Сейчас на форуме: asfa (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Распаковка по мануалу «Введение в крэкинг с нуля, используя OllyDbg» aspack
Посл.ответ Сообщение

Ранг: 5.9 (гость)
Активность: 0.020
Статус: Участник

 Создано: 02 июня 2010 18:27
· Личное сообщение · #1

День добрый. Извините, если не в том месте создал топик.
Проблема такая. Пытаюсь распаковать ASPpack чисто по мануалу от Нарвани.
Дашёл до того места, где подменяются имена функций kernell.dll c ntdll.dll
Может я не так делаю, но чепуха выходит. Двойной щелчок на HeapAlloc в появившемся окне правлю на функцию RtlAllocateHeap c ntdll.dll в окне потом видно, что имя изменилось
Code:
  1. FThunk: 000011EC        NbFunc: 0000000B
  2. 1        000011EC        kernel32.dll        00B7        ExitProcess
  3. 1        000011F0        kernel32.dll        013F        GetCurrentThreadId
  4. 1        000011F4        kernel32.dll        0177        GetModuleHandleA
  5. 1        000011F8        kernel32.dll        01EE        GlobalAlloc
  6. 1        000011FC        kernel32.dll        01F5        GlobalFree
  7. 1        00001200        ntdll.dll        0195        RtlAllocateHeap
  8. 1        00001204        kernel32.dll        0207        HeapCompact
  9. 1        00001208        kernel32.dll        0208        HeapCreate
  10. 1        0000120C        kernel32.dll        020A        HeapDestroy
  11. 1        00001210        kernel32.dll        020C        HeapFree
  12. 1        00001214        kernel32.dll        03A9        lstrcat

потом меняю так же функцию HeapFree
Получаю
Code:
  1. FThunk: 000011EC        NbFunc: 0000000B
  2. 1        000011EC        kernel32.dll        00B7        ExitProcess
  3. 1        000011F0        kernel32.dll        013F        GetCurrentThreadId
  4. 1        000011F4        kernel32.dll        0177        GetModuleHandleA
  5. 1        000011F8        kernel32.dll        01EE        GlobalAlloc
  6. 1        000011FC        kernel32.dll        01F5        GlobalFree
  7. 1        00001200        kernel32.dll        0206        HeapAlloc
  8. 1        00001204        kernel32.dll        0207        HeapCompact
  9. 1        00001208        kernel32.dll        0208        HeapCreate
  10. 1        0000120C        kernel32.dll        020A        HeapDestroy
  11. 1        00001210        kernel32.dll        020C        HeapFree
  12. 1        00001214        kernel32.dll        03A9        lstrcat

Т.е. все сбросилось к начальной ситуации
Что не так?




Ранг: 355.4 (мудрец), 55thx
Активность: 0.320
Статус: Uploader
5KRT

 Создано: 03 июня 2010 15:59
· Личное сообщение · #2

Ты бы хоть ссылку на Нарваху привел. Какие сложности Вы ищите, простейшая распаковка ASPack'а -- сводится к нахождению OEP и дампу с OllyDmp и все.

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

Ранг: 5.9 (гость)
Активность: 0.020
Статус: Участник

 Создано: 03 июня 2010 16:33 · Поправил: ekkl
· Личное сообщение · #3

Там просто в примере идёт разбор с ImportREC вот я и хочу с ним разобраться...
В примере сказано, что нужно подменить импорт
Code:
  1. 00001200        kernel32.dll        0206        HeapAlloc
  2. 00001210        kernel32.dll        020C        HeapFree

первую меняю нормально, но когда меняю вторую функцию первая тоже автоматически сбрасывается "по умолчанию"
Кстати, вот эта статья... www.wasm.ru/article.php?article=ollydbg35
Не знаю как объяснить... то ли видео с экрана сбросить....




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 03 июня 2010 16:47
· Личное сообщение · #4

И зачем ты это делать собрался? В статье корявый перевод какой-то. Основаная идея в том, что в отладчике видим ntdll, а импрек показывает kernel32 из-за форвардинга импорта. И ничего менять не надо, импрек обратно сам меняет форвардинг.



Ранг: 5.9 (гость)
Активность: 0.020
Статус: Участник

 Создано: 03 июня 2010 16:56
· Личное сообщение · #5

Archer Спасибо.
Значит дамплю с помощи Олли и импреком меняю OEP и все?



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

 Создано: 03 июня 2010 17:57
· Личное сообщение · #6

импрек не для того чтобы менять OEP

димпишь плагом олидамп, потом импреком прикручиваешь импорт ну и можешь им же поменять OEP



Ранг: 4.3 (гость)
Активность: 0.010
Статус: Участник

 Создано: 04 июня 2010 06:25 · Поправил: Efim
· Личное сообщение · #7

Удалено




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 04 июня 2010 08:06
· Личное сообщение · #8

Не-не, я не качу бочку на перевод. Просто чувство, что переводчик не особо разбирается в теме, поэтому перевод именно похож на чисто дословный перевод, а не связанный и логичный текст.
В данном случае просто обращается внимание на форвардинг и что импрек его обрабатывает и всё. Хотя как раз слова про форвардинг и не написаны.



Ранг: 4.3 (гость)
Активность: 0.010
Статус: Участник

 Создано: 04 июня 2010 08:14 · Поправил: Efim
· Личное сообщение · #9

Удалено


 eXeL@B —› Вопросы новичков —› Распаковка по мануалу «Введение в крэкинг с нуля, используя OllyDbg» aspack
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати