Прохожу практику распаковки. На данный момент, версия Aspra 1.35. Сижу со статьями

PE_Kill(а) и Vnekrilov(а), вроде все пока нормально идет. Параллельно решил вести

распаковку сторонней программы и ..... DiE и PEiD при более тщательном анализе

сообщают о версии 2.1 SKE.
Если не затруднит, дайте общие рекомендации по распаковке этой версии Aspra исходя

из личного опыта. На что стоит обратить пристальное внимание?
Исключений нет, пробиться через NOP не могу. Иду тихо, мирно по F7, но не могу

определить где он (Aspr) эту гадость подсовывает.

Сам файл "весит" 19.2 mb. Здесь http://filesurf.ru/54933 http://filesurf.ru/54933 положил .exe и 2 dll (894 kb)
С уважением!

| Сообщение посчитали полезным:

Извиняюсь, что решил задать вопрос в этом топике - не хочу создавать новый. А вопрос у меня тоже по распаковке Aspra, только версия 1.4 build 04.01 Beta.

Нашел ОЕР:

0085A6F8 55 PUSH EBP
0085A6F9 8BEC MOV EBP,ESP
0085A6FB 83C4 B4 ADD ESP,-4C
0085A6FE B8 D8A48500 MOV EAX,chmEdito.0085A4D8
0085A703 E8 D0B0FDFF CALL chmEdito.008357D8
0085A708 E8 8F8EFDFF CALL chmEdito.0083359C
0085A70D 8D40 00 LEA EAX,DWORD PTR DS:[EAX]
0085A710 0000 ADD BYTE PTR DS:[EAX],AL
0085A712 0000 ADD BYTE PTR DS:[EAX],AL
......

Сдампил и восстановил импорт ImpREC v1.6 - все функции вроде восстановились

Запускаю и получаю - Ошибка при инициализации приложения (0xc000007b). Хотел посмотреть где падает - еще при загрузке в Ольку выдает тоже самое. Никак не пойму что не так.

Здесь упакованный оригинал http://rapidshare.com/files/149178046/original.rar.html
размер 1.49 Мб

А здесь дамп http://rapidshare.com/files/149179578/dump_.rar.html с восстановленным импортом.
размер 1.57 Мб

| Сообщение посчитали полезным:

возьми LordPE и сделай RebuildPe, а в опциях поставь Realing file -> Normal
после этого файл можно будет норм грузить в олли.

з.ы. в принципе подойдёт любой пе редактор.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Имеется файл ifolder.ru/8503807 PEiD не может определить чем запакован. Содержит секции upx0, upx1, rsrc. Подскажите чем упакован и как найти ОЕР.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
Подскажите чем упакован и как найти ОЕР.

upx'om и запаковано.



| Сообщение посчитали полезным:

gena-m
вообще-то есть топик для таких вопросов

| Сообщение посчитали полезным:

У меня проблема несколько иного рода. При загрузке программы я стою в Олли и вижу следующее:


00DAF080 >60 PUSHAD
00DAF081 BE 00B0BF00 MOV ESI,0BFB000
00DAF086 8DBE 006080FF LEA EDI,DWORD PTR DS:[ESI+FF806000]
00DAF08C 57 PUSH EDI
00DAF08D 89E5 MOV EBP,ESP
00DAF08F 8D9C24 80C1FFFF LEA EBX,DWORD PTR SS:[ESP-3E80]

Т.е. нормальное начало программной точки входа, но как только я дотрагиваюсь до колеса мыши у меня все меняется и я вижу следующее:

00DAF076 A1 F4000000 MOV EAX,DWORD PTR DS:[F4]
00DAF07B 0000 ADD BYTE PTR DS:[EAX],AL
00DAF07D 0000 ADD BYTE PTR DS:[EAX],AL
00DAF07F 0060 BE ADD BYTE PTR DS:[EAX-42],AH
00DAF082 00B0 BF008DBE ADD BYTE PTR DS:[EAX+BE8D00BF],DH
00DAF088 0060 80 ADD BYTE PTR DS:[EAX-80],AH
00DAF08B FF57 89 CALL DWORD PTR DS:[EDI-77]
00DAF08E E5 8D IN EAX,8D ; I/O command
00DAF090 9C PUSHFD
00DAF091 24 80 AND AL,80
00DAF093 C1FF FF SAR EDI,0FF ; Shift constant out of range 1..31
00DAF096 31C0 XOR EAX,EAX

В результате меняется весь листинг и я не могу найти POPAD и ОЕР .Как описано выше, там как я понял в IDA показано а мне не понятно почему в Олли не получается найти ОЕП

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
Попробуй на другой, сборке Ollydbg. Или сделай так, Сtrl+F-> убери галку, Entire block ->веди POPAD ->Find . А вообще почитай туторы па распаковке, не знаю где ты там увидел, нормальное начало точки входа в программу.

| Сообщение посчитали полезным:

gena-m
Почитай как надо распаковывать UPX, там ничего нетт сложного. Ищешь последний джамп в коде, он и будет прыжком на OEP. Для твоего файла OEP=008F7610. Ищи в коде строку JMP 008F7610 - это и есть переход. Или если руками лень - распаковывай самим UPX'ом (выше третьей версии)

gena-m пишет:
Ничерта не получилось в Оле. Взял PE Exsplorer и через 10 секунд получил рабочий файл, даже сам не ожидал такого.
Лучше бы статьи почитал, а то так и будешь новые посты клепать "Че-то у меня не получается PE Explorer'om распаковать другие пакеры"

| Сообщение посчитали полезным:

Ничерта не получилось в Оле. Взял PE Exsplorer и через 10 секунд получил рабочий файл, даже сам не ожидал такого.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
но как только я дотрагиваюсь до колеса мыши у меня все меняется
Такое бывает, если не сделан анализ секции. Когда Olly во время загрузки файла говорит, что файл пожат и спрашивает, продолжать ли анализ, надо щелкать на "да".

| Сообщение посчитали полезным: