Распаковка UPX с сохранением overlay

Сейчас на форуме: _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
EugeneM Ранг: 1.8 (гость) Активность: 0=0 Статус: Участник	Создано: 31 октября 2011 12:13 · Личное сообщение · #1 Доброе время суток. Вот жертва: http://zalil.ru/31965452 Запакова UPX-ом (судя по названию одной из секции). Пробую вручную распаковать. Ну как обычно нахожу POPAD и чуть ниже JMP <oep>. Снимаю дамп, восстанавливаю IAT. Получил рабочий exe, но без overlay. Заметил, что overlay не появился сразу после дампа. В OllyDump и OllyDumpEx я не нашел опции типа "Copy overlay". Пробовал автоматические распаковщики использовать. Кто-то зависал, выдавал нерабочий exe, не смог распаковать и т.д. Среди них GUnpacker, QuickUnpack, RL!deUPX, Generic Unpacker by Brantalarm. Вопрос: как распаковать с сохранением overlay?

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 31 октября 2011 12:15 · Личное сообщение · #2 просто перенеси оверлей в любом hex-редакторе ----- [nice coder and reverser] \| Сообщение посчитали полезным: EugeneM
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 31 октября 2011 12:22 · Личное сообщение · #3 EugeneM пишет: как распаковать с сохранением overlay? UPX -d или PeExplorer
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 31 октября 2011 12:43 · Личное сообщение · #4 EugeneM пишет: Вопрос: как распаковать с сохранением overlay? в RGDPackerDetector есть кнопка "Save overlay" (это если вообще не представляете где у программ оверлей находится). Потом руками распаковываете программу, и в любом hex-редакторе добавляете к распакованной программе данные из сохранённого оверлея
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 31 октября 2011 13:12 · Личное сообщение · #5 Первую секцию не забудь переименовать в UPX0 а то upx -d будет ругаться DDD
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 31 октября 2011 13:21 · Личное сообщение · #6 QuickUnpack, кстати, имеет галку по сохранению оверлея.
AKAB Ранг: 79.4 (постоянный), 183thx Активность: 0.11↘0 Статус: Участник	Создано: 31 октября 2011 14:06 · Личное сообщение · #7 EugeneM пишет: Доброе время суток. Вот жертва: http://zalil.ru/31965452 Запакова UPX-ом (судя по названию одной из секции). Пробую вручную распаковать. Ну как обычно нахожу POPAD и чуть ниже JMP <oep>. Снимаю дамп, восстанавливаю IAT. Получил рабочий exe, но без overlay. Заметил, что overlay не появился сразу после дампа. В OllyDump и OllyDumpEx я не нашел опции типа "Copy overlay". Пробовал автоматические распаковщики использовать. Кто-то зависал, выдавал нерабочий exe, не смог распаковать и т.д. Среди них GUnpacker, QuickUnpack, RL!deUPX, Generic Unpacker by Brantalarm. Вопрос: как распаковать с сохранением overlay? http://www.embedupload.com/?d=6LQZV0NZSR
EugeneM Ранг: 1.8 (гость) Активность: 0=0 Статус: Участник	Создано: 31 октября 2011 20:22 · Личное сообщение · #8 Всем спасибо.

Для печати