конечно, очень хорошо, но, честно говоря, я ни разу не сталкивался с MoleBox, может, кто-нибудь выложит хоть одну ссылку на прогу, им запакованную?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL !
Продукты http://www.alloksoft.com/ http://www.alloksoft.com/
А в частности Allok Video to 3GP Converter

| Сообщение посчитали полезным:

я снова к вам )) нашел себе файл RF_Online.bin http://rapidshare.com/files/143596029/RF_Online.bin.html
exe извлекается нормально, а вот утилитка олдстера ругается :
Wait unpack MoleBox... Ok
Find x_GetProcAddress... = 0x1A00922
Find all need address procedure... Ok
Find include files... Error find include files!!!

смог такой же результат получить на тестовом файле, если в опциях пакера включить:"Зaп. пoпытки дocтyпa к yпaк. фaйлaм" molebox 265pro... какой будет совет ?

| Сообщение посчитали полезным: