Стою под олей на OEP одной DLLки, таблица импорта полностью восстановлена, запускаю ImpREC 1.7e, выбераю олю, далее пикаю длл, устанавливаю OEP, начало и размер ITA, получаю импорт (там везде YES), правая кнопка - Advanced command - Select Code Section - галочка на первом чекбоксе - Full Dump И ВОТ ТУТ
Dump Error - Can't dump the process, что это можеть быть? дампал через PE Tolls но там размер дампа в 4 раза больше оригинала, вообщем советуйте =(

| Сообщение посчитали полезным:

размер не имеет значения. ежели файл упакован то почему ты хочешь чтобы при анпаке размер уменьшился?

| Сообщение посчитали полезным:

Потому что оригинальный файл весит ~0.5bm запакованный темидой ~1.3bm распакованный из под темиды ~3mb. брэд не правда ли?

| Сообщение посчитали полезным:

Skino пишет:
оригинальный файл весит ~0.5bm запакованный темидой ~1.3bm

bm, что это за единица измерения?

Skino пишет:
распакованный из под темиды ~3mb. брэд не правда ли?

Ну как тебе можно сказать не видя файлы?
После распаковки Themida файл действительно увеличивается (если в ней стояла опция сжатия файла). А вот по поводу оригинала ничего не могу сказать, т.к. не вижу его

| Сообщение посчитали полезным:

Нет, не правда. Не нравится размер-отрезай лишние секции и делай ребилд. Хотя лучше бы ты всё внимание направил на работоспособность, а не на ерунду всякую. Ладно бы ещё 100мб было.
А почему он не хочет дампить-да почему угодно. Может, хедер не нравится, может, атрибуты памяти.

| Сообщение посчитали полезным:

Ладно, щяс глянул что сдампил через PE Tools а там вообще не товсё, сдампились кракозябры, хотя по скрипту вроде антидамп сняли =( выручайте.

| Сообщение посчитали полезным:

Skino пишет:
выручайте.

Ну так и где жертвы?

| Сообщение посчитали полезным:

Вот ссыль на жертву : http://rghost.ru/5299559
Вот ссыль на скрипт от темиды : http://forum.tuts4you.com/showtopic=25554

| Сообщение посчитали полезным:

Skino у меня твой файл не запускается (расширение .icc поменял в .exe)

| Сообщение посчитали полезным:

Skino пишет:
Стою под олей на OEP одной DLLки

| Сообщение посчитали полезным:

Skino так и меняй разрешение на правильное, хрен знает, что там у тебя Я поменял на exe увидел значек delphi и подумал это программа.

| Сообщение посчитали полезным:

это и есть правильное, у меня просто дамп не делается, я уже всё распаковал...

| Сообщение посчитали полезным:

Skino попробуй мой дамп с восстановленными функами



http://rghost.ru/5305585

P.S. Че третий WarCraft ломаешь?

| Сообщение посчитали полезным:

inffo пишет:
Skino попробуй мой дамп с восстановленными функами
Ты бы его хоть проверил =) он даже в оле не запускается =(
inffo пишет:
Че третий WarCraft ломаешь?
Исследую

| Сообщение посчитали полезным:

Skino
не нравиться размер? PETools=>Tools=>Rebuild PE=>*ВЫБЕРИ_СВОЙ_ФАЙЛ*=>OK

| Сообщение посчитали полезным:

Мне параллельно на размер, у меня дамп не делается!!!

| Сообщение посчитали полезным:

Skino олей дампь

-----
zzz

| Сообщение посчитали полезным:

Skino
дампь или PETools или LordPE остальные ацтой

| Сообщение посчитали полезным:

Skino пишет:o
Ты бы его хоть проверил =) он даже в оле не запускается =(

Причем здесь Оля, запусти под своей игрой и посмотри будет ли работать.

Если не устраивает EP поправь, все в твоих руках

| Сообщение посчитали полезным:

zeppe1in пишет:
Skino олей дампь
Врятли поможет, но попробую.ThugboyZ пишет:
Skino
дампь или PETools или LordPE остальные ацтой
Сдампились кракозябры
inffo, в игре тоже неработает.
Вообщем когда я стою на EP то вижу РЕАЛЬНЫЙ код, после дампа же там кракозябры.

| Сообщение посчитали полезным:

inffo пишет:
Причем здесь Оля, запусти под своей игрой и посмотри будет ли работать.

1.Импорт не восстановлен
2.OEP неправельный
3.Нет релоков
4.Vm не восстановлен
Оценка вашего дампа -100

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Skino пишет:
Вообщем когда я стою на EP то вижу РЕАЛЬНЫЙ код, после дампа же там кракозябры.
А ты EP после дампа правишь в заголовке?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Skino
С тебя 300$ --> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan с п. 1 и 4 не согласен, скрипт восстановил и то и другое, а вот в остальном каюсь грешен

ClockMan пишет:
--> Link <--

Куда исчез твой файл? Хотелось посмотреть как у тебя релоки восстановлены

| Сообщение посчитали полезным:

ClockMan, распаковал на ура, сколько всего времени потратил?
Вот я когда под олей стою на ОЕП просто дампаю, потом восстанавливаю импорт через Fix Dump, и всё, можно ещё и ребуилд сделать)))
Импорт я норм нахожу и чётко указываю границы, ОЕП тоже корректный, в чём моя проблема?

А ты EP после дампа правишь в заголовке? Нет не правлю. Я его указываю когда делаю дамп. И когда ещё импорт восстанавливаю тоже его указываю.

| Сообщение посчитали полезным:

inffo пишет:
Куда исчез твой файл?
Да на месте он

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Skino пишет:
оже корректный, в чём моя проблема?
Cкорее всего и за релоков файл падает...
inffo пишет:
Хотелось посмотреть как у тебя релоки восстановлены
Поставь бряк на запись секции и выйдешь на код который укажет на таблицу релоков.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Cкорее всего и за релоков файл падает...
Где можно об этом почитать? + туторы бы.

| Сообщение посчитали полезным:

Skino пишет:
де можно об этом почитать
--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Ладно, снова пытаюсь распаковать темиду :
Получаю дамп весом в 2 мб, который запаковываю в архив весом 8 кб, как я понял там одни нули, с чём это может быть связано?
Теперь нету ошибки с дампом. Когда я стою на ЕР то вижу код который нужно сдампить, а дампится полный бред, кто хоть немного шарит помогите...

| Сообщение посчитали полезным: