Помогите с RLPack

Сейчас на форуме: _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
SHADOW785 Ранг: 24.3 (новичок), 65thx Активность: 0.01↘0 Статус: Участник	Создано: 10 сентября 2011 12:14 · Личное сообщение · #1 Не получается распаковать RLPack. Проблема заключается в том, что программа просто напросто не запускается под отладчиком, хотя все проверки на анти дебаг прошли успешно. Крэш идет в данном участке кода. Если я правильно определил, то OEP находится здесь --> 556448 Но вот как обойти, чтобы не было этого исключения - не пойму. Также я смотрел видео по распаковке RLPack на Tuts4You, там к видео прилагался файл, у автора видео спокойно под отладчиком он запустился, у меня же та же самая ошибка и на нём была. Подскажите, в чем проблема. Сам файл: http://www.sendspace.com/file/81mkt6

Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 10 сентября 2011 15:49 · Личное сообщение · #2 лучше скриншот с открытым меню plugins
SHADOW785 Ранг: 24.3 (новичок), 65thx Активность: 0.01↘0 Статус: Участник	Создано: 10 сентября 2011 15:59 · Личное сообщение · #3
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 10 сентября 2011 16:21 · Личное сообщение · #4 Ставь только железные бряки,обычные протектор палит. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
SHADOW785 Ранг: 24.3 (новичок), 65thx Активность: 0.01↘0 Статус: Участник	Создано: 10 сентября 2011 16:36 · Личное сообщение · #5 ClockMan Я даже просто запустить не могу, никаких бряков не ставлю.
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 10 сентября 2011 16:59 · Личное сообщение · #6 для запуска под отладчиком достаточно фантома с галкой "Protect DRx" и "NtSetContextThread" ставим железный бряк на адрес 6784B0 Code: 006784B0 E8 D53E0000 CALL brute.0067C38A и когда остановимся на нём, просто перепрыгиваем этот call не выполняя OEP правильное - 556448 спёртые команды Code: PUSH EBP MOV EBP,ESP ADD ESP,-10 PUSH EBX MOV EAX,brute.00554A6C CALL brute.00408BD0 MOV EBX,DWORD PTR DS:[55F238] MOV EAX,brute.005564D4 CALL brute.004AAED0 бинарь - 558BEC83C4F053B86C4A5500E87727EBFF8B1D38F25500B8D4645500E8674AF5FF но одного OEP будет мало. файл был упакован с опцией "Advanced AntiDump protection". спёрто 512 инструкций из кода вместо этого спёртой кода в проге будут прыжки в аллоченую секцию, типа таких Code: 004026B9 - E9 56D97800 JMP 00B90014 саму таблицу с виртуальными инструкциями для спёртого кода можно будет найти тут Code: 00678841 FF95 FD030000 CALL DWORD PTR SS:[EBP+3FD] - выделение секции для таблицы 00678847 8BF8 MOV EDI,EAX 00678849 50 PUSH EAX 0067884A 56 PUSH ESI 0067884B FFD3 CALL EBX - заполнение таблицы там не сами спёртые инструкции, а их виртуальное представление адрес в коде без учёта ImageBase - 4 байта тип спёртой инструкции (всего 74 типа может быть) - 4 байта константа/адрес из спёртой инструкции без учёта ImageBase - 4 байта
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 10 сентября 2011 18:56 · Личное сообщение · #7 оставь только фантом и пробуй
SHADOW785 Ранг: 24.3 (новичок), 65thx Активность: 0.01↘0 Статус: Участник	Создано: 10 сентября 2011 19:33 · Личное сообщение · #8 Спасибо большое, распаковал успешно. Закройте тему.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 10 сентября 2011 20:52 · Личное сообщение · #9 Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".

Для печати