Нужна помощь с распаковкой dll (PECompact)

Сейчас на форуме: Rio (+5 невидимых)

Посл.ответ	Сообщение
Vicious Ранг: 3.2 (гость) Активность: 0=0 Статус: Участник	Создано: 30 апреля 2008 08:56 · Личное сообщение · #1 Нужна помощь в распаковка dll: www.sendspace.com/file/oojjth PeID показывает следующее: PeCompact 2.xx --> BitSum Technologies * Конечный результат конечно важен (если кто выложет), но больше интересует как это сделать. Видел где-то тут статью, но там для PECompact 2.x -> Jeremy Collake, а тут я так понимаю одна из последних версий PECompact, есть предположение что 2.82

Spirit Ранг: 271.6 (наставник), 2thx Активность: 0.3↘0 Статус: Участник	Создано: 30 апреля 2008 09:15 · Личное сообщение · #2 Vicious dotfix.net/module.php?module=@6e786b366a717062776f70606168 ----- iNTERNATiONAL CoDE CReW
HandMill Ранг: 222.2 (наставник), 115thx Активность: 0.14↘0.01 Статус: Участник	Создано: 30 апреля 2008 09:22 · Личное сообщение · #3 Два раза давим F8, копируем содержимое регистра ESP в буфер. В окне дампа давим Ctrl+G вставляем из буфера его содержимое (у меня это адрес 0006F8A4). Выделяем 4 байта мышом, давим правую кнопку мыша: Breakpoint --> Hardware on access --> Dword. Давим Ctrl + F9 (при этом в настройках ольги все Exceptions должны быть выключены) три раза, попадаем в такое место: 10015F63 53 PUSH EBX ; injdll.<ModuleEntryPoint> 10015F64 51 PUSH ECX 10015F65 57 PUSH EDI скролим вниз до этого места: 10015FEF 59 POP ECX 10015FF0 5B POP EBX 10015FF1 5D POP EBP 10015FF2 FFE0 JMP EAX ; прыжок на ОЕР 10015FF4 0000 ADD BYTE PTR DS:[EAX],AL 10015FF6 0000 ADD BYTE PTR DS:[EAX],AL 10015FF8 0000 ADD BYTE PTR DS:[EAX],AL на команде JMP EAX ставим toggle brakpoint (по F2), в меню Debug --> Hardware breakpoints отрубаем апаратный бряк(Delete). Давим Ctrl + F9 потом как брякнулись давим один раз F8 и мы на ОЕР. Делаем дамп и правим импорт ImpRec'ом. Результат в аттаче 252d_29.04.2008_CRACKLAB.rU.tgz - unpacked.rar ----- все багрепорты - в личные сообщения
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 30 апреля 2008 11:49 · Личное сообщение · #4 HandMill а как же релоки? Это же всё таки длл. ----- Yann Tiersen best and do not fuck
Bitfry Ранг: 495.3 (мудрец) Активность: 0.3↘0 Статус: Участник	Создано: 30 апреля 2008 11:57 · Личное сообщение · #5 PE_Kill пишет: HandMill а как же релоки? Это же всё таки длл. Так и думал, что сейчас придёт PE_Kill и напишет примерно эту фразу. =) Vicious, "Sorry, the file you requested is not available". Залей ещё раз куда-нибудь в другое место. ----- Всем привет, я вернулся
HandMill Ранг: 222.2 (наставник), 115thx Активность: 0.14↘0.01 Статус: Участник	Создано: 30 апреля 2008 12:00 · Поправил: HandMill · Личное сообщение · #6 PE_Kill, мне обычно приведенных выше действий хватало для анпака длл(ну ессесно для других пакеров - немножко другие действия). С релоками поможет ReloX, если возникнут проблемы в работоспособности этой длл, хотя я думаю что тут всё будет ок. Bitfry, перезалил сюда: fileuploader.cn/download.php?b307ce93fd9230c3a5e088c4303ae48b ----- все багрепорты - в личные сообщения
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 30 апреля 2008 12:25 · Личное сообщение · #7 HandMill, зачем такие заморочки? Все версии пакера распаковываются гораздо проще. Запускаем отладчик, смотрим первую команду, там всегда будет "MOV EAX, XXXXXXXX", переходим по этому XXXXXXXX и ищем ниже этого адреса следующее сочетание команд: POP EDX POP ESI POP EDI POP ECX POP EBX POP EBP JMP EAX - это и есть прыжок на наш OEP. Конечно дело вкуса и привычки, но такой способ чуть сэкономит время... ----- Research For Food
Bitfry Ранг: 495.3 (мудрец) Активность: 0.3↘0 Статус: Участник	Создано: 30 апреля 2008 13:44 · Личное сообщение · #8 HandMill пишет: хотя я думаю что тут всё будет ок. А ты на EP смотрел после распаковки? ----- Всем привет, я вернулся
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 30 апреля 2008 15:11 · Личное сообщение · #9 Можешь попробовать QuickUnpack поюзать. Если хочется самому-читай статьи, пакер это несложный, про ОЕП уже рассказали, импорт не перенаправляет, кроме пары функций (GetProcAddress обычно), ну и релокс под завязку.
Vicious Ранг: 3.2 (гость) Активность: 0=0 Статус: Участник	Создано: 11 мая 2008 10:38 · Личное сообщение · #10 Вообщем так эта dll и не поддалась распаковке, По совету Archer пробовал QuickUnpack, предварительно найдя OEP при помощи дебаггера, получилось оно 000035F8 Проблема в том, что после распаковки, файл так и остается запакованным. Размер правда чуть больше становиться, но PeID так и показывает PeCompact 2.xx --> BitSum Technologies * В чем моя ошибка? З.Ы. Библиотеку перезалил сюда: http://www.sendspace.com/file/wxz8ey http://www.sendspace.com/file/wxz8ey
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 11 мая 2008 11:38 · Личное сообщение · #11 Vicious Попробуй - rapidshare.de/files/39374269/inject_dump_.zip.html Ты бы ещё прогу выложил бы, заодно чтобы
FaTe Ранг: -2.8 (нарушитель) Активность: 0=0 Статус: Участник	Создано: 24 июля 2008 01:22 · Личное сообщение · #12 способ hr esp-4 (Olly), после чего shift+f9 уже не помогает? я всегда попадал на jmp eax и всё прекрасно распаковывалось
v0id2k Ранг: 221.3 (наставник), 135thx Активность: 0.19↘0.07 Статус: Участник	Создано: 24 июля 2008 05:33 · Личное сообщение · #13 Ох чувак, ждет тебя бан долгий за поднятие древних топиков. ----- xchg dword [eax], eax
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 24 июля 2008 10:07 · Личное сообщение · #14 Ушёл в баню на неделю.

Для печати