помощь в распаковке UPX

Сейчас на форуме: _MBK_, asfa (+6 невидимых)

Посл.ответ	Сообщение
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 14 мая 2009 01:33 · Личное сообщение · #1 Вот пробывал распаковать этот файл dump.ru/file/2716625, но у меня ничего не получается: ищу POPAD или POPA после того как нашел его дальше нет никакого перехода на OEP... можете помоч разобратся? в PEiDe пишет UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo p.s. это кей логгер так что не пугайтесь если найдет троян...

LIZARD Ранг: 48.2 (посетитель), 49thx Активность: 0.04↘0 Статус: Участник	Создано: 14 мая 2009 01:43 · Личное сообщение · #2 pickwick пишет: нет никакого перехода на OEP Почему же нет? вот он Code: 0041D068 - E9 7359FEFF JMP 004029E0
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 14 мая 2009 01:57 · Поправил: pickwick · Личное сообщение · #3 я пробывал этот уже... я тоже его находил но я думал что это не тот поскольку у меня и QuiсkUnpack находил этот же OEP но после распаковки файл не хотел работать... вот решил сам снять дамп и сделать импорт>> если OEP 004029E0, то в Import Rec когда ввожу этот OEP 000029E0, после Get Imports у меня остаются неопознаные функции даже после авто трайс, потом делаю Фикс Дамп, сохраняю и пишет что "IAT is still invalid..." под конец сохраненный файл не хочет запускатся, хоть в PeiDe уже не пишет ничего о UPX... в чем проблема?
SemDJ Ранг: 114.1 (ветеран) Активность: 0.09↘0 Статус: Участник	Создано: 14 мая 2009 10:05 · Личное сообщение · #4 pickwick Я не смотрел файл, но видимо где-то есть проверка на расспаковку.... ----- minimaL_patсh на руборде
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 14 мая 2009 11:12 · Поправил: Valemox · Личное сообщение · #5 Угу, верно SemDJ грит! Саму прогу распакать влет, но она не будет прально робить, т.к. вероятно проверяет свой размер и если се гуд, то самокопируется в систем32 под именем system.exe, из своих ресурсов извлекает библу WintSys туда же и запускается, а иначе облом-с. Кста, сам распаканый файл у мну запускается, но под своим именем и без извлечения библы. ЗЫ. А каспер гонит на него, однако
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 14 мая 2009 12:03 · Поправил: pickwick · Личное сообщение · #6 Valemox, Тоесть распакованый файл у тебя нормально работает? если да можеш залить на файло обменник... SemDJ, как убрать проверку на распаковку? А то что каспер на него гонит, так я сразу сказал что так может быть поскоку это кей логгер
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 14 мая 2009 19:20 · Личное сообщение · #7 pickwick тебе проще будет открыть его PE Explorer-ом и потом пересохранить (вот и анпак), чем мне заливать, каспер отключат и т.д. Сам то стукни хоть палец о палец, не ленись.
retriver70 Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 14 мая 2009 19:33 · Личное сообщение · #8 А попробуй по другому. Делаешь upx.exe -d Agent.exe, потом upx.exe --best Agent.exe. И, кстати, антивирь перестаёт визжать
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 мая 2009 04:11 · Поправил: pickwick · Личное сообщение · #9 Я не ленюсь, просто я новичок... после пересохранения PE Explolerom прога запускается висит в процесах но самого основного окна не появляется.... тоесть он не рабочая.... вобщем наверника стоит проверка на распаковку, тока я не знаю как её убрать.... кто нить может что подсказать?
LIZARD Ранг: 48.2 (посетитель), 49thx Активность: 0.04↘0 Статус: Участник	Создано: 15 мая 2009 04:26 · Личное сообщение · #10 pickwick Обратно сожми ее (не обязательно упх) и будет работать А ты для чего ее анпакаешь?
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 15 мая 2009 11:34 · Поправил: Valemox · Личное сообщение · #11 pickwick пишет: после пересохранения PE Explolerom прога запускается висит в процесах но самого основного окна не появляется Раз висит, а не падает, значит работает, но окон у нее и нету (мож кшно и есть взависимости от параметров запуска, хз). Ваще неясно, чего ты хош добится то от нее тоды?
Asik Ранг: 2.3 (гость) Активность: 0=0 Статус: Участник	Создано: 15 мая 2009 12:31 · Личное сообщение · #12 в IMP REC’е надо указать размер как его мохно узнать в упх
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 мая 2009 13:37 · Личное сообщение · #13 При запуске выходит окно вы хотите установить софт слежения на вашем компьютере? И в этом окне Два вырианта да и нет, если нажать да то кей логгер устанавливается в скрытом режиме, вот я хочу сделать что бы при открытии не вылазило окно а выполнялась сразу же скрытая установка....
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 15 мая 2009 16:15 · Личное сообщение · #14 Размер в УПХ обычно нормально определяется импреком и так при нажатии Get Imports. Если руками-то смотрят массив обычно и где он заканчивается (идут нули обычно или просто какой-то мусор, а не указатели). Конец-начало=размер.
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 мая 2009 19:38 · Личное сообщение · #15 Блин я еще новичок) мне далеко до вас, не могли бы вы подробно описать что надо сделать что бы программа нормально запустилась?
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 15 мая 2009 19:56 · Личное сообщение · #16 pickwick В этом подфоруме все постоянно спрашивают - "какого хрена вы всех посылаете читать статьи, если тут форум для новичков?". Так вот ... тут подфорум "для новичков", а не "форум, где подробно описывают что надо сделать дальше". Так что почитай статьи. Хотя бы "Введение в крэкинг с нуля, используя OllyDbg" и "Распаковка? Это легко!!!". Они лежат и тут, и на wasm.ru
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 мая 2009 20:03 · Поправил: pickwick · Личное сообщение · #17 Я их читал, теперь я умею снимать дамп, делать импорт, снимать упаковку от ASProtect и UPX, но я не понимаю что надо сделать в ИмпортРеке что бы программа работала так как надо....
Asik Ранг: 2.3 (гость) Активность: 0=0 Статус: Участник	Создано: 16 мая 2009 07:56 · Личное сообщение · #18 pickwick пишет: Я их читал, теперь я умею снимать дамп, делать импорт, снимать упаковку от ASProtect и UPX, но я не понимаю что надо сделать в ИмпортРеке что бы программа работала так как надо.... ну ты и пишеш умееш снимать дамп востанавливать импорт и даже распаковать а что тебе больше надо. Если при запуске выводит ошибку значит не правельно распаковаеш - тоесть снимаеш дамп или востановление импорта читай и учись
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 16 мая 2009 13:09 · Личное сообщение · #19 Уже ничего не выходит, я повторяю, Файл просто запускается и висит в процессах но самого главного окна кооторое в самом начале запуска нету...
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 16 мая 2009 13:56 · Поправил: Valemox · Личное сообщение · #20 pickwick пишет: Файл просто запускается и висит в процессах но самого главного окна кооторое в самом начале запуска нету И не будет, пока не залезешь в VB код распаканого файла и не уберешь эту проверку на изменение размера файла. Заметил, чо при измененном файле библа ваще не извлекаетца. Мож она окно и запускает? ADD: Я не знаю как убирать проверку тоды прямая дорога в запросы
pickwick Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 18 мая 2009 16:30 · Личное сообщение · #21 Я не знаю как убирать проверку...

Для печати