ImpRec упорно не резолвит указатели на одну dll

Сейчас на форуме: asfa, bartolomeo (+8 невидимых)

Посл.ответ	Сообщение
alex7851 Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 29 июня 2012 21:36 · Поправил: alex7851 · Личное сообщение · #1 Всем добра. Сразу предупреждаю, опыта у меня нет в крякинге. Что сделал: взял крякми 5 от fantom, упаковал upx, запустил под Олькой, встал на OEP, сдампил с помощью PETools. Этот же процесс, висящий под отладчиком, скармливаю ImpRec (6 и 7 версии пробовал), вписываю верный oep (0x401000, там трудно ошибиться), делаю "IAT autosearch", верно находится IAT. Нажимаю GetImports, вижу valid:NO для user32. Естественно, IT не отреставрируется. На первом скрине открыто место с IAT в момент стояния на OEP. Эти адреса верны, они действительно от user32.dll и под олькой туда можно сходить и вернуться. Почему ImpRec так себя ведет? Или я где-то сильно лажаю? Скриншоты: 8dba_29.06.2012_EXELAB.rU.tgz - Desktop.zip

schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 29 июня 2012 21:52 · Личное сообщение · #2 alex7851 пишет: вписываю верный oep (0x401000, там трудно ошибиться), делаю "IAT autosearch", верно находится IAT. Нажимаю GetImports, вижу valid:NO для user32. Далее жмеш Show Invalid потом на выделеные адреса Cut Thunk(s) ну а потом Fix Dump ну а если хочешь разобраться, то смотришь эти адреса в отладчике и разбираешься че не так
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 29 июня 2012 21:53 · Поправил: Veliant · Личное сообщение · #3 1.6 отнюдь не финал, есть еще 1.7 Попробуй для первой функции выбрать вручную user32 и имя функции, остальные автоматически должны сработать Либо нажать Show Invalid потом ПКМ и Disassemble режим \| Сообщение посчитали полезным: alex7851
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 29 июня 2012 21:56 · Личное сообщение · #4 Veliant пишет: 1.6 отнюдь не финал, есть еще 1.7 alex7851 пишет: скармливаю ImpRec (6 и 7 версии пробовал) он же написал что пробовал две версии)
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 29 июня 2012 22:01 · Поправил: -=AkaBOSS=- · Личное сообщение · #5 alex7851 пишет: вписываю верный oep (0x401000, там трудно ошибиться) насколько помню, импреку нужен рва точки входа... /add: уже заметил на скрине... но у меня всё определилось правильно... какая ОС? Code: Target: D:\Files\downloads\Desktop\packed.exe OEP: 00001000 IATRVA: 00002000 IATSize: 00000070 FThunk: 00002000 NbFunc: 00000006 1 00002000 kernel32.dll 03B8 lstrlen 1 00002004 kernel32.dll 03AC lstrcmp 1 00002008 kernel32.dll 014C GetDriveTypeA 1 0000200C kernel32.dll 010A GetCommandLineA 1 00002010 kernel32.dll 0177 GetModuleHandleA 1 00002014 kernel32.dll 00B7 ExitProcess FThunk: 0000201C NbFunc: 00000015 1 0000201C user32.dll 013B GetMessageA 1 00002020 user32.dll 01A1 IsDialogMessage 1 00002024 user32.dll 01B8 LoadCursorA 1 00002028 user32.dll 01BC LoadIconA 1 0000202C user32.dll 01DD MessageBoxA 1 00002030 user32.dll 00A2 DispatchMessageA 1 00002034 user32.dll 0114 GetDlgItemTextA 1 00002038 user32.dll 0112 GetDlgItem 1 0000203C user32.dll 023C SendMessageA 1 00002040 user32.dll 0254 SetDlgItemTextA 1 00002044 user32.dll 0257 SetFocus 1 00002048 user32.dll 0293 ShowWindow 1 0000204C user32.dll 02AB TranslateMessage 1 00002050 user32.dll 02BC UpdateWindow 1 00002054 user32.dll 00C7 EndDialog 1 00002058 user32.dll 008F DefWindowProcA 1 0000205C user32.dll 009F DialogBoxParamA 1 00002060 user32.dll 009A DestroyWindow 1 00002064 user32.dll 0202 PostQuitMessage 1 00002068 user32.dll 0056 CreateDialogParamA 1 0000206C user32.dll 0218 RegisterClassExA \| Сообщение посчитали полезным: alex7851
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 29 июня 2012 22:08 · Поправил: schokk_m4ks1k · Личное сообщение · #6 -=AkaBOSS=- пишет: какая ОС? судя по скрину WinXP -=AkaBOSS=- пишет: но у меня всё определилось правильно... у меня тоже все ок! смотри там у себя, пробуй последнюю версию импрека! я пробовал на Win7 x86
alex7851 Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 29 июня 2012 22:10 · Личное сообщение · #7 -=AkaBOSS=- пишет: какая ОС? Windows 7 ultimate sp1 x64 Veliant пишет: Попробуй для первой функции выбрать вручную user32 и имя функции, остальные автоматически должны сработать А как, не вижу чего-то. schokk_m4ks1k пишет: Далее жмеш Show Invalid потом на выделеные адреса Cut Thunk(s) ну а потом Fix Dump То что получилось почему-то падает после закрытия либого messagebox, гляну почему.
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 29 июня 2012 22:20 · Поправил: Veliant · Личное сообщение · #8 Теперь уже можно подгрузить txt (Load tree) что выложил AkaBOSS и не париться Далее жмеш Show Invalid потом на выделеные адреса Cut Thunk(s) ну а потом Fix Dump Совсем не вариант тк в этом случае адреса для user32 останутся старыми
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 29 июня 2012 22:22 · Личное сообщение · #9 Veliant пишет: Далее жмеш Show Invalid потом на выделеные адреса Cut Thunk(s) ну а потом Fix Dump Совсем не вариант тк в этом случае адреса для user32 останутся старыми ляпнул не глядя
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 29 июня 2012 22:32 · Личное сообщение · #10 Veliant пишет: Теперь уже можно подгрузить txt (Load tree) что выложил AkaBOSS и не париться главная проблема не в том, чтобы распаковать, а в том, у меня, например, на XPSP3, IAT AutoSearch сразу определила импорт и его границы (но я чуть-чуть их подправил) а у alex7851, на Win7SP1x64, авто-определение никуя не работает походу, какой-то баг либо в настройке системы, либо в импреке если есть кто, сидящий на 64разрядной семёрке, пусть протестит у себя
alex7851 Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 29 июня 2012 22:35 · Поправил: alex7851 · Личное сообщение · #11 Veliant пишет: Совсем не вариант тк в этом случае адреса для user32 останутся старыми Ага, поэтому и падает. Некий "Imports fixer" все нашел и пофиксил без проблем. Рабочая ОС у меня не засрана, поэтому мб просто какие-то баги с 64-битностью. Завтра попробую под x86. И таки да, если открыть исходный непакованый файл в imprec, он показывает то же самое. И много других тоже как невалид определяет. Всем спасибо, резво вы откликнулись. upd ой, опередили.
ADMIN-CRACK Ранг: 27.8 (посетитель), 51thx Активность: 0.03↘0 Статус: Участник	Создано: 29 июня 2012 22:39 · Личное сообщение · #12 Veliant пишет: 1.6 отнюдь не финал, есть еще 1.7 Разве проект не умер после 1.6? Насколько помню после того билда были фиксы (патчи).
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 29 июня 2012 22:44 · Личное сообщение · #13 alex7851 попробуй еще --> Scylla <-- (аналог импрег) \| Сообщение посчитали полезным: alex7851
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 29 июня 2012 22:49 · Личное сообщение · #14 Проверил под win7 x64, имена резолвятся норм кроме одного - NtdllDefWindowProc_A вместо DefWindowProc определил. Исправил - все ок
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 29 июня 2012 22:55 · Поправил: -=AkaBOSS=- · Личное сообщение · #15 ADMIN-CRACK пишет: Разве проект не умер после 1.6? /поправил: [прошу прощения, тупанул ] alex7851 перечисли загруженные модули, стоя на оеп
alex7851 Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 29 июня 2012 23:09 · Личное сообщение · #16 -=AkaBOSS=- пишет: перечисли загруженные модули, стоя на оеп Вот модули: http://pastebin.com/VK9GjpHM Вот memory map: http://pastebin.com/K2GsKRZe
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 29 июня 2012 23:24 · Поправил: -=AkaBOSS=- · Личное сообщение · #17 77960000 ??? Mod_7796 Hidden так олька временами обзывает .Net модули, но что это? проследи чем-то типа ProcessExplorer'а, что это за нафиг мой список модулей на оеп: Code: 00400000 >00039000 >00436E80 packed D:\Files\downloads\Desktop\packed.exe 76360000 >0001D000 >763612C0 IMM32 5.1.2600.5512 (x>C:\WINDOWS\system32\IMM32.DLL 77DC0000 >000AC000 >77DC710B ADVAPI32 5.1.2600.5755 (x>C:\WINDOWS\system32\ADVAPI32.dll 77E70000 >00092000 >77E7628F RPCRT4 5.1.2600.5896 (x>C:\WINDOWS\system32\RPCRT4.dll 77F10000 >00049000 >77F16587 GDI32 5.1.2600.5698 (x>C:\WINDOWS\system32\GDI32.dll 77FE0000 >00011000 >77FE2146 Secur32 5.1.2600.5834 (x>C:\WINDOWS\system32\Secur32.dll 7C800000 >000F8000 >7C80B64E kernel32 5.1.2600.5781 (x>C:\WINDOWS\system32\kernel32.dll 7C900000 >000B3000 >7C912C60 ntdll 5.1.2600.5755 (x>C:\WINDOWS\system32\ntdll.dll 7E360000 >0009E000 >UserClien>USER32 5.1.2600.5512 (x>C:\WINDOWS\system32\USER32.dll ЗЫ: хотелось бы еще, чтобы отозвался товарищ Veliant, у которого есть доступ к Win7x64 ADMIN-CRACK пишет: как-то с трудом верится. в той теме, на которую я дал линк, ясно написано kioresk пишет: это не новая версия ImpRec'а, а пропатченная версия 1.6.
ADMIN-CRACK Ранг: 27.8 (посетитель), 51thx Активность: 0.03↘0 Статус: Участник	Создано: 29 июня 2012 23:29 · Личное сообщение · #18 -=AkaBOSS=- я Это и на тутсях видел, но как-то с трудом верится. Правда не удосужился код сверить после гфикс-а. Тем более от самого MackT небыло ничего уже давно.
alex7851 Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 30 июня 2012 00:04 · Личное сообщение · #19 -=AkaBOSS=- пишет: 77960000 ??? Mod_7796 Hiddenтак олька временами обзывает .Net модули, но что это? Hex Neo Editor сказал, что там ntdll.dll.
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 30 июня 2012 09:37 · Личное сообщение · #20 -=AkaBOSS=- пишет: хотелось бы еще, чтобы отозвался товарищ Veliant, у которого есть доступ к Win7x64 Code: Executable modules Base Size Entry Name Type File version Path 6E4F0000 0008D000 >6E4F1FFF AcLayers 6.1.7601.17514 (>C:\Windows\AppPatch\AcLayers.DLL 76E20000 000A0000 >76E349E5 ADVAPI32 6.1.7600.16385 (>C:\Windows\syswow64\ADVAPI32.dll 737A0000 >0004C000 >737A2C14 apphelp 6.1.7600.16385 (>C:\Windows\system32\apphelp.dll 74E60000 0000C000 >74E610E1 CRYPTBASE 6.1.7600.16385 (>C:\Windows\syswow64\CRYPTBASE.dll 76690000 00090000 >766A6343 GDI32 6.1.7601.17514 (>C:\Windows\syswow64\GDI32.dll 75210000 >00060000 >7522158F IMM32 6.1.7601.17514 (>C:\Windows\system32\IMM32.DLL 755D0000 00110000 >755E32D3 kernel32 6.1.7600.16385 (>C:\Windows\syswow64\kernel32.dll 768E0000 00046000 >768E7478 KERNELBASE 6.1.7600.16385 (>C:\Windows\syswow64\KERNELBASE.dll 75190000 0000A000 >LpkDllIni>LPK 6.1.7600.16385 (>C:\Windows\syswow64\LPK.dll 74D90000 ??? Mod_74D9 Hidden 74DA0000 ??? Mod_74DA Hidden 74E00000 ??? Mod_74E0 Hidden 775A0000 ??? Mod_775A Hidden 72E70000 >00012000 >72E71200 MPR 6.1.7600.16385 (>C:\Windows\system32\MPR.dll 765C0000 000CC000 >765C168B MSCTF 6.1.7600.16385 (>C:\Windows\syswow64\MSCTF.dll 750A0000 000AC000 >750AA472 msvcrt 7.0.7600.16385 (>C:\Windows\syswow64\msvcrt.dll 77780000 00180000 > ntdll 6.1.7600.16385 (>C:\Windows\SysWOW64\ntdll.dll 763E0000 0015C000 >7642BA3D ole32 6.1.7600.16385 (>C:\Windows\syswow64\ole32.dll 75390000 0008F000 >75393FB1 OLEAUT32 6.1.7601.17514 C:\Windows\syswow64\OLEAUT32.dll 00400000 >00039000 >00436E80 packed C:\Users\[censored]\Desktop\packed.exe 73A00000 >0000B000 >73A01992 profapi 6.1.7600.16385 (>C:\Windows\system32\profapi.dll 767F0000 000F0000 >76800569 RPCRT4 6.1.7600.16385 (>C:\Windows\syswow64\RPCRT4.dll 75740000 00019000 >75744975 sechost 6.1.7600.16385 (>C:\Windows\SysWOW64\sechost.dll 75760000 00C4A000 >757E1601 SHELL32 6.1.7601.17514 (>C:\Windows\syswow64\SHELL32.dll 756E0000 00057000 >756F9BA6 SHLWAPI 6.1.7600.16385 (>C:\Windows\syswow64\SHLWAPI.dll 74E70000 00060000 >74E8A3B3 SspiCli 6.1.7601.17514 (>C:\Windows\syswow64\SspiCli.dll 74F70000 00100000 >UserClien>USER32 6.1.7601.17514 (>C:\Windows\syswow64\USER32.dll 73A10000 >00017000 >73A11C9D USERENV 6.1.7600.16385 (>C:\Windows\system32\USERENV.dll 76750000 0009D000 >76783FD7 USP10 1.0626.7601.1751>C:\Windows\syswow64\USP10.dll 72E10000 >00051000 >72E3988C WINSPOOL_DRV 6.1.7600.16385 (>C:\Windows\system32\WINSPOOL.DRV Hidden модули это по ходу от SysWow64
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 30 июня 2012 11:01 · Личное сообщение · #21 Veliant пишет: Hidden модули это по ходу от SysWow64 неа, скорей уж наоборот сначала грузятся "родные" системные библиотеки, затем у них трутся имена потом локально в процессе меняется %path% с system32 на syswow, и модули, импортируемые приложением, грузятся уже оттуда но это всё не меняет картину... глюк странный alex7851 а Scylla пробовал? или она тоже самое выдаёт? \| Сообщение посчитали полезным: TLN
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 30 июня 2012 11:41 · Личное сообщение · #22 Да небудет империк работать под винь 7,чё вы к нему приколупались ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
alex7851 Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 30 июня 2012 12:21 · Личное сообщение · #23 -=AkaBOSS=- пишет: а Scylla пробовал? или она тоже самое выдаёт? Scylla и ImportFixer работают правильно. Universal Import Fixer тоже все видит.
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 30 июня 2012 12:40 · Личное сообщение · #24 alex7851 значит ClockMan прав
ADMIN-CRACK Ранг: 27.8 (посетитель), 51thx Активность: 0.03↘0 Статус: Участник	Создано: 30 июня 2012 13:25 · Поправил: ADMIN-CRACK · Личное сообщение · #25 -=AkaBOSS=- -=AkaBOSS=- пишет: в той теме, на которую я дал линк, ясно написано kioresk пишет: это не новая версия ImpRec'а, а пропатченная версия 1.6. Дык я и написал сразу... ADMIN-CRACK пишет: Насколько помню после того билда были фиксы (патчи). А меня на тутси тыкают ссылью.

Для печати