 |
eXeL@B —› Вопросы новичков —› Помогите распоковать! UPX |
| Посл.ответ | Сообщение |
|
|
Создано: 01 сентября 2008 14:55 · Личное сообщение · #1 Собственно попробуйте и отпишитесь что вышло.....   723e_01.09.2008_CRACKLAB.rU.tgz - NFS_U_Client.rar
 |
|
|
Создано: 01 сентября 2008 16:41 · Личное сообщение · #2 А в чём, собственно, проблема? Его сам upx нормально распаковывает ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 01 сентября 2008 18:39 · Личное сообщение · #3 Да извините не было времени расписать туть не результат а интерес... Я пытаюсь его распаковать вручную, но возникают проблемы с таблицей импортов. Метод таков, Олька-LordPE-ImpREC так вот после дампа и фикса дампа программа напрочь неработоспособна. В одном из колов(вызовов) программа ссылаеться на несуществующий дресс откуда возврата нет!... да и олька потом с ошибкой открывает дамп_ 0043C8C4 FF15 60D84B00 CALL DWORD PTR DS:[4BD860] поле этого пустота В атаче дамп и дамп с фиксом, слышал бываеют проблемы с самим софтом, сам уже понять не магу в чем дело, я только еще учусь и не хачу чтобы у меня были пробелы не понятные.... если кому не лень разъясните мою ошибку 4b39_01.09.2008_CRACKLAB.rU.tgz - upx.rar
|
|
|
Создано: 01 сентября 2008 19:19 · Личное сообщение · #4 |
|
|
Создано: 01 сентября 2008 20:14 · Личное сообщение · #5 Gradar 1) OEP нашел правильно? 2) Если дампишь с помощью PE Tools или LordPE установи в настройках дампера Full Dump: paste header from disc ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 01 сентября 2008 22:56 · Личное сообщение · #6 to coderess da tak kak y mehia ge ectb he nakovannaia programma ia vigy kakim dolgen bit' nachalo oep i adress 00437211 ia pravil'no delaiu 1. hr ESP-4 //nahogy OEP 00437211 ctec V pervonachal'nom pologenii 2. LordPE vibiraio process full dump v Optoins vse pravil'no 3. ImpREC Vibiraiu process OEP 00037211 IAT Autosearch -> RVA =000BD51C -> Size 000001BC 4. FixDump chto kazalos' bi lerche? no vot ne rabotaet PS Proboval dump delat' OllyDBG Dump pocle ne naxoditsia kakaiato biblioteca Rtl....Last32error che to tak |
|
|
Создано: 01 сентября 2008 23:06 · Личное сообщение · #7 to tihiy_grom Ia i tak delal no vot rliuk li eto plugina sha npoveri'u |
|
|
Создано: 01 сентября 2008 23:49 · Личное сообщение · #8 00451EA3 call ds:RtlRestoreLastWin32Error как изменить в таблице импорта RtlRestoreLastWin32Error на RestoreLastError из за этого дамп не работает вроде в nspack также |
|
|
Создано: 02 сентября 2008 00:02 · Личное сообщение · #9 Gradar Короче, прочитай ещё раз внимательно тему, которую я давал выше, и скачай себе оттуда плагин для дампа - всё отлично распаковывается как я там расписал |
|
|
Создано: 02 сентября 2008 00:56 · Поправил: Gradar · Личное сообщение · #10 Поставил DeFixed olly в составе которого OllyDump3.x от тут то все и заработало 2 способом тоесть напрямую дамп с восстановлением таблиц, при помощи ImpRec не удаеться восстановить таблицы импорта Первый вариант(Чисто олька) получаем следующее 004BD4B8 RegOpenKeyExA ADVAPI32 ..... ..... 004BD8A0 URLDownloadToCacheFileA urlmon 2 вариант(ИмпРек) 004BD520 GetPrivateProfileStringA kernel32 ..... .... 004BD6D0 SetEnvironmentVariableA kernel32 В таблице отсутствует 46 строк импорта 
В чем дело? 
|
|
|
Создано: 02 сентября 2008 03:46 · Личное сообщение · #11 Зделай в Import Recover так 1.(Контекстовое меню) Advanced Commands => Get Api Calls => Ok 2.Show Invalid => (Контекстовое меню) CutThunks 3.Прикрути импорт. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 02 сентября 2008 17:46 · Личное сообщение · #12 Глянул я прогу, ИмпРек неправильно распознаёт начало и размер импорта-в этом косяк. |
|
|
Создано: 02 сентября 2008 21:47 · Личное сообщение · #13 Archer Ну а почему тогда у меня сам плагин и ImpRec нормально восстанавливает импорт? а уже наверное 7-ой или 8-ой человек пишет что у него это не прокатывает? |
|
|
Создано: 02 сентября 2008 23:31 · Личное сообщение · #14 tihiy_grom просто пользуясь каким то инструментом надо почитать как он работает, а 99% задающих такие вопросы знают что надо восстановить какую то иат, а как ее найти и что это такое, и куда жать если вдруг на автомате не нашлось - хз. О чем вообще речь может быть? ЗЫ Напомнило мне как один чувак тут спрашивал какого х* у него оля не хочет отлаживать тестовый файл, в котором сохранили распознаную иат из импрека и ему дали чтобы прикрутил. А потом другой чел, видать еще умнее его, упрекал меня что я не помог первому объяснить как анпакнуть тот файл, а послал курить мануалы 
----- Yann Tiersen best and do not fuck |
|
|
Создано: 03 сентября 2008 00:00 · Личное сообщение · #15 PE_Kill Да я не про то. Интересно просто, почему у многих OllyDump не восстанавливает импорт у UPX, я на каких только компах не пробовал - всё ок |
|
|
Создано: 03 сентября 2008 13:16 · Личное сообщение · #16 tihiy_grom Ну может эвристика какая отваливается в связи с хуками апи ав. ----- Yann Tiersen best and do not fuck |
|
eXeL@B —› Вопросы новичков —› Помогите распоковать! UPX |
Для печати