 |
eXeL@B —› Вопросы новичков —› ручная распаковка в Olly |
| Посл.ответ | Сообщение |
|
|
Создано: 16 октября 2007 22:47 · Личное сообщение · #1 читал про ручную распаковку в SoftIce, а вот как это сделать в Olly не нашел. Я знаю ЧТО надо делать, но не знаю КАК. Помогите плиз.  |
|
|
Создано: 16 октября 2007 23:02 · Поправил: Isaev · Личное сообщение · #2 Зайди в раздел "Cтатьи" и "RAR-статьи" и почитай... Там много интересного по ручной распаковке в Olly. ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 17 октября 2007 06:19 · Личное сообщение · #3 В Ольке прогу зацикливать не надо, т.е получается, если найдешь OEP, встанешь на ней, останется Dumper'ом (плагином) снять дамп- потом восстановить только. |
|
|
Создано: 17 октября 2007 06:34 · Личное сообщение · #4 void.webhost.ru - кури, там про распаковку большинства известных пакеров написано. ----- xchg dword [eax], eax |
|
|
Создано: 17 октября 2007 22:22 · Личное сообщение · #5 спасибо за ответы, нашел одну статейку, почитаю на досуге. |
|
|
Создано: 17 сентября 2008 15:43 · Личное сообщение · #6 Как разобраться в работе скрипта которым накрыт патч? Поскольку вовремя распаковки он лезет по моему к несколким dll программам которые работают в системном трее, причем программы иногда разные он выбирает. На этом сайте только методики по распаковке известных пакеров. Analysing process... Module loaded: c:\windows\system32\ntdll.dll Module loaded: c:\windows\system32\kernel32.dll Module loaded: c:\windows\system32\user32.dll Module loaded: c:\windows\system32\gdi32.dll * No export for module: c:\progra~1\agnitum\outpos~1\wl_hook.dll Module loaded: c:\windows\system32\advapi32.dll Module loaded: c:\windows\system32\rpcrt4.dll Module loaded: c:\windows\system32\comdlg32.dll Module loaded: c:\windows\system32\shlwapi.dll Module loaded: c:\windows\system32\msvcrt.dll Module loaded: c:\windows\system32\comctl32.dll Module loaded: c:\windows\system32\shell32.dll Module loaded: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1 df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll Getting associated modules done. Image Base:00400000 Size:00005000 ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 17 сентября 2008 15:52 · Личное сообщение · #7 Ясный красный, статьи только по известным пакерам. А как интересно писать статью по неизвестному. А разобраться в работе не слишком сложно-сидеть просто и смотреть глазками, что оно делает, размер всего 5000, смотреть недолго. А если надо, чтобы другие посмотрели-выложить бы неплохо и задать вопрос конкретно. |
|
|
Создано: 17 сентября 2008 16:08 · Личное сообщение · #8 Выкладывал, но все действуют обычно по следующему сценарию: находят ОЕР, становятся туда, определяют параметры импорта и после восстановления таблици импорта работа завершена- файл рабочий. Но этот "говноскриптор" как кто то выразился на этом сайте именно во время распаковки что то непонятное делает( в смысле не только распаковывает) при попытке пошаговой трассировки он меня водит по кругу. При попытке установить точку по F2 затем F9 он либо зависает, либо выдает ошибку. Мне непонятно как его протрассировать в пошаговом режиме, что бы он меня не видел. Пока что получается только поставить бряк пред ОЕР (Hardware on Execution ) , но тогда уже поздно. Визуальным просмотром я мало что найду, поскольку начинающий, но видимо это лучший вариант наверное. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 17 сентября 2008 16:12 · Личное сообщение · #9 Дык ты чего хочешь то? Распакованный получить? Его уже выкладывали. Распаковать самому? Почитай тогда лучше статьи, ибо ничего страшного этот скрипт не делает, благо, оеп и параметры импорта уже подсказали. И тебе одной темы мало что ли? |
|
|
Создано: 17 сентября 2008 16:15 · Личное сообщение · #10 Я не хочу рыбу кушать - я хочу научиться ее ловить. Поэтому посоветуйте методы а я уже буду потихоньку сражаться с ним. Во вторых 5000 это тоже какаято ловушка посколку патч состоит из двух файлов на диске по 4 Кб т.е. в памяти он занимает примерно 20 Кб, судя по размеру дампа. Короче самое подозрительное что какойто сраный патч так закручен что к нему не подступиться. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 17 сентября 2008 16:19 · Личное сообщение · #11 Я тоже прошел все этапы распаковал и получл свой дамп, но мне хотелось бы разобраться с работой скрипта а не с работой патча. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 17 сентября 2008 18:06 · Личное сообщение · #12 gena-m Ты бы определелился что тебе надо  Тут тебе надо разобраться с работой патча, а в соседней теме тебе надо узнать как его распаковывать.
Я тебе выкладывал корректно распакованный файл. Импорт пришлось переделать, и перебить переходники для этих шести функций, так как ImpRec некорректно их распознал. Задай конкретный вопрос - что ты хочешь узнать? А то вообще нифига не понятно из твоих вопросов |
|
|
Создано: 17 сентября 2008 18:27 · Личное сообщение · #13 Этот раздел как я понял о ручной распаковке. Мне хотелось бы восстановить алгоритм распаковки, если конечно это возможно. Сам патч мне не нужен. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 17 сентября 2008 19:09 · Личное сообщение · #14 Алгоритм распаковки в кратце такой - находим OEP, дампим. Пытаемся найти IAT в ImpRec, видим что он не распознает некоторые функции. Идем по этим адресам в оле и видим что функции разных библиотек идут друг за другом (а надо чтобы они разделялись 00000000). Руками в оле переносим нераспознанные функции в конец IAT (функции разных библиотек опять же разделяем 00000000). После переноса находим новую IAT в ImpRec и фиксим дамп. Грузим фиксеный дамп в олю, и руками исправляем старые уже не существующие переходники на новые. Доступно? |
|
|
Создано: 17 сентября 2008 23:35 · Личное сообщение · #15 Конечно понятно, буду дальше колупать. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 20 сентября 2008 19:25 · Личное сообщение · #16 Все.... наконец то повторил, все работает. Теперь вопрос этот патч будет только на моем компе работать и если да то что нужно делать что бы он на других машинах работал? ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 20 сентября 2008 21:26 · Личное сообщение · #17 Он будет работать на всех системах, идентичных твоей (то есть с тем же ServicePack) |
|
|
Создано: 20 сентября 2008 21:28 · Личное сообщение · #18 Если всё сделал нормально и грамотно-везде работать будет. Проверить проще простого-возьми на варю поставь другую винду и разбирайся, почему не пашет, если не пашет. |
|
|
Создано: 21 сентября 2008 21:41 · Личное сообщение · #19 Кто нибудь вскрывал Diskeeper 9.0? Программа начинается с исполнения файла Diskeeper.msc <?xml version="1.0"?> <MMC_ConsoleFile ConsoleVersion="2.0" ProgramMode="UserSDI"> <ConsoleFileID>{667D032C-AB6D-4831-BF99-E63D439C60A8}</ConsoleFileID> <FrameState ShowStatusBar="true"> <WindowPlacement ShowCommand="SW_SHOWNORMAL"> <Point Name="MinPosition" X="-1" Y="-1"/> <Point Name="MaxPosition" X="-1" Y="-1"/> <Rectangle Name="NormalPosition" Top="29" Bottom="751" Left="22" Right="982"/> </WindowPlacement> </FrameState> и т.д. затем идут поля заполненные в основном 41h. Что это за зверь и как с ним бороться. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
eXeL@B —› Вопросы новичков —› ручная распаковка в Olly |
Для печати