С грехом пополам смог распаковать файл шифрованый PE-Armor 0.7*..
Но видимо что то я с таблицей импорта намудрил.. При запуске файл ругается "точка входа в процедуру Start не найдена в библиотеке lineageii.dll" . подскажите в чем может быть ошибка?
Я вот думаю, я распаковал тока exe-файл, может и dll надо для правильной работы программы в целом?

| Сообщение посчитали полезным:

Ну так а где файлы? ( запакованный с набором библ + распакованный, чтобы сравнить где ты ошибся )

P.S. Конечно, если не хочешь - не выкладывай, мы тут погадаем...

| Сообщение посчитали полезным:

вот все что нужно http://slil.ru/25220420 http://slil.ru/25220420

| Сообщение посчитали полезным:

stalker_bot пишет:
slil.ru/25220420

С фтого говнообменника ничего не качается, лучше на рапиуд или дамп.ру лейте...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Ты OEP неправильно нашёл(00420676) и файл упакован не PE-Armor 0.7, а Yoda Cryptor, но по сути ничего. У меня тоже распакованный ругается на stalker_bot пишет:
"точка входа в процедуру Start не найдена в библиотеке lineageii.dll"

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n
я не понял, 00420676 этот OEP правильный или нет? у меня именно он и нашелся.
Насчет защиты я уже сам запутался... PEiD пишет Yoda, но тут на форуме я видел тему подобную (без описания решения проблемы) там тоже у них определялась как Yoda 1.2, но на этом форуме знатоки написали что это Армор шифруется под Йоду.

В принципе мне не обязательно надо чтоб распакованый exe работал.. мне нужно патч сделать на него, может лоадер сделать чтоб в памяти его патчил? если это действительно Yoda то на него вроде есть Yoda Process Patcher. ну если конечно получиться полностью распаковать лучше будет.

вот перелил на рапид rapidshare.com/files/75954159/full.rar.html

| Сообщение посчитали полезным:

http://exelab.ru/f/action=vthread&forum=5&topic=6320

| Сообщение посчитали полезным:

Satyrя видел уже это, ибо поиск юзаю) там нет решения.. я тут сравнил другие версии распакованные и свою.. (моя 1.57, а вот 1.7* распаковывается от ASPack в автоматическом режиме с помощью striperX) так вот, в импорт таблице версий 1.7* хинт у всех функций 0000h а у 1.57 распакованой нет ни одной с 0000h, всех разные (0032h например) может дело в этом?

| Сообщение посчитали полезным:

я попытался распаковать длл.. вроде нашел OEP 00019FB0. ImpREC сказал типа ага! там чтото есть!
пытаюсь достать импорт, а ImpREC ругается, мол нет доступа к памяти. что это?

| Сообщение посчитали полезным:

и еще.. в архиве файл dump_impREC.exe не правильный. я там импорты не все восстановил. но даже после исправления все равно ругается на точку входа длл. мне кажется длл надо распаковать.

| Сообщение посчитали полезным:

насчет оеп поспешил я.. ищу дальше.. и все не могу понять почему ImpREC ругается..

ЗЫ а поч нет возможности редактировать сообщения?) ато получается я сам с собой)

| Сообщение посчитали полезным:

Не могу нати оеп у длл... По моему из-за него проблемы, потомучто в експортах нету функции Start, но она есть в дампе. Крякеры помогите плз с длл-шкой...

| Сообщение посчитали полезным:

stalker_bot
Посмотрел вчера немного я этот файлик - мне показалось очень похожим на tElock 1.0 (private) - это ИМХО.

1) Откуда ты такое OEP взял?
2) Импорт ваще не ясно откда, он тоже левый и не из этой оперы.

Значит так, что у меня получилось
1) Правильное RVA OEP = 00020676 ( Microsoft Visual C++ 7.0 )
2) Правильные границы импорта RVA IAT = 00049000, Size = 4E0

Импорт запорчен, юзаются 4 метода создания переходников ( я накидал пару простых скриптов и 3 вида ушло, это из 200 нераспознаных осталось 16. А вот как с 4 быть - я че-то не допер ).

Поэтому если восстановишь этих 16 фунок думаю будет работать

Вот в импорте и ваша злосчастная ссылка:

000492AC lineageii.dll 0022 Start




650f_13.12.2007_CRACKLAB.rU.tgz - IAT.rar

| Сообщение посчитали полезным:

RSI спасибо, да вроде с exe справился, оеп на него PEiD-овский плагин оказывается находит даже))
трабла с длл... я так понял распакованый exe не видит экспорт дллшки, как бы нет там таблицы экспортов.
Интересно, можно ли найти оеп по сигнатурам PEiD, зная что длл написана на MS Visual C++ 7


в атач засунул плагин к ImpREC написаный PE_Kill.

e4bf_14.12.2007_CRACKLAB.rU.tgz - yC.rar

| Сообщение посчитали полезным:

stalker_bot
Ну тогда попробуй просто в дереве ImpRec снеси ссылку на функу из длл.
затем прикрути импорт заново, и перед переходом на OEP сделай код типа

push "lineageii.dll"
call LoadLibrary
push "Start"
push eax
call GetProcAddress
mov dwoord ptr ds:[000492AC],eax
jmp OEP

мне кажется все должно заработать

| Сообщение посчитали полезным:

Драсте. Подскажите чем надо распаковать новый скайграбер http://www.skygrabber.com/site/downloads/trial/SkyGrabberSetup.exe, http://www.skygrabber.com/site/downloads/trial/SkyGrabberSetup.exe, я пробывал всё что знаю , но я новичек и в этом всётаки слаб но все же хотелось бы попробовать свои силы. И ещё подскажите каким дизасемблером лудше пользоватся с файлами большого размера потомучто дасм виснет при попытке открыть такой. И совсем младенческий вопрос я сохранил процес проги ( по идеи это же распакованая прога ) в ехе файл но понятно что этот ехе не запускается. Вот интересно что же мешает растолкуйте дураку.

| Сообщение посчитали полезным:

pycha
Лучше бы отдельный топик создал..
и ссылка нерабочая. - 404- перезалей.

| Сообщение посчитали полезным:

Тему создал, исправленная ссылка там

| Сообщение посчитали полезным: