Помогите с ручной распаковкой

Сейчас на форуме: _MBK_, Adler, asfa, bartolomeo (+9 невидимых)

Посл.ответ	Сообщение
W0iD_GrD Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 27 сентября 2012 11:52 · Поправил: W0iD_GrD · Личное сообщение · #1 В общем вот жертва: ссылка. Упакован UPXом, но распаковать им же не удается. Решил распаковать вручную, но и тут не все гладко. Делаю дамп с помощью petools, в imprec вбиваю OEP по IAT AutoSearch получаю: Found address which may be in the Original IAT. Try 'Get Import'. (If it is not correct, try RVA: 00032000 Size:00016000) Get Import выдает всего одну функцию и та невалидна при смене RVA и Size на рекомендуемые, функций больше, но валидны только обращения к kernel32.dll. При Fix Dump: IAT is still invalid. You have to fix manually all unresolved pointers. Распакованный экзешник, ежу понятно, не пашет. Направьте мои действия в нужное русло.

TLN Ранг: 3.3 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 27 сентября 2012 11:58 · Личное сообщение · #2 А где ваша жертва? Может вы oep неправильно нашли?
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 27 сентября 2012 12:06 · Личное сообщение · #3 OEP там трудно неправильно найти, а вот IAT Start IAT Size легко.
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 27 сентября 2012 12:08 · Поправил: tihiy_grom · Личное сообщение · #4 W0iD_GrD OEP - 004343AC IAT Start - 004390DC IAT Size - 27C Потом в распакованом файле нужно исправить "Size of Headers" на 1000 Почитайте статьи по распаковке для новичков, проблем с этой прогой вообще нет
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 27 сентября 2012 12:11 · Поправил: Vovan666 · Личное сообщение · #5 А если точнее, то для импрека 000343AC 000390D8 00000280 И если правильно сдампил, никаких плясок с Headers не надо.
W0iD_GrD Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 27 сентября 2012 12:26 · Личное сообщение · #6 Дампил так: в OllyDbg поставил бряк на 00447508, отработал по f9 до него. затем в PETools Full Dump. start и size опробовал, по-прежнему не пашет.
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 27 сентября 2012 13:51 · Поправил: schokk_m4ks1k · Личное сообщение · #7 W0iD_GrD --> unpacked <-- \| Сообщение посчитали полезным: ressa
W0iD_GrD Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 27 сентября 2012 14:08 · Личное сообщение · #8 schokk_m4ks1k Спасибо. Если не трудно поведай как сделал... интересно же...
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 27 сентября 2012 14:29 · Личное сообщение · #9 Настройки PETools и ImpRec
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 27 сентября 2012 15:11 · Личное сообщение · #10 W0iD_GrD --> video_unpacking <-- \| Сообщение посчитали полезным: W0iD_GrD
W0iD_GrD Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 27 сентября 2012 15:54 · Личное сообщение · #11 Спасибо всем огромное
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 27 сентября 2012 15:54 · Личное сообщение · #12 schokk_m4ks1k пишет: --> unpacked <-- Мой красивше --> Link <-- ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: TLN
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 27 сентября 2012 21:50 · Личное сообщение · #13 W0iD_GrD пишет: Спасибо всем огромное ну раз вопрос решён, закрывай тогда тему, в самом низу под Отправить сообщение!!!

Для печати