 |
eXeL@B —› Вопросы новичков —› распаковка RLPack |
| Посл.ответ | Сообщение |
|
|
Создано: 06 ноября 2007 16:12 · Личное сообщение · #1 В первый раз столкнулся с распаковкой этого пакера. OEP нашел, с импортом разобрался. Но дамп не рабочий. Сама запакованная программа написана на Delphi. Падает в таком месте 0041341C 53 PUSH EBX 0041341D 56 PUSH ESI 0041341E 57 PUSH EDI 0041341F 8BFA MOV EDI,EDX 00413421 8BD8 MOV EBX,EAX 00413423 8B73 08 MOV ESI,DWORD PTR DS:[EBX+8] <- ebx+8=00000049 00413426 3B73 0C CMP ESI,DWORD PTR DS:[EBX+C] 00413429 75 06 JNZ SHORT dumped__.00413431 0041342B 8BC3 MOV EAX,EBX 0041342D 8B10 MOV EDX,DWORD PTR DS:[EAX] 0041342F FF12 CALL DWORD PTR DS:[EDX] 00413431 8B43 04 MOV EAX,DWORD PTR DS:[EBX+4] Не могу разобраться в чем дело.  |
|
|
Создано: 06 ноября 2007 16:24 · Личное сообщение · #2 Подумай, каким образом,смотря на 10 асемблерных строк, кто нибудь может тебе помочь... |
|
|
Создано: 06 ноября 2007 16:54 · Личное сообщение · #3 Прогу в студию. Иначе вряд ли чем тут можно помочь... |
|
|
Создано: 06 ноября 2007 16:56 · Личное сообщение · #4 colder1000 Сдампил видимо не в том месте! |
|
|
Создано: 06 ноября 2007 17:00 · Личное сообщение · #5 >>Сдампил видимо не в том месте! Сдампил на 0049697D 61 POPAD 0049697E - E9 F5A0FBFF JMP 2.00450A78 Переход на oep |
|
|
Создано: 06 ноября 2007 17:43 · Личное сообщение · #6 Ну если ты уверен что переход ;) что тебе мешает посмотреть что в оригинале DWORD PTR DS:[EBX+8] ? |
|
|
Создано: 06 ноября 2007 17:52 · Личное сообщение · #7 Почему-то такая проблема только с Delphi-программами. с с++ все хорошо получается. |
|
|
Создано: 06 ноября 2007 18:26 · Личное сообщение · #8 pavka обладает даром ясновиденья!  Видит то,что другим не под силу....
|
|
|
Создано: 06 ноября 2007 19:08 · Личное сообщение · #9 tempread пишет: Видит то,что другим не под силу.... так ты скажи челу если тебе 10 строк мало сколько строк тебя устроит? чего там смотреть еще смотреть? |
|
|
Создано: 06 ноября 2007 19:28 · Личное сообщение · #10 Ну, мне вся программа нужна, я б,может быть ,покрутил бы ее, и сверил бы то, что у меня получилось и то что пишет colder1000 А так, код, который выдает colder1000 можно найти почти в любой программе на Delphi, и в любом месте... Но если действительно, можно помочь по 10 строкам, то помогай, а я буду учится тогда 
|
|
|
Создано: 07 ноября 2007 05:14 · Личное сообщение · #11 tempread пишет: который выдает colder1000 можно найти почти в любой программе на Delphi, и в любом месте... RLPack простой пакер (Фулверсию не берем в расчет) и подобные вещи просходять как правило при неправильном дампировании ... В зависимости от компилятора некоторые С++ и асм проги можно дампить где угодно..Но борландовские только до инициализации.. |
|
|
Создано: 07 ноября 2007 13:24 · Личное сообщение · #12 спасибо всем. Вчера сам разобрался. Проблема была в tls. Версия фул. |
|
|
Создано: 07 ноября 2007 15:51 · Личное сообщение · #13 colder1000 пишет: Версия фул. В фулверсии оеп нет там весь стаб псевдо VM и не хилый кодесплайсинг да и импорт в последней версии
не то что бы очень сложный но достачно серьезный
|
|
eXeL@B —› Вопросы новичков —› распаковка RLPack |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати