попросил знакомый глянуть одну программку - PDFToMusic Pro .
Начал распаковку в ручную по обыденному методу (много статей прочел но конкретного примера не увидел поэнтому и создал тему) распаковки upx - нахожу в ольге безусловный на оеп , ставлю бряк, petools-сом
со всеми нужными параметрами делаю дамп - дамп ок!
Запускаю imprec 1.7 аттачусь к процессу ищу импорт по адресу ( оеп 6038а0 то есть 38А0) - импорт находит делаю фикс дамп .
лезу в папку с прогой запускаю и вылазит окно - PDFtoMusic Pro - Win32 - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. Нашёл в нете прогу новую - Unpacker_v1.0_by_phpbb3 она распаковала и в окошке написала ( на работоспособность проверил) -
file: PDFToMusic Pro.exe
OK packed with Upx
IMAGE BASE : 00400000
PACKED OEP : 00D5A930
PATCHING IsDebuggerPresent
HARDWARE BP :00D5A930
HARDWARE BP :0012FFA4
READING OEP !
OEP IS : 006038A0
DUMPING FINISHED !
SEARCHING FOR IAT
FIXING IAT
UNPACKING FINISHED


ПОЛУЧАЕТСЯ ЧТО ДЕЛАЛ ВРОДЕ БЫ ВСЁ ПРАВИЛЬНО - В ЧЁМ МОЖЕТ БЫТЬ ЗАГВОЗДКА? Я ТАК ПРИМЕРНО ДОГАДЫВАЮСЬ ЧТО ПРОБЛЕМА В IsDebuggerPresent НО НЕ ЗНАЮ КАК ЕЁ РЕШИТЬ.

| Сообщение посчитали полезным:

оеп 6038а0 то есть 38А0 - вот это вызывает огромные сомнения. может, 2038а0?
IsDebuggerPresent не при чём, нет его в УПХ.
Софт выложи вместе со своими результатами.
И убери палец с шифта.

| Сообщение посчитали полезным:

софт выложу но откуда взялось 2 вместо шестёрки не пойму?

| Сообщение посчитали полезным:

http://turbobit.od.ua/f0gsqjpvqssm.html - оригинал
http://turbobit.od.ua/2co3i35o1z1s.html - распакованный прогой Unpacker_v1.0_by_phpbb3
http://turbobit.od.ua/747n2kiux1ab.html - dump + rec мои результаты

| Сообщение посчитали полезным:

valikz пишет:
софт выложу но откуда взялось 2 вместо шестёрки не пойму?
Потому что не знаешь как это считать надо.

Судя по логам виртуальный адрес EntryPoint 006038A0, чтобы получить относительный виртуальный адрес (RVA) нужно от VA отнять Image Base. ImageBase судя по логам 00400000. Итого:

OEP RVA: 006038A0 - 00400000 = 002038A0

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill а скажите пожалуйста как же его сохранить с imprec ?

| Сообщение посчитали полезным:

просто дамп сохраняется с еп под адресом 0095A930 а в ольге этот еп 00D5A930 а оригинальная точка входа показывает на 006038А0 , как же мне сохранить таблицу импорта с оеп 002038А0 ?

| Сообщение посчитали полезным:

В ольке стань на этом адресе и сдампируй!

| Сообщение посчитали полезным:

и какая сама суть именно этой распаковки - я имею ввиду что получается imprec не устанавливает правильный оеп автоматически - почему?

| Сообщение посчитали полезным:

matrix
а ты сам попробуй!

я бы зря здесь вам мозги не парил...

статьи и книги читать ещё не разучился.

| Сообщение посчитали полезным:

В имреке надо указывать rva oep 002038А0.

| Сообщение посчитали полезным:

Пользуйся кнопкой "Правка", не создавай сообщения подряд.

| Сообщение посчитали полезным:

matrix пишет:

В имреке надо указывать rva oep 002038А0.


я начинаю автопоиск в импрек с оеп 002038а0 - находится одна функция со знаком ? как я узнаю с какой библиотеки она? и даже если узнаю то какую именно вставить ?

| Сообщение посчитали полезным:

Кто нибудь скачал этот файл и посмотрел?
Почему нет иконки, почему расширение не exe и похоже там ничем не упаковано.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m он ссылки перебивает, сейчас уже другие

valikz по какой ссылке находится оригинал?

| Сообщение посчитали полезным:

gena-m пишет:
Кто нибудь скачал этот файл и посмотрел?
Почему нет иконки, почему расширение не exe и похоже там ничем не упаковано.

ссылки на файлы выше

файлы в рар архивах подписаны

я не мог никак определится со ссылками

| Сообщение посчитали полезным:

inffo пишет:

gena-m он ссылки перебивает, сейчас уже другие

valikz по какой ссылке находится оригинал?

первая ссылка) http://turbobit.od.ua/f0gsqjpvqssm.html

| Сообщение посчитали полезным:

valikz Выложи на бесплатный файлообменник, хотя бы на rghost.ru, а то ждать надо 1200 с

| Сообщение посчитали полезным:

ща на народ выложу

http://narod.ru/disk/9382287001/Unpacked.rar.html распакованный прогой Unpacker_v1.0_by_phpbb3

http://narod.ru/disk/9382293001/PDFToMusic%20Pro.rar.html оригинал

http://narod.ru/disk/9382307001/PDFtoMusic%20Prodump%20%2B%20rec%20%D0%BC%D0%BE%D0%B8%20%D1%80%D0%B5%D0%B7%D1%83%D0%BB%D1%8C%D1%82%D0%B0%D1%82%D1%8B.rar.html dump + rec мои результаты

| Сообщение посчитали полезным:

valikz для начала было бы неплохо если бы файл вообще запустился, а то у меня при запуске:



ADD: Видимо программу не полностью выложил.

ADDD: Все распаковать получилось в Ольке при дампировании выбираешь 1 метод восстановления импорта и будет тебе счастье

| Сообщение посчитали полезным:

Там только екзешник поэтому такое и должно быть.
valikz
ОЕП неправильный в Dumped_.exe, исправь на 2038A0 и все будет работать.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

valikz есть еще вариант распаковки! Если хочешь ImpREC'ом распаковать.

1. Дампишь файл хоть PETools, хоть Олькой с помощью плагина.
2. Открываешь ImpREC.
3. В поле OEP ставишь 2038A0.
4. Нажимаешь IAT Auto Search и Get Imports.
5. В окне Import Function Found нажимаешь правой клавишей Advanced Commands -> Get API Calls
6. В поле MIN 00000000, MAX FFFFFFFF, и галку на Get 'Call [X]' scheme давишь OK.
7. Очищаешь невалидные восстановленные функи Show Invalid -> Правая клавиша в окне Import Function Found -> Cut thunk(s).
8. Ну и Fix Dump сам знаешь чего

Удачи.

| Сообщение посчитали полезным:

inffo пишет:
ADDD: Все распаковать получилось в Ольке при дампировании выбираешь 1 метод восстановления импорта и будет тебе счастье


я пользуюсь OLLY 2.01
спасибо ребята ща буду пробовать а то только с заказа пришёл - попробую отпишусь)

| Сообщение посчитали полезным:

Спасибо большое matrix ,gena-m, PE_Kill а особенно inffo - да реально помогло - но из-за чего это происходит?

к стати уже поэксперементировал над распакованной ещё упаковщиком вчера прогой - не могу засечь цикл проверки регистрации , на много разных функций ставил бряк но пока не помогло если будет возможность посоветуйте в чём может быть проблема

| Сообщение посчитали полезным:

ребята - так хоть кто нить поможет?

| Сообщение посчитали полезным:

Какую тебе ещё помощь надо?
Про оеп я тебе в первом же посте написал.
Почему в импреке нужен правильный адрес ОЕП? Потому что он его может перебивать при восстановлении импорта.
И не надо топик апать и спрашивать каждый день про помощь.

| Сообщение посчитали полезным:

valikz

не могу засечь цикл проверки регистрации , на много разных функций ставил бряк но пока не помогло если будет возможность посоветуйте в чём может быть проблема

Проблема скорее всего в кривых ручках, и выложи ссылку на дистрибутив, поскольку твой экзешник отдельно работать не будет на другой машине.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

http://narod.ru/disk/9468295001/PDFtoMusicPro-install.exe.html

| Сообщение посчитали полезным:

на много разных функций ставил бряк
Бряк на ShowWindow тоже не срабатывает?
Ты должен выйти на это место:

дальше сам попробуй.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

вышел я на эти showwindow но цикл там слишко какой то замороченный - сверок серийника не могу найти или он под другими именами функций( не lstrcmp)
пойду я ребята читать книги )

| Сообщение посчитали полезным: