Доброго время суток форумчане!!!
Распаковал Unpackme VMProtect 2.09 плагином zeus!!! вроде все запускается, импорт восстановил, но при перезагрузки компа(Win7) не запускается распакованый файл! сразу в отладчик смотреть что не так! адресса импорта ссылаются в никуда) почему так?
Попробовал распаковать на WinXP, после перезагрузки работает но только на моем компе)
Поделитесь мыслями что я делаю не так!!!

ссылка на мой --> анпак <--

| Сообщение посчитали полезным:

говно анпакер обосрался


-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: dimka_new

ClockMan
дело в анпакере? или может както импорт поправить можно???
на XP на одном компе ж работает)

| Сообщение посчитали полезным:

патамучта аслр

ручками можна, паправъ

| Сообщение посчитали полезным:

Johnny Mnemonic
ну так я и так ручками! брал Universal Import Fixerом правил и VMP IAT Fixer пробовал! тоже самое! если на севене распаковую то на xp и после перезагрузки компа там где севен тоже не работает! импорт уходит вникуда! расскажите как поправить импорт, за меня править не нужно! просто обьясните или подтолкните на мыслю

Johnny Mnemonic пишет:
патамучта аслр
если чесно тоже так подумал
Johnny Mnemonic пишет:
ручками можна, паправъ
расскажите по подробнее как именно и каким инструментом)

| Сообщение посчитали полезным:

>подтолкните на мыслю
маны интела

| Сообщение посчитали полезным:

Johnny Mnemonic пишет:
маны интела
слишком обобщено!
поподробнее что и как) какой утилью пользоваться???
такая же проблема у меня и с темидой, распаковать распаковал стриптом, а вот с импортом такие же траблы!!! можешь ченить конкретное написать по восстановлению импорта в данном случае?

| Сообщение посчитали полезным:

schokk_m4ks1k
патамушта головой надо пользоваться, а не тупо травить UIF и тд. возникает вопрос - вообще, структуру PE знаешь или "пачка инструментов с тутсов и тп, и йа мегакрякер" ?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: ClockMan, dimka_new, SReg

ajax
ну не могу я понять в чем дело, вот и написал на форум с вопросом для новичков!!! отправить учить теорию каждый может, а толковое по делу сказать не каждый
просто посоветовать обьяснить! я понял что дело в ASRL (технология, применяемая в операционных системах, при использовании которой случайным образом изменяется расположение в адресном пространстве процесса важных структур)

я не прошу за меня взять и поправить импорт, я прошу помочь обьяснить что нетак!что то конкретное по теме!
ajax пишет:
мегакрякер
при чем тут не пойму! помоему ничего понтового я не писал, с чего такие выводы???

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

dimka_new пишет:
Хоть ты мне и нахомило - хочу открыть тебе глаза, походу над тобой издеваются, считают тебе дибилом...
И вообщем я согласен - только деденько не бейте ногами...
А если серьезно, то читать, читать и еще раз читать!
мог бы и не писать ничего, то что по теме ты сказал америку не открыл!
если не хочешь чтобы я нахомил опять не пиши такое больше!!!я пока вежливо тебе ответил, сдержался!!!

| Сообщение посчитали полезным:

schokk_m4ks1k поправь импорт, любой программой, которая это может, например ImpRec.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

schokk_m4ks1k
Ну что ж вы - вроде, вмпрот распаковали, а импорт восстанавливать не научились ещё. Обычный ImpRec берёте и вручную указываете расположение IAT. Давите Get Imports и прикручиваете к дампу. Это ж базовые основы распаковки.

Популярно объясню, в чём проблема. Когда загрузчик подгружает образ с корректной таблицей импорта, FirstThunk заполняются валидными адресами функций. Делается это загрузчиком. Когда в вашем дампе код обращается в ячейке памяти, в которой должен находится этот валидный адрес, то всё ок. В вашем же случае всё не ок, и вместо валидного адреса там жёстко прописанные для вашей системы адреса. И у вас на ХР всё очень хорошо. На семёрке же значения адресов уже будут другими, как важно подметил Johnny Mnemonic, за это отвечает фича семёрки "аслр". Т.е. она подгружает импортируемые библиотеки по случайному адресу. И ваши адреса (захардкоденные) невалидны. Т.е. как это часто пишут на форумах, "неправильно восстановленная таблица импорта".

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: schokk_m4ks1k

Maximus пишет:
поправь импорт, любой программой, которая это может, например PETools.
Импорт правиться нормально все восстанавливается, все запускается и работает, но при перезагрузке падает!(Win7)
я пробовал автоматические утилиты например ImpRec, UIF и VMP Iat Fixer но при перезагрузки компа импорт ссылается куда попало) расскажи по подробнее как сделать так чтобы импорт не исчез после перезагрузки???

у меня траблы с импортом не только после распаковке вмпрота но и распаковке темиды!

| Сообщение посчитали полезным:

schokk_m4ks1k
Не, Maximus написал про ImpRec. Кстати, опередил меня, пока я там сочинения расписывал. Так что не надо путать!

Ждем видео...

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Maximus
после восстановления импорта ImpRec все работает до перезагрузки компа! когда перезагрузил комп, смотрю на импорт он ссылка вникуда)
щас сделаю видео того что я делаю)


ARCHANGEL пишет:
Т.е. как это часто пишут на форумах, "неправильно восстановленная таблица импорта".
как же правильно восстановить таблицу импорта???

