Попалась прога накрытая версией 2.705 Thinstall.
00DA1C44 push 0E47278 ; ASCII "APISPY: Calling EXE Entry Point %x",LF
00DA1C49 call 00DBF990
00DA1C4E add esp,8
00DA1C51 call dword ptr ss:[ebp-AC] (0086295E); <jmp.&KERNEL32.ExitProcess> - переход на ОЕП

который собственно выглядит вот так:

0086295E jmp dword ptr ds:[402000] ; mscoree._CorExeMain

вот дохожу до сих пор (0086295E) и пробую дампить.
если дамплю без force RAW mode, то не дампиццо ничего абсолютно, если дамплю с галкой на Raw mode то Unable start program... (как правильно сдампить прогу, так чтобы потом цеплялись дополнительные секции, потому что IMPREC пишет что не может прицепить секцию?).

попробовал сдампить плугом для ольки что-то получилось, но дальше начался косяк с ИАТ.
пытаюсь восстановить импорты без добавления новой секции и вижу ошибку при загрузке проги в ольку:

"Порядковый номер 33548 не найден в библиотеке DLL mscore.dll"


Может кто подскажет хитрости и тонкости борьбы с этой дрянью

спасибо.

| Сообщение посчитали полезным:

Файл выложи для начала. ОЕП сомнительное. Импортируй по имени, а не ординалу. Можешь дампить другим софтом, включая сам импрек.

| Сообщение посчитали полезным:

NewBHack пишет:
попробовал сдампить плугом для ольки что-то получилось, но дальше начался косяк с ИАТ.пытаюсь восстановить импорты без добавления новой секции и вижу ошибку при загрузке проги в ольку:
Для тинстала не нужно юзать импрек достаточно просто не дать заполнить иат и сдампить .
и переход на оеп там что то типа того call dword ptr ss:[ebp-ХХ]

| Сообщение посчитали полезным:

to pavka да, я пытался не дать ему заполнить иат, но при этом он в иате правит кое-какие адреса "под себя", например, было в таблице KERNEL32.ExitProcess, он гад меняет на mscoree._CorExeMain и получается такая фигня, что если я не дам ему менять эту таблицу, то он попадает на KERNEL32.ExitProcess ну и есс-но свалится прого... вот так вот... палка о двух концах.
dll я как бы выделил - всё нормально, а вот как тут прот отцепить х.з. тем паче что эта дрянь постоянно ломится в секцию Тинстала... допустим прога крутится и если повесить бряк на память то 99% исполняемых процедур идут именно оттуда (кароч я слабый песатель сча залью на депозит и отправлю вам линку в личку - сами увидите... как бы защиту серийником я обхожу на легке но мля хочеццо распаковать - пакрутому сделать тем более что с 2.5 версой никада проблем не было).
и переход на Оеп у меня именно такой, pavka, как ты обрисовываешь:

00DA1C51 call dword ptr ss:[ebp-AC] (0086295E); <jmp.&KERNEL32.ExitProcess> - переход на ОЕП

а вместо ехит процесс там лежит правленый mscoree._CorExeMain


to Archer отправил линку в личку. спасибо, что никогда не отказываете в помощи.

| Сообщение посчитали полезным:

NewBHack пишет:
to Archer отправил линку в личку. спасибо, что никогда не отказываете в помощи.
Ты только арчи прожку посмотреть дашь? Или это такая софтина приватная?

| Сообщение посчитали полезным:

NewBHack
только не отправляй и MasterSoft'y ссылку в личку
выкладывай тут

| Сообщение посчитали полезным:

ну софт как бы не для общего обозрения отправил в лычку.

| Сообщение посчитали полезным:

tihiy_grom пишет:
только не отправляй и MasterSoft'y ссылку в личку
ты прям пророк, после твоих слов увидел новое сообщение в ПМ с ссылкой на прогу.ъ

NewBHack
Напасть какая-то... ты хоть паролем на архив поделился бы или мне его брутить?

| Сообщение посчитали полезным:

pavka пишет:
00DA1C51 call dword ptr ss:[ebp-AC] (0086295E); <jmp.&KERNEL32.ExitProcess> - переход на ОЕПа вместо ехит процесс там лежит правленый mscoree._CorExeMain
Там нормальная иат ее просто не заполняешь и дампишь
007E5EDE: FF2500204000 jmp _CorExeMain oep
.007E5EE4: 0000 add [eax],al
Фреймворка у меня нет но дамп совершенно валидный
http://rapidshare.com/files/291869043/dumped.rar
забыл поставишь сам значения
NetMetaData Directory
RVA И Size

| Сообщение посчитали полезным:

спасибо. буду разбираться.

отдельное спасибо tihiy_grom - пущего профессионализма я не видел

| Сообщение посчитали полезным:

Жаль, что не выложил ссылку.
Когда-то на руборде были мультики по перепаковке Thinstall без использования отладчика. Щас уже не видел, нашел у себя. Залил оба варианта.

--> Вариант 1 <-- 9.45 Мб
--> Вариант 2 <-- 7.8 Мб

Во втором варианте можно получить чистую прогу, как будто бы она была только что установлена. Возможно также внести изменения и собрать в пакет обратно. Возможно такой вариант тебя устроит, если тебе нужно только снять Thinstall.

| Сообщение посчитали полезным:

спасибо. именно ето мне уже показали

| Сообщение посчитали полезным:

Hello. I speak no Russian, so I apologize ahead of time.

I also apologize for digging up an old thread, but it's exactly the topic that I was going to post new.

I am struggling with Thinstall 2.705 just as NewBHack did. Was anything learned (and still remembered), that might help me.

I am able to dump using OllyDump, but the dump doesn't work. ImpRec only finds 1 import.

Any help appreciated.

FF

| Сообщение посчитали полезным: