После распаковки dll (а также снятия дампа), упакованной petite отсутствуют релоки.
Relox и PE Tools не помогают.
Загрузил DLL по двум разным адресам. Сравнил два файла. Глазом видно, где разные адреса, а Relox почему то многие места пропускает?
Каким образом можно еще найти/восстановить релоки?

| Сообщение посчитали полезным:

QuickUnpack?

| Сообщение посчитали полезным:

Как вариант можно попробовать
http://www.exelab.ru/f/action=vthread&forum=3&topic=11561

| Сообщение посчитали полезным:

alt пишет:
Relox почему то многие места пропускает?
Смотри секции скорей всего криво сдампил

| Сообщение посчитали полезным:

То же с таким сталкнулся, вручную так и не нашёл в памяти где табличка релоков, ....квик с релоками на аттаче выручил.

0475_19.04.2010_CRACKLAB.rU.tgz - wtf5B.rar

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

alt пишет:
Каким образом можно еще найти/восстановить релоки?
Поискать можно так: 3???3???3???3???3???3???...

| Сообщение посчитали полезным:

Archer пишет:
QuickUnpack?


С десятого раза сработало. До этого пробовал не выходило. Но это руки, пока, кривые.
Столкнулся с еще одной проблемой.

Релоки, импорт и т.д. имеются. Поскольку dll так и не загрузилось (весь файл грузится в заголовок) - посмотрел в другом редакторе PE Exploer.
Ба, не верю своим глазам. Pe Tools и Pe explorer считывают информацию о секциях по разному. Если коротко, то PE Exploer начинает брать данные на 32 байта раньше, чем Pe Tools. Поскольку Olly прочитала так же, как Pe Tools - видимо все правильно в этом месте.

Но не все так просто:
Вырезал 32 пустых байте после PE заголовка и до начала описания секций. В PE Exploer релоки, импорт, ресурсы все прекрасно отображается, но при загрузке dll olly ругается: "файл не есть NT, иди лесом".

Я так понимаю надо править данные в PE заголовки: размер кода, размер данных и т.д.?
Не намекнете, чем и как это делать?

| Сообщение посчитали полезным:

pavka пишет:
квик с релоками на аттаче выручил.


Не подскажите, а что с wtf5B.dll делать ?

| Сообщение посчитали полезным:

alt
Выложил бы лучше файл в запросы на взлом давно бы расспаковали

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

alt пишет:
что с wtf5B.dll делать
ничего хорошего...
----
пройдись в своей либе, до оер под олькой, потом заусти квик, и на аттаче ->распакуй.
Квик сам сдампит, подправит заголовок, пошинкует секции и т.д.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

ClockMan пишет:
Выложил бы лучше файл в запросы на взлом давно бы расспаковали

Да самому хочется разобраться. Но если не получиться, видимо так и сделаю?


Bronco пишет:
пройдись в своей либе, до оер под олькой, потом заусти квик, и на аттаче ->распакуй.
Квик сам сдампит, подправит заголовок, пошинкует секции и т.д.

И сколько времени шинкует? У меня десять минут шинковал и никакого результате. Надоело.

Ни кто не знает, как считать поля: Size of Code, Size of Init Data, Size of UnInit Data ?

| Сообщение посчитали полезным:

Был топик уже про эти поля. Если в 2 словах-сумма размеров секций с соответствующими атрибутами. Я советую забить нулями последние 2, а в 1 прописать весь ImageSize.

| Сообщение посчитали полезным:

Archer пишет:
Я советую забить нулями последние 2, а в 1 прописать весь ImageSize.

Спасибо за помощь, но не помогло.

Archer пишет:
Если в 2 словах-сумма размеров секций с соответствующими атрибутами.

Нашел я этот топик. В принципе все понятно, но засада, видимо, в том, что атрибуты секций после распаковки не верны.
В связи с этим вопрос: что относится к понятию "данные" ? Я правильно думаю, что "данные это все, что не код" ?

| Сообщение посчитали полезным:

alt пишет:
Да самому хочется разобраться. Но если не получиться, видимо так и сделаю?
Выложи свой дамп который ты пытаешся испарвить и сам упакованный файл и тебе укажут на твои ошибки

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

А я и не обещал, что после правки этих 2 полей у тебя всё сразу залетает. По большому счёту они нафиг не нужны, разве что олька не код может не анализировать и не сохранять анализ, не более того. Так что явно надо смотреть на другие вещи, ибо косяки другие. Так что вообще можешь забить на код/данные, а посмотреть уже, наконец, в PEVerify, который предложили в прошлом топике.

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

Kiev78 пишет:
Весьма и весьма ненадёжный способ

Как и Archer в предпредыдущем посте, я не обещал, что обязательно найдется

| Сообщение посчитали полезным:

Archer пишет:
А я и не обещал, что после правки этих 2 полей у тебя всё сразу залетает.

Еще раз спасибо за участие. Нашел в чем была проблема. После распаковки QuickUnpack распаковщик записал таблицу секций (Object Table) на 32 байте ниже и подправил размер заголовка.
Таким образом после поля Num of RVA and Sizes оказалось не 10h массивов, а на 32 байта больше.
Видимо, поэтому и грузился весь файл в одну секцию с названием "Заголовок РЕ".
Хотя Pe Tools говорил, что всё Ок.
Пришлось лишние байты перенести после (Object Table). Теперь загрузилось.

ClockMan пишет:
Выложи свой дамп который ты пытаешся испарвить и сам упакованный файл и тебе укажут на твои ошибки


Большое спасибо за предложение помощи. Буду рад любой помощи в обучении. А если будет образец, то процесс должен пойти быстрее.

Дамп корявый - однозначно. А в распаковке QuickUnpack-ом моя заслуга минимальна. Сейчас заметил, что оригинальная dll после запуска создает блок памяти "приватный 00041002" размером 140000 за пределами выделенной ей памяти. А поскольку не дамп, не распаковщик этих областей не делают - возникает ошибка по обращению к 0000000

fd18_20.04.2010_CRACKLAB.rU.tgz - org-ras.ZIP

| Сообщение посчитали полезным:

здесь дамп

d316_20.04.2010_CRACKLAB.rU.tgz - dump.zip

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

Попробуй этот распакованный файл webfile.ru/4443489

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

Я и не спорю, что релоки не верх мастерства. И импорт не на место воткнут. И секции не обрезаны. Зато файл нормально грузится, ничего никуда не сливается в хедер и должно работать нормально.

| Сообщение посчитали полезным:

Archer пишет:
Попробуй этот распакованный файл

Большое спасибо за потраченное на меня время. Этот файл будет для меня путеводной звездой для дальнейшего работы, что бы заставить dll работать под программой. Пока говорит: не могу загрузить.

Kiev78 пишет:
Предложеннный мной выше метод действует здесь безотказно.

Спасибо и Вам за принятое участие. Мысль я Вашу понял, но к сожалению не смогу воспользоваться. Поскольку моих познаний хватить подправить несколько байтов, но опыта по писанию программ, даже самых простеньких, никакого.

Еще рас спасибо всем!

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

Положу тогда и я ещё один свой вариант, на этот раз файл причёсан, лишние секции отрезаны, директории перестроены. Загружается нормально, но особо не тестировал. Критика принимается. В том числе и по любым полям хедера/секциям и тд. В итоге 392 Кб файл стал.
http://webfile.ru/4447703

| Сообщение посчитали полезным:

Уважаемые Archer и Kiev78. даже не знаю, как Вас благодарить. Признателен Вам обоим за участие в решении моей проблемы.

Критика принимается.
Честно говоря, я даже не знаю, с какой стороны критиковать. И что.

То что, основная программа не хочет работать со всеми распакованными вариантами - тут видимо дело не столько в работоспособности dll, а в проверке на соответствие каким то критериям. Пока до конца не понял - каким именно.

Сначала идет сверка то ли с паролем, то ли с crk, лежащим в другой dll. Если пароли не сходятся (причем на каждый вариант распаковки - правильный свой) - пишет "не могу загрузить". После обхода этой проверки, идет куча других сравнений (до конца пока не разобрался чего с чем) - пишет "испорченная или старая версия".

Честно говор, не думал, что будет все так запутанно.

| Сообщение посчитали полезным: