Вроде как автоанпакер последних версий сабжа
www.file-upload.net/download-380328/Soft-Un-Wrap.rar.html

| Сообщение посчитали полезным:

Вообщем скачал последнюю версию Ollydbg.dll - пошло дело. Однако, я наверное туп - можно попросить написать, как прикрутить импорт подробно ?

Вот отработал скрипт - задает вопрос - фиксить ли импорт? - Я так понимаю фиксить его надо в любом случае.
Кстати работает ужас как долго. Вот пофиксил, стоим на ОЕП - чем дампить ? Олей или Lord PE например ?

И главное - вбиваю ОЕП в Импрек - нифига не находит импорт. Чтоже не так? И еще вопрос - импорт восстанавливаем все таки импреком то бишь в Оле галку фиксить импорт при сбрасывании дампа нужно отключить ? Пробовал не отключать - падает дамп.

Напишите подробнее, если не влом...Спасибо...

| Сообщение посчитали полезным:

Soft_Ice пишет:
Кстати работает ужас как долго.
Скрипт работает долго на прогах на васике ;) Увы специфика этого дерьма там периписать половину кода
надо! На остальных языках в пределах нескольких минут даже на моей слабой тачке!
Soft_Ice пишет:
Импрек - нифига не находит импорт.
Импрек и не найдет так как импорт сбрасывается в выделеную память надо вбить руками скрипт выдает мессагу с RVA
Soft_Ice пишет:
И еще вопрос - импорт восстанавливаем все таки импреком то бишь в Оле галку фиксить импорт при сбрасывании дампа нужно отключить ?
Дампить пофигу чем;) чем привык . Естественно только импреком Галку в олином дампере отключи по дефолту она там на фиг не нужна

| Сообщение посчитали полезным:

pavka пишет:
Импрек и не найдет так как импорт сбрасывается в выделеную память надо вбить руками скрипт выдает мессагу с RVA

Если что-то я распаковывал до этого, всегда юзал импрек, вообщем большая просьба - ты не мог бы подробно написать как в этом случае делать ? Дампить эту память и прикручивать к файлу... Вообщем можно еще подробнее (чуть-чуть)

Я делал так

1. Запускаю скрипт
2. Скрипт закончил работу - стал на ОЕП
3. Делаю Дамп из Олли (галку фикс импорт убрал) - тут по разному пробовал
4. Запускаю Импрек - вбиваю ОЕП , вбиваю RVA

И тут на одной проге - вообще нихуа не находит импорт, на второй находит - но пишет что не весь правильный.
Вот на этом и тормознул...

И как точно определить - на чем прога - она ведь запакована, то бишь PEiD и прочие ничего не пишут про компилятор. Дизасм тож бесполезен... Есть универсальный простой метод?

| Сообщение посчитали полезным:

Soft_Ice пишет:
Если что-то я распаковывал до этого, всегда юзал импрек, вообщем большая просьба - ты не мог бы подробно написать как в этом случае делать ? Дампить эту память и прикручивать к файлу... Вообщем можно еще подробнее (чуть-чуть)
Ни чего особенного делать не нужно все как с любым пакером делаешь дапм на оеп любым дапмером!
Запускаешь импрек вводишь оеп и IAT RVA и Гет импорт ;) Импрек определит все функи но так как нет разделителей поворчит не много но табличку сваяет правильную , фих дамп и все больше ни чего не нужно !Soft_Ice пишет:
И как точно определить - на чем прога - она ведь запакована
Посмотри в Петулзе или лорде юзает запущеная прога васиковские библы MSVBVM
Вообще прот не эмулирует васиковские функи , не царское дело, он их просто ксорит, и иат васика без всяких разделителей можно просто занопить ксоры и вписать импреком в место виртуальной иат прота свою

| Сообщение посчитали полезным:

Понятно, видимо одну прожку я все же правильно распаковал, другую не совсем... Насчет BASIC тож понял , спасибо. Будем учиться и отписывать, если возникнут вопросы. Кстати, прошу пока темку не закрывать, мало ли что.

Вопрос, ко всем освоившим успешно методу - дамп работает на всех системах успешно ? ( Сталкивался с такой фичей при распаковке Try Media - работает только на таком же билде ХР , что у меня и наоборот чужие креки (дампы) не работали...

To Pavka - я вижу, Вы более продвинуты во взломе. Есть засада с распаковкой Армы с играми на Макромедии Директор и подобными... Ничем не поможете в вопросе ? Сорри, если что можно и в привате...

| Сообщение посчитали полезным:

Soft_Ice пишет:
Вопрос, ко всем освоившим успешно методу - дамп работает на всех системах успешно ?
Скрипт полностью восстанавливает оригинальный импорт проги если у проги нет проблем с совместимостью то дампа их так же не будет!
Soft_Ice пишет:
Есть засада с распаковкой Армы с играми на Макромедии Директор и подобными... Ничем не поможете в вопросе ?
По арме на форуме полным поло народу кто знаетее получше меня мне она не интересна

| Сообщение посчитали полезным:

Сдампил игру BierKonig с указанного ранее мной сайта . Кстати, пофиксить импорт не могу, а могу только прикрутить новую секцию. Прога успешно запускается, но при нажатии меню " играть" также успешно вылетает...
Никак не могу понять что же не так я делаю?

ЗЫ И объясните - надо ли вручную вырезать Xlock секцию при этом - насколько я понял - это и есть наш закриптованный импорт, а поскольку мы делаем дамп и прикручиваем новый импорт , по идее ее можно вырезать. Однако с вырезанной секцией прога вообще не запускается... Где же засада ?

| Сообщение посчитали полезным:

Soft_Ice пишет:
Кстати, пофиксить импорт не могу, а могу только прикрутить новую секцию.
Не пойму смысл этой фразы? Если дамп запускаеться но вылетает при какой то операции то скорее всего ты неправильно определил размер иат или где то накосячил с импреком Soft_Ice пишет:
надо ли вручную вырезать Xlock секцию при этом
Можешь вырезать можешь не вырезать она там не нужна.. Если не запускаеться значит не правильно отрезал..

| Сообщение посчитали полезным:

pavka пишет:
Не пойму смысл этой фразы? Если дамп запускаеться но вылетает

именно так.

pavka пишет:
скорее всего ты неправильно определил размер иат

А разве его надо вообще определять - по моему импрек его автоматом выставляет?

Еще раз опишу последовательность действий

1. Открываю прогу в Оле - на анализ кода жму нет
2. Запускаю скрипт (пробовал и для С и для делфи) - встаю на ОЕП , скрипт фиксит импорт
3. Делаю Дамп Олей, стоит галка ЕП как ОЕП и все. Импорт Олей не фиксим
4. Запускаю импрек, подключаю висящий процесс с игрой в Оле
5. Вбиваю в импрек - ОЕП ( ЕП - ИБ или смотрим в Оле) , вбиваю РВА , который выдал скрипт
6. Размер Импорта ??? - Импрек свой ставит и если его менять - не получается все равно
7. Делаю Get Import
8. Вижу функи без переходников - убираю галку с адд секция - вписываю РВА (старый) - размер Импрек не не дает вписать - пишет сам.
9. нажимаю фиксить импорт - фиксит нормально.

Далее игра запускается, проходит интро. нажимаю кнопку играть - идет вылет в Ось.

При добавлении новой секции - делаю все тоже, галка в импреке стоит - добавить секцию. Дамп фикситься, секция добавлена. Та же самая ерунда потом при запуске.

Если резать при этом Хлок ( делаю в CFF Эксплорер, как у Армы) - прога вылетает сразу же с ошибкой.

Может дать сцылку (прямую) на игру - посмотрите и подскажете, где ошибся ? Очень охота этого гада ломать научиться - (много игр хороших лежит попусту)

| Сообщение посчитали полезным:

Soft_Ice пишет:
Если резать при этом Хлок
Прежде чем резать, посмотри на чем прога. Если делфи то в последней секции обычно tls
Soft_Ice пишет:
Вижу функи без переходников - убираю галку с адд секция - вписываю РВА (старый) - размер Импрек не не дает вписать - пишет сам.
писать новую табличку нужно в пустое место . Старый ? это какой ? Иат прота что ли? Пиши туда где у не запакованой проги должна быть иат или убери у дампа секцию прота и пиши в новую секцию!

| Сообщение посчитали полезным:

pavka пишет:
писать новую табличку нужно в пустое место .

Ну понял. Но как получается - импрек ведь добавляет свою секцию с новым импортом - прога один хрен падает... То бишь падает и без обрезки секций. Я не могу понять , почему...
Ладно я попробую поразбираться еще и с другими прогами, возможно что-то получиться.

| Сообщение посчитали полезным:

Soft_Ice
Если прога небольшая выложи

| Сообщение посчитали полезным:

Кто-нибудь может перезалить обновленную версию анпакера?

| Сообщение посчитали полезным:

pavka пишет:
Если прога небольшая выложи

Лежало на этом сайтеге -

www.gamepueblo.com/gp_de/html/listing_3_1.php

Звать -

Bierkoenig (14МВ)

Ссылок нету прямых, а искать немогу, бо инет обрезали - скорость 1кб.с 0 до утра придется, там картинок немеряно. Погляди сам, если не в падлу, заодно и может себе чего скачаешь, там много игр.

| Сообщение посчитали полезным:

не знаю... пытаюсь снять сабж с васика... скрипт всё выполняет как надо, а вот импрек пишет "could not find anything good at this oep "

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
не знаю... пытаюсь снять сабж с васика... скрипт всё выполняет как надо, а вот импрек пишет "could not find anything good at this oep "
Укажи руками Iat RVA ,она за пределами имиджа вот импрек и пищит

| Сообщение посчитали полезным:

а как снести триал этого прота? trial reset не помогает... =( чистил реестр ручками, но видимо где-то метку ставит такую, что сходу и не найдёшь...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
trial reset не помогает

У Softwrap вроде только neokwinto умеет триал сносить.
http://exelab.ru/f/action=vthread&forum=3&topic=9509

| Сообщение посчитали полезным:

Talula пишет:
а как снести триал этого прота? trial reset не помогает... =( чистил реестр ручками, но видимо где-то метку ставит такую, что сходу и не найдёшь...
Смотря какой триал и какой какой софтрап.. А что мешает тебе посмотреть в отладчике?

| Сообщение посчитали полезным:

Talula пишет:
а как снести триал этого прота? trial reset не помогает... =( чистил реестр ручками, но видимо где-то метку ставит такую, что сходу и не найдёшь...


Надо найти и вычистить файлы лицензий от сабжа - см папку Мои Документы

| Сообщение посчитали полезным:

Vovan666 пишет:
У Softwrap вроде только neokwinto умеет триал сносить.
http://exelab.ru/f/action=vthread&forum=3&topic=9509

помог... просто на компе уже давно свалка - с двух винтов пришлось всю инфу в срочном порядке спасть...
но одну прогораммулину так и не распаковал - ощущение, что oep неправильно находится... хрен с ней...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
но одну прогораммулину так и не распаковал - ощущение, что oep неправильно находится...
Если размер небольшой, закинь куда нить

| Сообщение посчитали полезным:

pavka, да я вроде уже сливал... там что-то в районе 11 или 13 мб...
короче, вот: pcdj.com/downloads/blue.exe или pcdj.com/downloads/Setup_Blue%287.3.1001%29.EXE
версии одинаковые, защтщены сабжем, но каждый видимо с разными опциями (у них серийники для активации разные по крайней мере). автоанпакеры не берут, а скрипт oep определяет не как обычно (точно не помню, но после показанного адреса идёт что-то вроде push eax - в анпакнутом варианте там есесна нули... и прога не запускается.) я всегда думал, что она на васике, а оказалось, что на дельфе... если ничего не перепутал... в общем, посмотрите, разбиритесь - то ли скрипт не берёт её, то ли при прикручивании импорта что-то не так...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Перезалейте пожалуйста сабж, а то его удалили.

| Сообщение посчитали полезным:

Talula пишет:
всегда думал, что она на васике, а оказалось, что на дельфе...
Оказалось на MSVC
00480DF6 55 PUSH EBP ; <---OEP
00480DF7 8BEC MOV EBP,ESP
00480DF9 6A FF PUSH -1
00480DFB 68 A0144900 PUSH PCDJ.004914A0
00480E00 68 10104800 PUSH PCDJ.00481010 ; JMP to msvcrt._except_handler3
00480E05 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00480E0B 50 PUSH EAX
00480E0C 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00480E13 83EC 68 SUB ESP,68
00480E16 53 PUSH EBX
00480E17 56 PUSH ESI
00480E18 57 PUSH EDI
00480E19 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00480E1C 33DB XOR EBX,EBX
00480E1E 895D FC MOV DWORD PTR SS:[EBP-4],EBX
00480E21 6A 02 PUSH 2
00480E23 FF15 2C07C800 CALL DWORD PTR DS:[C8072C] ; msvcrt.__set_app_type
00480E29 59 POP ECX
00480E2A 830D 94EE4E00 F>OR DWORD PTR DS:[4EEE94],FFFFFFFF
00480E31 830D 98EE4E00 F>OR DWORD PTR DS:[4EEE98],FFFFFFFF
00480E38 FF15 3007C800 CALL DWORD PTR DS:[C80730] ; msvcrt.__p__fmode
00480E3E 8B0D 88EE4E00 MOV ECX,DWORD PTR DS:[4EEE88]
00480E44 8908 MOV DWORD PTR DS:[EAX],ECX
00480E46 FF15 3407C800 CALL DWORD PTR DS:[C80734] ; msvcrt.__p__commode
00480E4C 8B0D 84EE4E00 MOV ECX,DWORD PTR DS:[4EEE84]
00480E52 8908 MOV DWORD PTR DS:[EAX],ECX

| Сообщение посчитали полезным:

pavka, дельфи, си.. это не главное... вот тот же oep и у меня показывает.. только хрен работает... перепробовал все возможные варианты: либо не запускается вообще, либо выдаёт окно с ошибкой... =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
дельфи, си.. это не главное..
Talula пишет:
либо не запускается вообще, либо выдаёт окно с ошибкой... =(
Ну по этому и падает ;) Посмотри где ошибка и почему

| Сообщение посчитали полезным:

так вот ошибка после oep - на 00480DF9 6A FF PUSH -1 - там все нули! 8-0
когда трейсишь после скрипта в нём некий адрес - поэтому и падает...
хз... может у мну опять комп глючит? =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

для правильного импорта важно правильно указать компилятор
Talula пишет:
после oep - на 00480DF9 6A FF PUSH -1 - там все нули! 8-0
в смысле? что это значит?

| Сообщение посчитали полезным:

pavka пишет:
в смысле? что это значит?
я сейчас точно не вспомню... но примерно так: в пакованном варианте по адресу 00480DF9 6A FF PUSH -1 в стек кладётся некий адрес (допустим, 00432100), а распакованном варианте - в стеке адрес 00000000 и как следствие отладчик выдаёт ошибку. возможно (прогу уже давно убил и удалил всё к чёртовой матери чтобы не мешала заниматься другими) такая хрень происходит чуть дальше, но суть я думаю понятна...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным: