Проблема с снятием Upx

Сейчас на форуме: asfa, _MBK_, Adler (+8 невидимых)

Посл.ответ	Сообщение
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 12:17 · Поправил: nix77 · Личное сообщение · #1 Есть фриварный ехе, который написан на Autohotkey и запакован Upx. Не получается снять пакер. После сей процедуры ехе не стартует и выдает Exe corrupted Пробовал снять разными способами: 1. Upx -d [..] 2. pe explorer 3. Ручным методом. Но так ничего не вышло. Погуглил чуток "upx exe corrupted", но решение не нашел. Можно что-нибудь сделать именно с этим ехе? http://rghost.ru/41334088

Flasher-11 Ранг: 11.2 (новичок), 9thx Активность: 0.03↘0 Статус: Участник	Создано: 04 ноября 2012 12:21 · Поправил: Flasher-11 · Личное сообщение · #2 Если после распаковки выдает такое сообщение, то попробуйте пересчитать CRC файла. Есть плагин в PEiD (FixCRC) ADD Я предположил один из вариантов, это может быть например, проверка размера файла или еще что-нибудь. Файл скачать возможности нет. \| Сообщение посчитали полезным: nix77
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 12:40 · Поправил: nix77 · Личное сообщение · #3 Flasher-11 пишет: Есть плагин в PEiD (FixCRC) В ответ получил "все гуд" (crc is correct)
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 04 ноября 2012 13:05 · Личное сообщение · #4 юзайте тулзу myAutToExe она и upx снимет, и скрипт извлечёт
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 13:23 · Личное сообщение · #5 tihiy_grom пишет: юзайте тулзу myAutToExeона и upx снимет, и скрипт извлечёт У меня есть версия 2.1 билд 77, но она по-моему не любит upx и ничего не снимает, а ищет пасс просто. Можно ссылочку?
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 04 ноября 2012 13:30 · Личное сообщение · #6 nix77 пишет: Есть плагин в PEiD (FixCRC) В ответ получил "все гуд" (crc is correct) после этих манипуляций, распакованный файл нормальный запускается?
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 13:37 · Личное сообщение · #7 schokk_m4ks1k, нет продолжает выскакивать та же ошибка
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 04 ноября 2012 13:40 · Личное сообщение · #8 Не, облажался я. Не берёт тулза этот файл. Вот какбы ещё есть материалы по теме. http://deioncube.in/files/MyAutToExe/Doc/DecompilingHotKeyCamoScripts.pdf Может поможет.
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 04 ноября 2012 13:47 · Личное сообщение · #9 --> RunBetterPoker.com MergeKeys Beta.ahk <-- но падает при выполнении... ----- AutoIt \| Сообщение посчитали полезным: nix77
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 14:05 · Личное сообщение · #10 OLEGator Спасибо, уже хоть что-то. А чем вы разобрали? там по дороге пасс не находили? можно лог?
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 04 ноября 2012 14:09 · Личное сообщение · #11 тем самым декомпилем. Code: myAut2Exe >The Open Source AutoIT/AutoHotKey script decompiler< 2.12 build(182) ================================================================================ Unpacking: C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta.exe Calculating CRC Modified AU3_Signature: A3 48 4B BE 98 6C 4A A9 99 4C 53 0A 86 D6 48 7D ЈHKѕ?lJ©™LS †ЦH} Script Type 3.0 found. ---> ScriptStartOffset: 00034C00 EndOf_PE-ExeFile : 00034C00 Extracting ExeIcon/s to: "C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta.ico" 00034C14 -> SubType: 0x03 Въ ~ Note: The following offset values are were the data ends (and not were it starts) ~ Script is password protected! 