Сейчас на форуме: _MBK_, Adler (+5 невидимых)

 eXeL@B —› Вопросы новичков —› Распаковать
Посл.ответ Сообщение

Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 22:48
· Личное сообщение · #1

Доброго времени суток
я столкнулся с такой проблемой
вот программа запакована UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

я не могу найти OEP если даже Quick_Unpack_2.2 пробовал тоже не как
подскажите ка мне достать OPE или объясните вообще как распаковать
буду рад если поможете



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

 Создано: 29 мая 2011 22:52
· Личное сообщение · #2

Файл выложи.

-----
SaNX

Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 22:55
· Личное сообщение · #3

Извините не могу мог бы давно выложилможет так кто умные мысли подкинет




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 29 мая 2011 22:58
· Личное сообщение · #4

Вот тебе умная мысль-читай статьи. И либо думай сам, либо выкладывай файл, гадалки в отпуске.



Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 23:01
· Личное сообщение · #5

Archerпанимаш вы её распакуйте и все а я хочу чтобы вы моленька подсказалипожаллуйста




Ранг: 275.9 (наставник), 340thx
Активность: 0.22=0.22
Статус: Участник
RBC

 Создано: 29 мая 2011 23:04
· Личное сообщение · #6

Bad_mishar - ты секции полностью хотя бы покажи, а то вдруг там VMP

-----
Array[Login..Logout] of Life

Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 23:06
· Личное сообщение · #7

Kindlyизвини мне грешного но блин я не сильно шарюа как вообще сделать это?:



Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

 Создано: 29 мая 2011 23:07
· Личное сообщение · #8

Bad_mishar пишет:
но блин я не сильно шарю
Archer пишет:
Вот тебе умная мысль-читай статьи



Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 23:09
· Личное сообщение · #9

SRegя уже читал я бы просто так не писал!если бы не читал!




Ранг: 355.4 (мудрец), 55thx
Активность: 0.320
Статус: Uploader
5KRT

 Создано: 29 мая 2011 23:09 · Поправил: Coderess
· Личное сообщение · #10

--> Распаковка? Это легко!!! <--


Ты ставишь бряк на POPAD или переход на OEP, JMP нажимаешь F9 на бряке останавливаешься, а адреса

дальше программа теряеться
и поевляеться тут
CPU Disasm
Address Hex dump

Это ты наверное F7 (трасировку с заходом в функцию нажал)

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 23:22
· Личное сообщение · #11

CoderessЧИтал сейчас сек код пришлю
Code:
  1. CPU Disasm
  2. Address   Hex dump          Command                                  Comments
  3. 00401000    60              PUSHAD
  4. 00401001    BE 00908B00     MOV ESI,8B9000
  5. 00401006    8DBE 0080B4FF   LEA EDI,[ESI+FFB48000]
  6. 0040100C    57              PUSH EDI
  7. 0040100D    83CD FF         OR EBP,FFFFFFFF
  8. 00401010    EB 3A           JMP SHORT 0040104C
  9. 00401012    90              NOP
  10. 00401013    90              NOP
  11. 00401014    90              NOP
  12. 00401015    90              NOP
  13. 00401016    90              NOP
  14. 00401017    90              NOP
  15. 00401018    8A06            MOV AL,BYTE PTR DS:[ESI]
  16. 0040101A    46              INC ESI
  17. 0040101B    8807            MOV BYTE PTR DS:[EDI],AL
  18. 0040101D    47              INC EDI
  19. 0040101E    01DB            ADD EBX,EBX
  20. 00401020    75 07           JNE SHORT 00401029
  21. 00401022    8B1E            MOV EBX,DWORD PTR DS:[ESI]
  22. 00401024    83EE FC         SUB ESI,-4
  23. 00401027    11DB            ADC EBX,EBX
  24. 00401029  ^ 72 ED           JB SHORT 00401018
  25. 0040102B    B8 01000000     MOV EAX,1
  26. 00401030    01DB            ADD EBX,EBX
  27. 00401032    75 07           JNE SHORT 0040103B
  28. 00401034    8B1E            MOV EBX,DWORD PTR DS:[ESI]
  29. 00401036    83EE FC         SUB ESI,-4
  30. 00401039    11DB            ADC EBX,EBX
  31. 0040103B    11C0            ADC EAX,EAX
  32. 0040103D    01DB            ADD EBX,EBX
  33. 0040103F    73 0B           JNB SHORT 0040104C
  34. 00401041    75 19           JNE SHORT 0040105C
  35. 00401043    8B1E            MOV EBX,DWORD PTR DS:[ESI]
  36. 00401045    83EE FC         SUB ESI,-4
  37. 00401048    11DB            ADC EBX,EBX
  38. 0040104A    72 10           JB SHORT 0040105C
  39. 0040104C    58              POP EAX
  40. 0040104D    61              POPAD
  41. 0040104E    90              NOP
  42. 0040104F    E9 5AE52100     JMP 0061F5AE
  43. <b>Потом</b>
  44. дальше программа теряеться
  45. и поевляеться тут
  46. CPU Disasm
  47. Address   Hex dump          Command                                  Comments
  48. 7C809AE1  /$  8BFF          MOV EDI,EDI                              ; VOIDPTR kernel32.VirtualAlloc(Address,Size,AllocType,Protect)
  49. 7C809AE3  |.  55            PUSH EBP
  50. 7C809AE4  |.  8BEC          MOV EBP,ESP
  51. 7C809AE6  |.  FF75 14       PUSH DWORD PTR SS:[ARG.4]                ; /Protect => [ARG.4]
  52. 7C809AE9  |.  FF75 10       PUSH DWORD PTR SS:[ARG.3]                ; |AllocType => [ARG.3]
  53. 7C809AEC  |.  FF75 0C       PUSH DWORD PTR SS:[ARG.2]                ; |Size => [ARG.2]
  54. 7C809AEF  |.  FF75 08       PUSH DWORD PTR SS:[ARG.1]                ; |Address => [ARG.1]
  55. 7C809AF2  |.  6A FF         PUSH -1                                  ; |hProcess = INVALID_HANDLE_VALUE
  56. 7C809AF4  |.  E8 09000000   CALL VirtualAllocEx                      ; \KERNEL32.VirtualAllocEx
  57. 7C809AF9  |.  5D            POP EBP
  58. 7C809AFA  \.  C2 1000       RETN 10
  59.  


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 29 мая 2011 23:27
· Личное сообщение · #12

1. Файл выложи.
2. Результаты распаковки. Дизасм с точки входа - это всё, что ты осилил после прочтения статей?
3. upx -d filename

-----
EnJoy!

Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 29 мая 2011 23:31
· Личное сообщение · #13

После pushad ставим hr esp+4 и мы в шаге от OEP. Или с EP мотаем вниз пока не увидим:
Code:
  1. 00452BAE    61              POPAD
  2. 00452BAF  - E9 9AE8FDFF     JMP 0043144E
  3. 00452BB4    0000            ADD BYTE PTR DS:[EAX],AL
  4. 00452BB6    0000            ADD BYTE PTR DS:[EAX],AL
  5. 00452BB8    0000            ADD BYTE PTR DS:[EAX],AL
  6. 00452BBA    0000            ADD BYTE PTR DS:[EAX],AL
  7. 00452BBC    0000            ADD BYTE PTR DS:[EAX],AL

Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 мая 2011 23:33
· Личное сообщение · #14

кто нибудь читал http://exelab.ru/art/?action=view&id=366?




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 30 мая 2011 00:09
· Личное сообщение · #15

Bad_mishar
Ты как будто бы не увидел мой пост?
Если ты действительно хочешь разобраться - тебя ждут три простых пункта (см. выше)

-----
EnJoy!


Ранг: 275.9 (наставник), 340thx
Активность: 0.22=0.22
Статус: Участник
RBC

 Создано: 30 мая 2011 00:23 · Поправил: Kindly
· Личное сообщение · #16

Bad_mishar - если самим upx и руками не получается, заюзай PE Explorer:
--> Link <--
в нем просто открываешь файл и сохраняешь. Он берет в статике почти все различные UPX скрамблеры и модификаторы.

-----
Array[Login..Logout] of Life


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 30 мая 2011 02:08 · Поправил: ClockMan
· Личное сообщение · #17

Code:
  1. 00401000    60              PUSHAD
  2. 00401001    BE 00908B00     MOV ESI,8B9000
  3. 00401006    8DBE 0080B4FF   LEA EDI,[ESI+FFB48000]
  4. 0040100C    57              PUSH EDI
  5. 0040100D    83CD FF         OR EBP,FFFFFFFF
  6. 00401010    EB 3A           JMP SHORT 0040104C

Никого не удивляет что секция расспаковки начинается с база 401000?,
Bad_mishar
поставь здесь бряк
0040104F E9 5AE52100 JMP 0061F5AE это прыжок на OEP(по идее),если конечно это не фейк сигнатура, выложи код куда она прыгнет.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

 Создано: 30 мая 2011 02:14 · Поправил: tihiy_grom
· Личное сообщение · #18

что-то мне подсказывает что там RLPack
давайте дальше гадать - чем там может быть запаковано.

файл выложить не могу, название программы сказать не могу, сам я не сильно шарю, читал но ничего не понял и т.д.



Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

 Создано: 30 мая 2011 07:03
· Личное сообщение · #19

ClockMan
Code:
  1. Но вот они не по порядку идут чисто прыжки
  2. 0061F5AE      60            DB 60                                    ; CHAR '`'
  3. 0061F5AF      E8            DB E8
  4. 0061F5B4      83            DB 83
  5. 0061F5B7      8B            DB 8B
  6. 0061F5BB      E8            DB E8
  7. 0061F885      60            DB 60                                    ; CHAR '`'
  8. 0061F886      6A            DB 6A                                    ; CHAR 'j'
  9. 0061F888      68            DB 68                                    ; CHAR 'h'
  10. 0061F88D      68            DB 68                                    ; CHAR 'h'
  11. 0061F892      6A            DB 6A                                    ; CHAR 'j'
  12. 0061F894      FF            DB FF
  13. И потом попадаю сюда
  14. 7C809AE1  /$  8BFF          MOV EDI,EDI                              ; VOIDPTR kernel32.VirtualAlloc(Address,Size,AllocType,Protect)
  15. 7C809AE3  |.  55            PUSH EBP
  16. 7C809AE4  |.  8BEC          MOV EBP,ESP
  17. 7C809AE6  |.  FF75 14       PUSH DWORD PTR SS:[ARG.4]                ; /Protect => [ARG.4]
  18. 7C809AE9  |.  FF75 10       PUSH DWORD PTR SS:[ARG.3]                ; |AllocType => [ARG.3]
  19. 7C809AEC  |.  FF75 0C       PUSH DWORD PTR SS:[ARG.2]                ; |Size => [ARG.2]
  20. 7C809AEF  |.  FF75 08       PUSH DWORD PTR SS:[ARG.1]                ; |Address => [ARG.1]
  21. 7C809AF2  |.  6A FF         PUSH -1                                  ; |hProcess = INVALID_HANDLE_VALUE
  22. 7C809AF4  |.  E8 09000000   CALL VirtualAllocEx                      ; \KERNEL32.VirtualAllocEx
  23. 7C809AF9  |.  5D            POP EBP
  24. 7C809AFA  \.  C2 1000       RETN 10
  25. 7C809AFD      90            NOP
  26. 7C809AFE      90            NOP
  27. 7C809AFF      90            NOP
  28. 7C809B00      90            NOP
  29. 7C809B01      90            NOP
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  

Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

 Создано: 30 мая 2011 07:07
· Личное сообщение · #20

Хуйня какая. Аффтар, убейся или выложи файл, раз толку нет бряк поставить.

-----
SaNX


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 30 мая 2011 08:56
· Личное сообщение · #21

Bad_mishar
Я тебя предуждал.
Ты не выложил ни файла, ни своих наработок.
Отдохни.


-----
EnJoy!
 eXeL@B —› Вопросы новичков —› Распаковать
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати