| Сейчас на форуме: Rio (+5 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Что делать дальше? |
| Посл.ответ | Сообщение |
|
|
Создано: 21 августа 2008 18:13 · Личное сообщение · #1 Распаковываю обыкновенный winmine, сжатый UPX v 2.0.2. Нашел точку входа, она по адресу: 01003e21 (push 70 ....). Находясь на ней снял дамп. Расположение ресурсов определил по адресу: 01001000. Длина таблицы по моим оценкам: 1b4. Добавил ресурсы к файлу с дампом. Теперь Resfixer говорит, что некоторых ресурсов не хватает. Что делать дальше? Вернее я путаюсь в работе с ResRebld. Подскажите пожалуйста как правильно.  |
|
|
Создано: 21 августа 2008 18:38 · Личное сообщение · #2 kuporos У меня обыкновенный winmine написан на С++ и ничем не сжат Microsoft Visual C++ 7.0 Method2 [Debug] |
|
|
Создано: 21 августа 2008 20:57 · Личное сообщение · #3 Стандартный сапёр не сжат ничем. Видимо, сам наварганил чо-то. А ты что вообще хочешь то? Чтоб ресурсы редактировать? Есть для этого тулзы автоматические, накой самому шаманить с размером... Чтоб файл запускался? Импорта не хватает тогда. |
|
|
Создано: 21 августа 2008 22:04 · Личное сообщение · #4 Archer Я сапера специально прижал. А распаковать очень хочется полностью вручную, если сумею, конечно. Ищу, так сказать приключений на свою голову... А кстати, нужно ли редактировать размеры секций готового дампа, или просто напросто удалить старый .rsrc и на его место загрузить новый, уже со всеми ресурсами? |
|
|
Создано: 21 августа 2008 22:12 · Личное сообщение · #5 ну выложи свой файл 
я тебе покажу как распаковывать upx |
|
|
Создано: 22 августа 2008 01:01 · Личное сообщение · #6 kuporos эээ.... погодт ресурсы трогать. Может ты криво сддампил и тебе импорт надо поправить... Вначале онпакни нормально, а потом уже в ресурсы лезь... ЗЫ: для востановления импорта юзай QUnpack... Краткий мануал: Стоишь на оеп, аттачишсо к процесу с помощью ку, жмешь Ful unpack и все готово. ----- xchg dword [eax], eax |
|
|
Создано: 22 августа 2008 12:50 · Личное сообщение · #7 v0id2k человек ведь мечтает руками научиться распаковывать upx 
|
|
|
Создано: 24 августа 2008 22:58 · Личное сообщение · #8 tihiy_grom Файл - вот он. Я его запаковал со всеми опциями. А скажи, кстати, что у меня неправильно с дампом? Делаю я так: Ставлю bp на исполнение на адрес 01003e21, нажимаю F9 и останавливаюсь, соответственно, на точке входа. Затем запускаю OlliDbg PE Dumper v 3.03, жму на Get EIP as OEP, ставлю все три галочки и дамплю. Правильно?  59ac_24.08.2008_CRACKLAB.rU.tgz - winmine.exe
|
|
|
Создано: 24 августа 2008 23:28 · Личное сообщение · #9 OEP правильное. Насчёт трёх галочек я так и не понял - там их всего две, хотя может у тебя версия другая ...
Пользуйся вот этим плагином для дампа - rapidshare.com/files/139827444/olly_dump.zip.html. Галки никакие в нём не трогай, для UPX он и импорт нормально тебе восстановит. |
|
|
Создано: 25 августа 2008 01:08 · Личное сообщение · #10 tihiy_grom Перед снятием дампа все было так как на рисунке. Павильно? И если да, то дальше как? |
|
|
Создано: 25 августа 2008 02:00 · Личное сообщение · #11 |
|
|
Создано: 25 августа 2008 05:26 · Личное сообщение · #12 tihiy_grom С этим файлом не проканает. Снимай галку с "Rebuild Import" и дампи процесс, после дампа запускай ImpREC, выбирай в процессах свой винмайн, вбивай оеп куда надо и жми Auto Search и Get Imports, дальше Fix dump и выбирай свой дамп. ЗЫ: а есть еще проще метод, после того как всат на оеп, аттачишсо к процессу с помощью ку и он все дальше сделает сам. ЗЗЫ: сам йа импорт всегда только с помощью ку правлю = ЗЫЗЫ: на правах рекламодателя 
----- xchg dword [eax], eax |
|
|
Создано: 25 августа 2008 15:20 · Личное сообщение · #13 v0id2k пишет: С этим файлом не проканает Странно, но у меня всё ок, дамп рабочий получается. |
|
|
Создано: 25 августа 2008 17:49 · Личное сообщение · #14 v0id2k Понимаю, что скорее всего надоел, но все-таки рискну... Получается какая-то несправедливость...  ( Когда я прошу ImpRec автоматически найти IAT, он выдает, что RVA = 1000, а размер = 1E000. А когда пытаюсь найти таблицу через опкод (FF25), получается, что RVA действительно 1000, а вот размер никакой не 1E000, а 1B4! По крайней мере дальше никаких адресов уже нет... Может у меня настройки как-то хромают? Засылаю скриншоты. 0d72_25.08.2008_CRACKLAB.rU.tgz - Заливка ресурсов.rar
|
|
|
Создано: 25 августа 2008 18:38 · Личное сообщение · #15 kuporos Вот тебе видео по снятию UPX
rapidshare.com/files/140015123/123.avi.html |
|
|
Создано: 25 августа 2008 19:45 · Личное сообщение · #16 tihiy_grom Ну это же надо, прикинь! Я же так тоже пробовал, голову уже на четыре части сломал! А ведь оказалось, что вся проблемма в глючном плагине, чтоб ему пусто было. Поставил твой - и все заработало! Спасибо большое и тебе и v0id2k! Дай пожалуйста если можно ссылочки на те, которыми сам пользуешься (ODbgScript, OllyDbg PE Dumper, CommandBar...), а то я в своих уже крепко сомневаюсь. Да, а что в распаковке координально изменится, если сжатыми окажутся секции экспорта и ресурсы? |
|
|
Создано: 25 августа 2008 19:55 · Личное сообщение · #17 OllyDBG PE Dumper вобще не пользуюсь. CommandBar подойдет любой (вроде особой разницы нет). ODBG Script попробуй этот - rapidshare.com/files/140031443/ODbgScript_1.65.1.rar.html |
|
|
Создано: 25 августа 2008 21:17 · Личное сообщение · #18 tihiy_grom Еще раз спасибо. Раз пошла такая пьянка, как говориться, не подкинешь ссылку на ImpRec - он у меня тоже какой-то не такой по виду, ну и заодно уже на Resfixser и на ResRebld, если пользуешься... |
|
|
Создано: 25 августа 2008 23:12 · Личное сообщение · #19 |
|
|
Создано: 26 августа 2008 17:25 · Личное сообщение · #20 Еще раз спасибо всем причастным. Последнее и окончательное. Ошибку свою (вернее программную) нашел и общими усилиями устранил. А за сим тему можно закрывать... |
|
eXeL@B —› Вопросы новичков —› Что делать дальше? |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати