День добрый. Подскажите как быть.
Есть прога упакованная Upack 0.39 beta -> Dwing
Распаковал в ручную, закинул в Import REConstructor, находит все функции.
Сохраняю, запускаю. Прога вылетает.
Загружаю в IDA - F9.
IDA материться на исключения, но прогу запускает.
Как лечить?

d13a_03.09.2009_CRACKLAB.rU.tgz - IR.jpg

| Сообщение посчитали полезным:

А с какой ошибкой вылетает? Попробуй сделать Rebuild PE PETools'ом.
Да и выложи саму программу.

| Сообщение посчитали полезным:

Прога отечественная. За наш софт модератор пропатчить может. Или как?

| Сообщение посчитали полезным:

* открой в PE Explorer и пересохрани, он попробует распаковать
* распакуй в анпакере от Usar

если ты прогу исследуешь сам, то модератор тя не прокомпостирует

-----
EnJoy!

| Сообщение посчитали полезным:

Имя события проблемы: APPCRASH
Имя приложения: Dumped_my_.exe
Версия приложения: 2.6.0.0
Штамп времени приложения: 4011b0be
Имя модуля с ошибкой: ntdll.dll
Версия модуля с ошибкой: 6.0.6001.18000
Штамп времени модуля с ошибкой: 4791a783
Код исключения: c0000005
Смещение исключения: 00011bcb
Версия ОС: 6.0.6001.2.1.0.256.1
Код языка: 1049
Дополнительные сведения 1: b200
Дополнительные сведения 2: daa1238fb12ac2f45cf137495d900ed8
Дополнительные сведения 3: d7e4
Дополнительные сведения 4: b358ad66c378360c10b5405d0d3e6178

Прочтите заявление о конфиденциальности:
go.microsoft.com/fwlink/?linkid=50163&clcid=0x0419

| Сообщение посчитали полезным:

Дык мож тоды вбшный таргет выложишь?

| Сообщение посчитали полезным:

KeyLogger
gorlov-soft.com/download/logger.zip

OEP: 3B08

| Сообщение посчитали полезным:

Ломать не прошу. Помогите разобраться с импортом.

| Сообщение посчитали полезным:

mikeparadox
у тебя всё нормально с импортом

смотри что возвращает функция rtcFileLen в оригинале и в дампе

| Сообщение посчитали полезным:

Ну с импортом вроде пробем нет. А вот программа вылетает из-за того, что проверяетс длина файла и далее если что не так, генерируется ексепшн.
1я проверка

Достаточно немного изменить ф-ю rtcFileLen и дамп начинает работать.

Add
ну вот, пока печатал tihiy_grom уже все написал

| Сообщение посчитали полезным:

Спасибо ооогромное. Буду учиться дальше.

| Сообщение посчитали полезным:

Йа нашел 2 такие проверки на rtcFileLen, но есть еще косяк с основным окном после сплэша.

| Сообщение посчитали полезным:

Да есть такой косяк с окном, причём даже если запускаешь оригинал в olly. Да проверок две, а мест вызова штук 20, после любого действия попадаю на rtcFileLen. Я правильно понял, что перед вызовом rtcFileLen длинна файла уже известна и где-то храниться, возможно в EDX.

| Сообщение посчитали полезным:

Проблема с окном видимо потому, что загрузка ресурсов происходит перед вызовом OEP



| Сообщение посчитали полезным:

Основное окно отобразилось нормально, ресурсы вроде наместе.
Скрипт чтобы не править все проверки.


gpa "rtcFileLen","msvbvm60"
bp $RESULT
run
bc eip
findop eip,#C9#
bphws $RESULT,"x"
run
_@:
mov eax,FF ; any value less 10D87
run
jmp _@



816d_04.09.2009_CRACKLAB.rU.tgz - klr.rar

| Сообщение посчитали полезным:

Что-то я делаю не правильно.
Мой дамп и дамп um0v отличаются.
Ну да ладно. Беру дамп um0v
Открываю в Olly и запускаю скрипт, интерфейс не прогрузился
При нажатии на меню вываливаюсь в Olly
А при попытке запустить Агента из меню, выскакивает Agent.exe не найден

Мой дамп в приложении
9770_04.09.2009_CRACKLAB.rU.tgz - KeyLog_Reader_DUMP.exe

| Сообщение посчитали полезным:

mikeparadox пишет:
Открываю в Olly и запускаю скрипт, интерфейс не прогрузился
Исспользуй PhantOm для сокрытия отладчика. Где-то есть антиотладка.

Add
Убрал несколько проверок. Теперь дамп рабочий.

e0d5_04.09.2009_CRACKLAB.rU.tgz - klr_dumped_p.rar

| Сообщение посчитали полезным:

Ты крут!!! Спасибо!!!

| Сообщение посчитали полезным: