| Сейчас на форуме: asfa (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Дельфи dll. как ресырсы выгрузить? |
| Посл.ответ | Сообщение |
|
|
Создано: 27 февраля 2009 11:48 · Личное сообщение · #1 есть дельфийская dll. упакованная UPX я ее распаковал: rapidshare.com/files/203114964/Rezident.rar.html в ней куча мультимедийных ресов приаттачено. стандартные софтины не идентифицируют их и если и выгружают - то как непонятный набор raw данных. может ктонить подсказать что с ними не то (может упакованы чем хитрым ) ну и как выгрузить их ?  |
|
|
Создано: 27 февраля 2009 12:07 · Личное сообщение · #2 Распакуй самим же Upx'ом (upx -d packed.exe) и потом открой в каком-нибудь редакторе ресурсов и сохрани нужные тебе ресурсы на диск. |
|
|
Создано: 27 февраля 2009 12:13 · Личное сообщение · #3 kioresk хех, собственно в первом посте я написал что так сделал. там тупо raw данные. ни заголовков знакомых ничего. либо пожато либо какой то формат дельфийский. я слышал что они ( дельфи ) там свой формат ресов юзают. |
|
|
Создано: 27 февраля 2009 12:27 · Личное сообщение · #4 progman, а чем ты пользуешься для извлечения и как сохраняешь? попрбуй PE Explorer или Resource Tuner(это урезаный PE Explorer, только для работы с ресурсами) в нем открываешь упакованую(!) длл, он сам ее правильно распакует и потом работаешь с ресурсами ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 27 февраля 2009 12:30 · Поправил: Lumen · Личное сообщение · #5 PE Explorer нормально открывает твою дллку... И ресурсы все нормально видит. И распаковывать UPX'ом необязательно. ----- The truth is out of there... |
|
|
Создано: 27 февраля 2009 13:19 · Личное сообщение · #6 да я много чем пробовал (PE Explorer тоже), в том числе и ручками через ::LoadLibrary, ::FindResources, ::LoadResources пробовал. на выходе набор данных не похожих ни на BMP ни на JPEG - вообще ни на что. первые 2 байта у всех одинаковые. вот я и думаю что либо запаковано чем то либо может какой формат хитрый дельфийский |
|
|
Создано: 27 февраля 2009 13:20 · Личное сообщение · #7 UPX распаковывал чтобы IDA её скормить - думал там в коде увижу как что грузится из ресов и распаковывается. но что то не асилил ( |
|
|
Создано: 27 февраля 2009 13:50 · Поправил: 4kusNick · Личное сообщение · #8 Дык наверное есть прога, которая эту dll юзает и как раз в проге и надо смотреть, как она из длл ресурсы вытаскивает\расшифровывает\парсит. А сама длл больше похожа на хранилище этих ресурсов, у нее даже экспорта нет. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску. |
|
|
Создано: 27 февраля 2009 13:51 · Личное сообщение · #9 Ресурсы пошифрованы, скорее всего xor со сдвигом. Ищи в коде функцию расшифровки. У BMP: заголовок 'BM' - в ресурсах константно A5 9B У WAV: заголовок 'RIFF' - в ресурсах константно 95 9F 9F 98 Так что от ксора недалеко там шифрование ушло. |
|
|
Создано: 27 февраля 2009 14:02 · Личное сообщение · #10 4kusNick DllMain у нее есть. имхо этого может быть достаточно для полноценной работы ибо вся игровая логика и ресы могут быть только в ней. cppasm да я уже обратил внимание на это. просто ксирить WORDом или DWORDом не вариант, ничего путного не получается. |
|
|
Создано: 27 февраля 2009 15:09 · Личное сообщение · #11 progman пишет: просто ксирить WORDом или DWORDом не вариант, ничего путного не получается. Ты так гадать будеш до пенсии. Ищи код расшифровки в бинарнике. |
|
|
Создано: 27 февраля 2009 15:10 · Поправил: Wyfinger · Личное сообщение · #12 Дайте длл-ку посмотреть (на рапиде закрылось, переложите пжста на нормальный обменник), self не видел, там не может быть форм с ресурсами в виде Image, накрытых TextToObjBit? (глупо но как вариант). |
|
|
Создано: 27 февраля 2009 15:15 · Личное сообщение · #13 cppasm фигня в том что там слишком защита для мну сложная. бинарник запакован/зашифрован и грузится из dll которая тоже запакована/зашифрована и грузится из загрузчика. вобщем сам чОрт ногу сломает ( Wyfinger Ссылка для скачивания файла: ifolder.ru/10770546 rapidshare.com/files/203173763/Rezident.rar.html |
|
|
Создано: 27 февраля 2009 16:11 · Личное сообщение · #14 Может ресурсы упакованны.. |
|
|
Создано: 27 февраля 2009 16:12 · Поправил: progman · Личное сообщение · #15 Wyfinger пишет: Может ресурсы упакованны.. имхо с вероятностью 99,99% упакованы или зашифрованы чем то. видимо тут только копать в сторону поиска закгрузчика ресов в бинарнике. 
|
|
|
Создано: 26 октября 2009 16:52 · Личное сообщение · #16 хм...в продолжение темя...есть exe. вроде как в нем из ресурсов какой то звуковой файл....на loadresource - результата ноль...из внешних источников ничего не загружает...!!!! кто в delphi плотно работал может проконсультировать?! вот сам exe. slil.ru/28125015 вот установочный файл se2fm.com/Rus/ck04at/SE2Studio_234_109B.exe |
|
|
Создано: 14 июня 2010 04:44 · Личное сообщение · #17 Пытаюсь решить ту же задачу, что и автор темы. Собственно вышеобозначенными дельфовскими dll являются игры от Igrosoft. Может кто-то подскажет какое там было применено шифрование? |
|
|
Создано: 14 июня 2010 11:20 · Поправил: NikolayD · Личное сообщение · #18 yvo-job что сам накопал? ====================================================================== yvo-job Ну а где прога, старые ссылки уже зачахли. yvo-job пишет: не выяснил а что сделал то для выяснения? |
|
|
Создано: 15 июня 2010 03:04 · Личное сообщение · #19 Остановился на том же, на чем и автор темы, UPX декомпрессию сделал, а чем дальше файлы зашифрованы пока что не выяснил. |
|
eXeL@B —› Вопросы новичков —› Дельфи dll. как ресырсы выгрузить? |
Для печати