Восстановление импорта

Сейчас на форуме: asfa, bartolomeo (+7 невидимых)

Посл.ответ	Сообщение
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 11 июля 2012 11:12 · Поправил: Rio · Личное сообщение · #1 Прошу объяснить как правильно восстановить импорт, пакер UPX, снимаю дамп через OllyDump, с jmp'a иду на OEP 005E91E7, оставляю (в OllyDump) checkbox'ы Fix Raw Size и RebuildImport, Method1. Далее запускаю запакованный файл, затем Imprec и в OEP пишу 001E91E7 (005E91E7-00400000), IatAutoSearch, GetImports, FixDump и получаю: "не отправлять отчёт". to: HellSpawn галочку убрал, бесполезно, хотя тут же свою прожку упаковал и распаковал, а это не знаю, в чём отличия?. to: Konstantin, под Xp сижу. http://rghost.ru/39147713 вот дамп: http://rghost.ru/39148341 дамп я правильно снял? to:ZaZa да у меня есть распакованный и инлайн патч я ему сделал, но вопрос выше интересует, объясните что я делаю неправильно? >>хотя тут же свою прожку упаковал и распаковал, а это не знаю, в чём отличия?.

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 11 июля 2012 11:23 · Личное сообщение · #2 не нужно в OllyDump выставлять галку RebuildImport. ----- [nice coder and reverser]
Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 11 июля 2012 11:35 · Поправил: Konstantin · Личное сообщение · #3 Rio И с Imprec-ом лучше под Win XP работать.
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 11 июля 2012 12:28 · Личное сообщение · #4 Rio А тем же самым UPX не распаковать с опцией -d? Вот держи: --> Link <-- ----- One death is a tragedy, one million is a statistic.
Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 11 июля 2012 16:08 · Личное сообщение · #5 Rio пишет: объясните что я делаю неправильно? В imprec-е пропиши RVA - 002B1000, Size - 9F0
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 11 июля 2012 21:54 · Личное сообщение · #6 Спасибо Konstantin, поясни пожалуйста ход действий. Программа запускается, но тут же ошибка: 0386_11.07.2012_EXELAB.rU.tgz - screen.bmp
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 11 июля 2012 23:24 · Личное сообщение · #7 Rio попробуй вот этот --> дамп <-- и еще попробуй вот этим --> пропатчить <--
Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 12 июля 2012 00:31 · Поправил: Konstantin · Личное сообщение · #8 Rio пишет: Спасибо Konstantin, поясни пожалуйста ход действий. Imprec муит. На автомате не правильно размер IAT определяет. Нужно было уточнить, пользуя Олю. Rio пишет: Программа запускается, но тут же ошибка: Ну это типо защиты от распаковки. Нужно убрать в любом PE редакторе с секции, которой принадлежит адрес - 6C1EE0 (в дампе это будет секция - UPX0), флаг - Writeable. Либо поправить условный переход: Code: 005E8481 \|. /74 0A JE SHORT* 005E848D А лучше исправить здесь Code: 005FA69A . C1E8 1F SHR EAX,1F На - xor eax,eax например.
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 12 июля 2012 11:54 · Личное сообщение · #9 Большое спасибо ребята за время которое вы потратили на решение моего вопроса, все ответы очень помогли. С Уважением Rio.

Для печати