00034C18 -> Password/MD5PassphraseHash: 4E2F41 N/A MD5PassphraseHash_ByteSum: 000000BE '+ 000022AF' => decryption key! ------------ Processing Body ------------- === > Processing FILE: #1 00034C1C -> ResType: FILE 00034C21 -> SrcFile_FileInst: < 00034C4E -> CompiledPathName: C:\Users\J\AppData\Local\Temp\ahkC017.tmp Note: This AHK SCRIPT(with icon) was compiled with 'N/A' as passphrase 00034C4F -> IsCompressed: True (01) 00034C53 -> ScriptSize Compressed: 00004BF8 Decimal:19448 18 KB 00034C57 -> ScriptSize UnCompressed(used to seek to next file): 00012A3C Decimal:76348 74 KB 00034C67 -> FileTime (number of 100-nanosecond intervals since January 1, 1601) pCreationTime: 01CD7BA96B08E3C0 16.08.2012 12:19:43 [904] pLastWrite : 01CD7BA96B3C77A1 16.08.2012 12:19:44 [242] 00034C67 -> Begin of script data Decrypting script data... JB LZSS Signature:JB01 Compressed scriptdata written to C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta.pak Expanding script data to "RunBetterPoker.com MergeKeys Beta.ahk" at C:\Documents and Settings\Admin\Рабочий стол\Mk\ bIsPossiblyAboveAHK_Ver1_0_48_3 = True ^- This is just a GUESS!!! Please enable verbose option be able to choose that here manually. AHK 16bit substraction key: 2CF8 Appling AHK extra decryption(v1.0.48.5)... Removing line breaks at the beginning... Seperating includes... There are no AHK-includes that could be seperated. Saving decrypted data to "RunBetterPoker.com MergeKeys Beta.ahk" at C:\Documents and Settings\Admin\Рабочий стол\Mk\ Setting Creation and LastWrite time for: RunBetterPoker.com MergeKeys Beta.ahk Write data in textbox ------------------------------------------------------------------------------- Processing Finished! 0003985F -> End of script data FileLen: 00039867 => Overlay: 00000008 overlaybytes: 00 4C 03 00 8F 82 C0 69 L Џ‚Аi =============================================================================== DeTokenising: C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta.ahk ERR: STOPPED!!! Required FileExtension for Tokenfiles: '.tok .mem' Rename this file manually to show that this should be detokenied. =============================================================================== Testing for Scripts that were obfuscate by 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.15 [July 1, 2007]' or 'EncodeIt 2.0' =============================================================================== Testing for TextFile... Done. (Textfile=True) DeObfuscating : C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta.ahk =============================================================== Seperating Includes of : C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta.ahk 76348 bytes loaded. Testing for TextFile... Done. (Textfile=True) Saving Logdata to : C:\Documents and Settings\Admin\Рабочий стол\Mk\RunBetterPoker.com MergeKeys Beta_myExeToAut.log ----- AutoIt
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 04 ноября 2012 15:08 · Личное сообщение · #12 Скрипт в атаче, сейчас нет времени ковырять самому. b617_04.11.2012_EXELAB.rU.tgz - script.rar \| Сообщение посчитали полезным: Analysen, nix77
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 16:49 · Личное сообщение · #13 F_a_u_s_t, ваш скррипт не могу скачать, файл битый что ли? Но все равно спасибо, что отозвались. OLEGator, а ваш перекомпилировал - все пока работает, спасибо. Возможно, что он у вас падал по причине того, что вы его резали фаерволом
KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 04 ноября 2012 16:54 · Личное сообщение · #14 nix77, все отлично качается (b617_04.11.2012_EXELAB.rU.tgz) ----- -=истина где-то рядом=-
nix77 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 04 ноября 2012 17:34 · Личное сообщение · #15 Прошу прощения, всему виной древний архиватор. не захотел распаковывать Tgz. Файлы кстати идентичны. Всем спасибо за момощь. Можно закрывать
schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 04 ноября 2012 18:04 · Личное сообщение · #16 nix77 ну так ты сам можешь закрыть тему, внизу под кнопкой Отправить сообщение есть Закрыть тему

Для печати