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
я не прошу за меня взять и поправить импорт, я прошу помочь обьяснить что нетак
если бы aslr не было на твоем компе, после распаковки, оно запускалось мб. на других - сомнительно. один фик, не так - это импорт не восстановлен. больше сказать нечего
ну так я и так ручками! брал Universal Import Fixerом правил и VMP IAT Fixer пробовал!
ну, если это ручки...
с чего такие выводы?
по предыдущим постам. Арчер вчера удалил мой пост на эту тему. вкратце - "софт в студию" и молчок, "ничего не сделал сам и что ты хочешь", и тп. скромнее надо быть, и, может, помогут...
как же правильно восстановить таблицу импорта???
дизасмить точку входа, где импорт не восстановлен, и _ручками_ фиксить

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: tihiy_grom

вот видео то что я делаю --> клик <--

r_e пишет:
Релоки пофиксил?
обьясните как)

SReg пишет:
обьясни лучше нахера тебе вмпрот, пока есчо упх по видеотуторам снимаешь)
если запостил значит стало интересно! а на счет upx - других загоняй, ты не по адресу! и вообще харош оффтопить, если по делу ничего не пишешь то и не писал бы чушь!!!
у меня не только с вмпротом такая хрень с импортом, например с фемидой тоже!
лучше бы обьяснил как релоки фиксить или как решить эту проблему!!!

| Сообщение посчитали полезным:

schokk_m4ks1k
Релоки пофиксил?

> Объясните как
Про релоки - это я прогнал. Но вообще ответ рядом находится. На видео у тебя какой-то хаос в бинарях. Пофиксил ИАТ в одном бинаре - он заработал. Потом подгружаешь какой-то левый бинарь и показываешь что он не работает. Потому как у него адреса джампов в небо смотрят.

-----
старый пень

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
Релоки пофиксил? обьясните как)
обьясни лучше нахера тебе вмпрот, пока есчо упх по видеотуторам снимаешь)

| Сообщение посчитали полезным:

r_e пишет:
Про релоки - это я прогнал. Но вообще ответ рядом находится. На видео у тебя какой-то хаос в бинарях. Пофиксил ИАТ в одном бинаре - он заработал. Потом подгружаешь какой-то левый бинарь и показываешь что он не работает. Потому как у него адреса джампов в небо смотрят.
я ж написал что такой импорт, уходящий в небо, становится с тем же файлом только после перезагрузки компа, до перезагрузки все работает и нормально фунциклирует, меня устраивает! я не могу понять почему при перезагрузке компа импорт уходит в небо???

ARCHANGEL пишет:
Ждем видео...
скажите что нибудь по поводу видео!!!

| Сообщение посчитали полезным:

schokk_m4ks1k
Я вам не верю =) Не нужно мистифицировать. Что-то сделано через Ж либо не доделано - вот и лезут баги.

-----
старый пень

| Сообщение посчитали полезным:

r_e пишет:
Я вам не верю =) Не нужно мистифицировать. Что-то сделано через Ж либо не доделано - вот и лезут баги.
как вам доказать? вы можете сами проверить, взять этот крекми и распаковать как на видео с плагином zeus плагин если нету могу залить) а потом вы скажите вру я или нет)
если что то не доделано скажите что именно не доделано! я ж на видео все свои действия показал)
или скажите что именно сделано через Ж?

| Сообщение посчитали полезным:

schokk_m4ks1k
Ну клади весь пакет, включая распакованное файло на обменник. Желательно рапидшару.

-----
старый пень

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
я не могу понять почему при перезагрузке компа импорт уходит в небо???
For the uninitiated, ASLR randomizes where various areas of memory (eg. stack, heap, libs, etc) are mapped in the address space of a process
schokk_m4ks1k пишет:
если что то не доделано скажите что именно не доделано!
zeus'у отпиши

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
А там что пакер сверху? Или блок джампов на импорт формируется в динамической памяти?

-----
старый пень

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
r_e пишет:
Я вам не верю =) Не нужно мистифицировать. Что-то сделано через Ж либо не доделано - вот и лезут баги.
как вам доказать? вы можете сами проверить, взять этот крекми и распаковать как на видео с плагином zeus плагин если нету могу залить) а потом вы скажите вру я или нет)
если что то не доделано скажите что именно не доделано! я ж на видео все свои действия показал)
или скажите что именно сделано через Ж?

Как уже сказал r_e, для начала нужно навести порядок в бинарях.
На видео ты подгружаешь бинарь с секцией .ximp с адреса 58D000 размером DE3000, которая после перезагрузки компьютера чудесным образом стала размером 113000.
В общем ключ в этом беспорядке, удачи.

| Сообщение посчитали полезным:

r_e
там чисто анпакми (вмпрот навешен). я хз, че там формируется, вмпрот инлайнил пару раз. не настолько он распространен, чтоб заниматься. а, если б занимался - писал бы свой утиль, а не дрючил левые плаги

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

schokk_m4ks1k
У тебя переходники смотрят не на ту таблицу. Либо надо их менять, либо иат чтоб указывал на твою новую секцию.

-----
старый пень

| Сообщение посчитали полезным:

r_e
ты имеешь ввиду джампы или call dword <адресс>?
приведи пример одного переходника и адресс его напиши!

BoOMBoX пишет:
На видео ты подгружаешь бинарь с секцией .ximp с адреса 58D000 размером DE3000, которая после перезагрузки компьютера чудесным образом стала размером 113000.
непонятно почему меняется размер секции при перезагрузки! но я ничего не делал, делал только то что на видео)

| Сообщение посчитали полезным: