Сейчас на форуме: _MBK_, Rio (+5 невидимых)

 eXeL@B —› Вопросы новичков —› Unknown Packer
Посл.ответ Сообщение

Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 сентября 2008 17:00
· Личное сообщение · #1

Здравствуйте ещё раз

Интересует методология распаковки преднамеренно "затёртых" пакеров. Попалась прога, от которой "падает" OllyDBG. Небольшая выкладка из начала:
Code:
  2. 00422000   .EB 27          JMP SHORT CrackMe.00422029
  3. 00422002     29             DB 29                                    ; CHAR ')'
  4. 00422003     2C             DB 2C                                    ; CHAR ','
  5. 00422004     3D             DB 3D                                    ; CHAR '='
  6. 00422005     EA             DB EA
  7. 00422006     04             DB 04
  8. 00422007     00             DB 00
  9. 00422008     1E             DB 1E
  10. 00422009     21             DB 21                                    ; CHAR '!'
  11. 0042200A     04             DB 04
  12. 0042200B     00             DB 00
  13. 0042200C     72             DB 72                                    ; CHAR 'r'
  14. 0042200D     61             DB 61                                    ; CHAR 'a'
  15. 0042200E     05 00000000    ADD EAX,0
  16. 00422013     00             DB 00
  17. 00422014   . B8 00000000    MOV EAX,0
  18. 00422019   . 60             PUSHAD
  19. 0042201A   . 0BC0           OR EAX,EAX
  20. 0042201C   .74 68          JE SHORT CrackMe.00422086
  21. 0042201E   . E8 00000000    CALL CrackMe.00422023
  22. 00422023   $ 58             POP EAX
  23. 00422024   . 05 53000000    ADD EAX,53
  24. 00422029   > 8038 E9        CMP BYTE PTR DS:[EAX],0E9
  25. 0042202C   .75 13          JNE SHORT CrackMe.00422041
  26. 0042202E   . 61             POPAD
  27. 0042202F   .EB 45          JMP SHORT CrackMe.00422076
  28. 00422031     DB             DB DB


Даже ссылка на дельную страничку приветствуется, так как сам ничего дельного не нашёл...



Ранг: 159.1 (ветеран), 7thx
Активность: 0.130
Статус: Участник

 Создано: 21 сентября 2008 17:27
· Личное сообщение · #2

ArchiDevil
Не понятно о чем вопрос.

Пост должен был быть таким:
1)Исходные данные
2)Свои наработки
3)Вопрос по существу



Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 сентября 2008 17:36 · Поправил: ArchiDevil
· Личное сообщение · #3

tempread
Есть программа и ни одна специализированная тулза не может определить что за упаковщик на ней использован (Peid и QuickUnpack). При попытке работы через OllyDbg версия 1.10 просто вылетает с ошибкой Windows, 2.0 зацикливается по F8. Саму прогу выложить не могу целиком (просили). Скорее хотелось бы указания в правильном направлении (не слишком далеко ... и чтобы не матом;))



Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

 Создано: 21 сентября 2008 18:10 · Поправил: tihiy_grom
· Личное сообщение · #4

ArchiDevil
Я тебе ещё раз советую - выкладывай прогу. Шансы резко возрастут



Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 сентября 2008 18:13 · Поправил: ArchiDevil
· Личное сообщение · #5

tihiy_grom
Спасибо за совет, но прога своего рода "именная". Я бы с удовольствием, но... Если что без обид - лично от вас помощи не жду. Меня больше интересует возможных ход действий в данной ситуации (не межличностной). Может кто напоруки возьмёт) А так - всё пропьём, но флот не опозорим



Ранг: 159.1 (ветеран), 7thx
Активность: 0.130
Статус: Участник

 Создано: 21 сентября 2008 18:21 · Поправил: tempread
· Личное сообщение · #6

ArchiDevil
направьте кто нить в правильном направлении
Дело в том, что неизвестный пакер определяется "на глаз", людьми,которые уже имели с ними дело.
И даже если пакер совсем уж неизвестный, то его сможет распаковать только тот, кто умеет снимать известные пакеры,имея при этом хороший багаж знаний по антиотладке и функционированию pe-файлов.
Так что направлять то особо некуда - везде тупик.



Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 сентября 2008 18:24
· Личное сообщение · #7

tempread
Есть шанс выложить кусок кода, а не всю прогу, чтобы можно было определить пакер? С опытом конечно же не поспоришь, но вот такая ситуция. Мне никто не обязан помогать. Если кто знает как это сделать - хорошо, нет - не всё в этой жизни так, как нам хотелось бы...



Ранг: 159.1 (ветеран), 7thx
Активность: 0.130
Статус: Участник

 Создано: 21 сентября 2008 18:36
· Личное сообщение · #8

ArchiDevil
Ну,можешь выложить пару десятков команд с EP, пробуй не только PeID(надеюсь базы не очень старые?), но и Die,RDG Packer Detector,ExEinfo PE и т.д.
Но имей ввиду,что на форуме есть отдельно тема,предназначена для идентификации пакеров,хотя врядли есть смысл туда писать,не собираясь выкладывать екзешник.



Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 сентября 2008 18:38 · Поправил: ArchiDevil
· Личное сообщение · #9

tempread
Потому и запостил сюда - самая безобидная ветка... Скажем там где у AsPack написано .aspack в моей проге написано .kissmyass)




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 21 сентября 2008 18:40
· Личное сообщение · #10

На глаз говорю-пакера нет, Борланд С начало.
Остальное-либо выкладывай, либо закрой топик. Гадалка ушла в отпуск до декабря.



Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 сентября 2008 18:43
· Личное сообщение · #11

Archer
Тогда я до декабря подожду пожалуй...


 eXeL@B —› Вопросы новичков —› Unknown Packer
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати