Как унпакать DLL, и если её унпакнуть каким образом старую паканую DLL заменить на новую унпакнутую чтобы испольвать как и нынче для Инжекта

5262_03.09.2008_CRACKLAB.rU.tgz - my.dll

| Сообщение посчитали полезным:

Ну для начала почитать статьи и осознать, что надо прошагать до ОЕП, сдампить, восстановить импорт и релоки. Неплохо было бы познакомиться, чем упаковано, попытаться попробовать автоматические анпакеры. И уже потом задавать конкретный вопрос.
А использовать не особо сложно-положить ВМЕСТО.

| Сообщение посчитали полезным:

там PEcompact- мусолен перемусолен в статьях, коих навалом. для распаковки куча скриптов. за такие топики надо бить- в правилах форума ясно указано, что сначала желательно написать, что ты что-то делал сам, и в чем проблема, или топать в запросы на взлом.
в аттаче распакованная, попробуй, я хз будет нет работать.



1d7e_03.09.2008_CRACKLAB.rU.tgz - dumped_.dll

| Сообщение посчитали полезным:

По PEcompact работы проводил извеняюсь что не расписал, топик с заказами на взлом нашол чють поже написания этой статьи....
Дело было так Я просерчил его PEiD и он мне сказал что не знает о чём идёт речь, потом я взял вв руки PE-Sniffer v 3.4 и он тоже сказал что не в курсе, потом мне попалась новая версия PE-Sniffer 4.0 и он мне сказал что это PECompact 2.x .... в папочке с этой dll лежит ещё файлик к ней exe,шный он был паканый тем-же НО его определили все сканеры до единого как PECompact....так почему же DLL определил только PE-Sniffer 4.0 И ещё ткните мою поршивую морду в инфу по распаковке, и не сердитесь сильно, когдата всётаки настанет просветлегние и вам будет легче=)

| Сообщение посчитали полезным:

да вроде и die и peid и fba и все остальные более-менее обновленые определяют.правда автоанпакеры не берут.и квиканпакер не хочет что-то.

| Сообщение посчитали полезным:

http://www.exelab.ru/art/?action=view&id=325 - вот например статья хорошая. но я снимал пакер не так, как в ней описано- находил скриптом ОЕР, дампил Lord PE, потом импорт прикручивал ImpRec. просто тут отличие небольшое в том что это не .ехе, а дллка. для этого есть загрузчик длл, прямо в ольке, потом в LordPe тоже есть возможность дампа дллок, да и в ImpRec все просто- только не забудь что вычитать для фикса ОЕР надо 10000000- потому что это дллка, выбираешь в процессах лоадер дллок, вылезет их список- в нем и найдешь свою. все просто вся инфа находится здесь, и нужно просто ее поискать.

| Сообщение посчитали полезным:

ОЕП можно без скриптов, оно совпадает с ЕП, просто прошагать распаковку надо. Границы импорта по идее импрек должен нормально найти, это сам не проверял. А паблик анпакеры реально тупят из-за того, что совпадает еп и оеп, возможно.

| Сообщение посчитали полезным:

Archer пишет:
Границы импорта по идее импрек должен нормально найти - по крайней мере в данном случае не ругался,
везде сказал "YES"
Анпакеры возможно из-за этого, но возможно версия PEcompact более новая, ибо не все анализаторы смогли определить, да и 2 скрипта для полной распаковки 2.хх выдали ошибку. для нахождения ОЕР только сработал.- поэтому есть мнение что он импорт коверкает немного не так, как предыдущие версии.

| Сообщение посчитали полезным:

Gerpes Пишет:по крайней мере в данном случае не ругался,
везде сказал "YES"
Archer, cкорее всего имел в виду начало и размер секции IAT, имперек иногда ложаеться с правельным нахождением IAT.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Да, имел в виду границы, в самом импорте он может и лохануться, пекомпакт иногда эмулит пару функций типа GetProcAddress. Хотя импорт в данном случае не смотрел, просто до оеп прошагал.

| Сообщение посчитали полезным: