Есть ситуация:
есть ДЛЛ закриптованная EXECryptor.

То, что уже делал:
1) просто пусканул прогу которая ее грузит (не в debugger'е).
2) зделал дамп LordPE
3) подуплил (Olly, IDA) - нашел original entry point (т.к. либа писана на дельфи - то зделал пустую либу, поглядел ее entry point и поискал в дампе закриптованной)
4) по найденному original entry point'у ImpREC прекрасно восстанавливает таблицу импорта

Собственно теперь мне (насколько я понимаю) надо поставить на original entry point брик, и зделать еще раз дамп, шоб переменные были в тех значениях, в которых они должны изначально быть. Потом еще раз восстановить таблицу импорта и защита будет снята.

1) запускаю прогу в Olly, оно материться - Themida.
2) поюзал поиск по форуму, нашел как же запустить все же прогу. Скачал плюгин PhantOm.
3) прога уже запускаеться.
4) после открытия файла нужной либы в списке модулей нету. т.е. насколько я понимаю она потом догружаеться динамически.

Как поставить брик в нужном мне месте???
Понимаю, ламерский вопрос, но... недогнал я этого. Сори не судить строго, раньше никогда этим не занимался и вообще програмлю на PHP.

| Сообщение посчитали полезным:

В форуме несколько раз отвечали на этот вопрос.
Вкратце, нужно в опциях Олли выставить "Останавливаться на загрузке dll", и потом нужную dll распаковывать.

| Сообщение посчитали полезным:

Ну я сделал hardware break на original entry point. вот так у меня это вышло.
Вроде распаковал. Восстановил ImpREC таблицу импорта.
Вот тока прога после этого не работает.

В чем может быть причина?

| Сообщение посчитали полезным:

Причин может быть очень много...
Хочу уточнить, что понимается под original entry point? Распаковка dll накрытой Екзкриптором - не самая тривиальная задача, попробуйте распаковать dll запакованную upx, что бы хотя бы понимать основы разпаковки dll.

| Сообщение посчитали полезным:

tempread пишет:
Хочу уточнить, что понимается под original entry point?

Под original entry point понимается адрес, с которого начинаеться код, идентичный тому, который Delphi собачит в program entry point. Также если ввести этот адрес в поле OEP проги ImpREC и нажать на "IAT Autosearch" то тулза говорит что все гуд, находит по "Get Imports" таблицу импорта.

А не работает оно собстно вот как (прога - клиент LineageII C4):

1) прога запускаеться. не вылетает. но конектиться к серваку не хочет (симптомы как все равно сработала антибот-защита серва, которая как раз в это ДЛЛ). Ну типа пишет из серии "попробуйте войти позже".
С оригинальной ДЛЛ прога пускается и заходит в игру.

2) еще заметил такую "странность": есть плюгин к Total Commander, который просматривает PE формат и показывает импорт и т.д. Так вот на "нормальных" ДЛЛ он показывает имена функций, а на этой вместо имен функций:

ordinal 106
ordinal 106
ordinal 123
ordinal 123
ordinal 144
ordinal 144
ordinal 145
ordinal 176

Вот собстно такая фигня.

| Сообщение посчитали полезным:

H1dden,

далеко не уйдешь, если будешь практиковаться не ознакомившись с теорией.

Если хочешь разобраться что к чему, то ознакомься со следующими темами:

— Unpacker ExeCryptor 2.x.x. (версия для печати)
— EXECryptor (Туторы, скрипты, плагины, ...) (версия для печати)

Если не хочешь, то выложи библиотеку или воспользуйся сервисом по распаковке файлов:

— Unpacker AsProtect and ExeCryptor (версия для печати)

| Сообщение посчитали полезным:

H1dden
Это original entry point ПРОГРАММЫ, к dll это не имеет отношения! dll распаковываются не так как программы, как я уже писал, подучите самую простую теорию по распаковке dll, а потом почитайте ссылки,что дал kioresk

| Сообщение посчитали полезным:

kioresk
или воспользуйся сервисом по распаковке файлов
ТС хочет распаковывать dll'ку, а RSI недавно говорил,что только хочет прикрутить в будущих версиях своей проги распаковку dll.

| Сообщение посчитали полезным:

tempread,

кто знает, может ее вручную распакуют, поскольку защищенных EXECryptor'ом библиотек встречается не очень много.

| Сообщение посчитали полезным:

kioresk пишет:
кто знает, может ее вручную распакуют, поскольку защищенных EXECryptor'ом библиотек встречается не очень много.

Ок, выкладываю ее.
www.download-zone.org/46123

| Сообщение посчитали полезным:

tempread пишет:
ТС хочет распаковывать dll'ку, а RSI недавно говорил,что только хочет прикрутить в будущих версиях своей проги распаковку dll.

tempread пишет:
Это original entry point ПРОГРАММЫ, к dll это не имеет отношения!

А я думал что в ДЛЛ тоже самое указывает на APIENTRY DllMain () - наверное был не прав.

А читать как это делать я читал вот по этому: www.dotfix.net/module.php?module=@6e786b366a717062776f70606168

На этом форуме именно тутора (не обсуждений) не нашел (может херово смотрел).

| Сообщение посчитали полезным:

И еще один вопрос не по теме:

Есть a.exe и есть b.dll.
DLL прилинкована СТАТИЧЕСКИ к a.exe.

Если я хочу шоб она была c.dll - естесно винда не пускает прогу и говорит "приложению не удалось запуститься поскольку b.dll не был найден. ..."

Есть какие-нить тулзы, шоб поправить *.exe и оно смогло грузиться с c.dll?

| Сообщение посчитали полезным:

H1dden поправь в импорте название библы и все. Можно сделать любым HEX редактором.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

H1dden,

лови распакованную библиотеку:

http://www.box.net/shared/g9al0l6q71 http://www.box.net/shared/g9al0l6q71 (7-Zip, 350 Кбайт)

Проверить работоспособность не могу, т.к. у меня нет клиента Lineage II, но по идее все должно быть в порядке.

| Сообщение посчитали полезным:

kioresk эммм... замутил бы хоть тутор кто что ли по dll. Ибо мне кажется там все везде одинаково.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus,

правильно кажется, распаковка накрытой EXECryptor'ом библиотеки отличается только необходимостью восстановления таблицы перемещений (релоков), о чем уже вкратце говорили:

— Unpacker ExeCryptor 2.x.x. (12-я страница)

Остальное — аналогично распаковке исполняемого модуля.


На выходных подробнее опишу в своем блоге...

| Сообщение посчитали полезным:

Может я не туда пишу то извините. Вот уже пару дней мучаюсь с такой проблемой. Скачал олю 1.10 пробую запустить а она пишет "udd directory " doesn't exits. Please specify valid path in options ......" Поиском пользовался ничего не нашел. Что же надо сделать чтобы оля заработала нормально не выдавая это сообщение?

| Сообщение посчитали полезным:

pycha
Зайди в меню отладчика
Options - Appearance - Directories
И поставь там пути на соответсвующие папки.

| Сообщение посчитали полезным: