Распаковка MPRESS exe file

Сейчас на форуме: _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
Kurtis Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 16 июля 2011 19:16 · Личное сообщение · #1 пытаюсь распаковать exe файл запакованный mpress, дампаю его в хеше показывает код, но не запускается, видимо что-то не так, есть ли какие то унпакеры для него. здесь находил темы только для MPRESS .NET... вот сам файл -->скачать <--

vden Ранг: 112.9 (ветеран), 186thx Активность: 0.09↘0.01 Статус: Участник	Создано: 16 июля 2011 19:21 · Поправил: vden · Личное сообщение · #2 пакер как я понимаю простой если его тут разбирают http://www.hexblog.com/?p=403 попробуй Quick Unpack
Kurtis Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 16 июля 2011 19:30 · Поправил: Kurtis · Личное сообщение · #3 vden пишет: попробуй Quick Unpack 2.2 пробовал, он не распознает файлы запакованные mpress, по крайней мере мой...
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 16 июля 2011 20:49 · Личное сообщение · #4 OEP 007946D0 \| Сообщение посчитали полезным: Kurtis, Fiesta
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 17 июля 2011 23:51 · Поправил: ARCHANGEL · Личное сообщение · #5 Vovan666 Как нашли ОЕР? Я дотопал до стаба PEBundler, где мне сообщили Code: 09202104 FF95 F9284000 CALL NEAR DWORD PTR SS:[EBP+4028F9] 0920210A 8985 BE214000 MOV DWORD PTR SS:[EBP+4021BE],EAX 09202110 8D9D E7224000 LEA EBX,DWORD PTR SS:[EBP+4022E7] 09202116 53 PUSH EBX 09202117 FFB5 BE214000 PUSH DWORD PTR SS:[EBP+4021BE] 0920211D FF95 E9284000 CALL NEAR DWORD PTR SS:[EBP+4028E9] 09202123 8B8D C6214000 MOV ECX,DWORD PTR SS:[EBP+4021C6] 09202129 51 PUSH ECX 0920212A 8B9D C2214000 MOV EBX,DWORD PTR SS:[EBP+4021C2] 09202130 85DB TEST EBX,EBX 09202132 75 1B JNZ SHORT Main.0920214F 09202134 8D8D A2224000 LEA ECX,DWORD PTR SS:[EBP+4022A2] 0920213A 8D9D 09234000 LEA EBX,DWORD PTR SS:[EBP+402309] 09202140 51 PUSH ECX 09202141 53 PUSH EBX 09202142 FFD0 CALL NEAR EAX ; USER32.wsprintfA Что нету wzaudio.dll Code: 007946D0 ? /E9 E4DC0100 JMP Main.007B23B9 007946D5 ? \|68 18A07B00 PUSH Main.007BA018 007946DA ? \|68 3C577900 PUSH Main.0079573C 007946DF \|64A10000 DD 0000A164 007946E3 \|00005064 DD 64500000 Визуально не очень напоминает ОЕР (хотя это, конечно, критерий так себе) ----- Stuck to the plan, always think that we would stand up, never ran.
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 18 июля 2011 01:17 · Личное сообщение · #6 ARCHANGEL пишет: Vovan666 Как нашли ОЕР? нагуглил нужные длл ARCHANGEL пишет: Визуально не очень напоминает ОЕР (хотя это, конечно, критерий так себе) Это что-то типа инжекта длл там подгружаются 1 или 2 дллки, после чего jmp в зад
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 18 июля 2011 01:30 · Личное сообщение · #7 Vovan666 нагуглил нужные длл Красавчик! Блин, завтра тож попробую ----- Stuck to the plan, always think that we would stand up, never ran.
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 18 июля 2011 20:35 · Личное сообщение · #8 Там и без dll'ок можно до туда дойти. Если проверки обходить. Кстати странный какой-то стаб - грузит пару dll и обратно jmp'ится. Компиляторы такого не выдают, так что возможно это не совсем OEP
Johnny Mnemonic Ранг: 22.4 (новичок), 19thx Активность: 0.02↘0 Статус: Участник	Создано: 18 июля 2011 21:32 · Личное сообщение · #9 ф топку читерофф
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 18 июля 2011 22:20 · Личное сообщение · #10 Кстати, да. После игр с этим файлом удалил у себя с компа пару пинчей. Совпадение? ----- Stuck to the plan, always think that we would stand up, never ran.

Для печати