 |
eXeL@B —› Вопросы новичков —› Распаковка |
| Посл.ответ | Сообщение |
|
|
Создано: 14 августа 2009 15:03 · Личное сообщение · #1 Приветствую всех кто зашёл в темку. Нужна помощь и совет. I) Почитал теорию от Нарвахи и половину туторов от Alex22(респект ему наигроменный!!!). Теория хорошо но надо практиковаться. Именно в распаковке. Скачал программку 1. Kyodai Mahjongg 2006 v1.42 3. www.download.com/Kyodai-Mahjongg-2006/3000-2111_4-10488892.html из топика выше. 1) Exeinfo сказал: UPX -> Markus & Laszlo ver. [ 2.01 ]. 2) В Olly открыл. PUSHAD прохожу. Бряк на значение в esp. Перешёл на OEP. По адресу 00500B08 3) PEtools -> Dump full. Сделал. 4) Далее находим IAT. Search for -> Binary string -> FF 25 . Нашёл JMP. Переходим в дампе по адресу в прыжке. Мы на IAT. Нашёл начало=5AD1C8 , нашёл конец=5AD9F0 . Смотрим в дампе в PE ImageBase=400000. Пишем в ImpRec OEP=100B08 RVA=1AD1C8 Size=828 Создался файл. Запускаю: Ошибка при инициализации приложения(0xc0000005). Ну наверно неправильно посчитал IAT. Смотрю Find References...везде пусто...что за болты??? II) И я так понимаю единственный путь к изучению распаковки: написать прогу, и разными упаковщиками упаковывать. И пошагово разбирать. Все ли так изучали? Потомучто занятие нудноватое.  |
|
|
Создано: 14 августа 2009 17:05 · Личное сообщение · #2 Eretic пишет: Пишем в ImpRec OEP=100B08 RVA=1AD1C8 Size=828 Пишем в ImpRec OEP=100B08 RVA=1AD1C8 Size=82C |
|
|
Создано: 14 августа 2009 17:24 · Поправил: Eretic · Личное сообщение · #3 Стоп почему 82С? 5AD9F0-5AD1C8(из конца вычитаем начало)=828 |
|
|
Создано: 14 августа 2009 19:37 · Личное сообщение · #4 Ну взял бы да посмотрел, где падает и почему. Падает на обработке ТЛС, дай 1 секции права на запись. А размер пофигу, 828 или 82c. |
|
|
Создано: 14 августа 2009 19:46 · Личное сообщение · #5 А почему в Find References нет ничего? По туторам так и говорится-проверяйте этой опцией. Значит далеко не факт что это правильно. Интересно. Спасибо Archer. Теперь буду знать. |
|
|
Создано: 14 августа 2009 19:56 · Личное сообщение · #6 Eretic пишет: А почему в Find References нет ничего? а ты выдели сначала иат, и посмотри, там видны все функи)) |
|
|
Создано: 16 августа 2009 18:21 · Личное сообщение · #7 btw...распаковка EXECryptor V2.2X-V2.4X -> StrongBit Technology пытаюсь распаковать "руками"... есть прога запакованная сием чудом...вначале нужно сделать дамп (Вопрос № 1 - это верно ?)...сделал procDump'ом....потом надо найти OEP или восстановить импорт (вопрос № 2 - что из этого верно и какова последовательность ?)...что такое IAT (начало и конец) ? (вопрос № 3) з.ы. это еще не все...нуб чеж поделаешь...)) |
|
|
Создано: 16 августа 2009 19:15 · Личное сообщение · #8 XUNTER Возможно, не стоит братся за EXECryptor если есть вопросы накшталт: "Что такое IAT". И почитать, скажем, Нарваху. |
|
eXeL@B —› Вопросы новичков —› Распаковка |
Для печати