Споткнулся на простом)

Сейчас на форуме: asfa, bartolomeo (+7 невидимых)

Посл.ответ	Сообщение
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 12 марта 2012 17:45 · Личное сообщение · #1 В чём может быть ошибка? распаковываю upx, oep - 00401494, image base 00400000 в imprec пишу 1494 делаю дамп не работает, может oep неправильно нашёл? прошу помощи. 5765_12.03.2012_EXELAB.rU.tgz - pim.exe

VanHelsing Ранг: 15.5 (новичок), 21thx Активность: 0.04↘0 Статус: Участник	Создано: 12 марта 2012 17:51 · Личное сообщение · #2 Rio пишет: делаю дамп не работает, может oep неправильно нашёл?прошу помощи. А таблицу импорта восстановили ? Чем дампили ? Опишите действия свои подробнее.
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 12 марта 2012 18:04 · Личное сообщение · #3 to: VanHelsing загружаю в олю, стою на 00562750 > 60 PUSHAD далее f2 на popad, далее ниже jmp на oep когда стою на jmp жму f8 оказываюсь (как я думаю на oep) запускаю olly dump выбираю в настройках 2 метод ну и делаю дамп, вычитаем oep - 00401494 - image base - 00400000 получаем 00001494 запускаю файл (естественно не дамп) запускаю imprec выбираю процесс вписываю в окно oep 00001494, жму iat autosearch, потом get imports, show invalid и fix dump выбираю дамп и по идее всё.
VanHelsing Ранг: 15.5 (новичок), 21thx Активность: 0.04↘0 Статус: Участник	Создано: 12 марта 2012 18:21 · Личное сообщение · #4 Rio пишет: запускаю olly dump выбираю в настройках 2 метод ну и делаю дамп Rio пишет: запускаю imprec выбираю процесс вписываю в окно oep 00001494, жму iat autosearch, потом get imports, show invalid и fix dump выбираю дамп и по идее всё. Вы получается таблицу импорта чините 2 раза -- зачем ? И оллидампером, и импреком. Лучше оллидампом делайте только дамп, галочки поснимайте там для починки таблицы; ну и в импреке не надо автосерч -- он туповатый, зачастую не находит истинных адресов. Короче автоматика маздай, делайте все ручками.
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 12 марта 2012 18:22 · Личное сообщение · #5 Импорт вручную указывай 004FA10C size:e40 9ffa_12.03.2012_EXELAB.rU.tgz - dumps_.rar
VanHelsing Ранг: 15.5 (новичок), 21thx Активность: 0.04↘0 Статус: Участник	Создано: 12 марта 2012 18:27 · Личное сообщение · #6 NikolayD Кстати ОЕР какая-то странная, там до нее не выполняется ничего годного ? "Украденных байт" нету ?
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 12 марта 2012 18:30 · Личное сообщение · #7 VanHelsing обычный борланд.
VanHelsing Ранг: 15.5 (новичок), 21thx Активность: 0.04↘0 Статус: Участник	Создано: 12 марта 2012 18:41 · Личное сообщение · #8 NikolayD да, что-то ольга первая тупит. Вторая нормально, а 1.10 не удаляет анализ (ремув анализ фром коде) -- что делать ?
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 12 марта 2012 18:46 · Личное сообщение · #9 что у меня ничего не выходит) , запутался...
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 12 марта 2012 18:58 · Личное сообщение · #10 спасибо all, отдельно NikolayD!!! С Уважением Rio.

Для печати