Доброго настроения всем. Имеется желание распаковать upx без помощи тулз lordpe peeditor, и без imprec и т.д. Используя только olly и hex-редактор.
В руководстве CyberManiac'а есть фраза о том, что "никто не мешает вам заняться копированием секций руками из памяти на диск". Так может есть статья, где этот процесс описан? Нужно будет же таблицу импорта ещё исправить, а как?

Что дамперы существуют, чтобы ими пользоваться, я знаю. Мне таким усложненным способом проще будет понять что собой представляет упакованная программа и как её распаковать.

| Сообщение посчитали полезным:

имхо за****есь вы это руками делать , лучше внимательно читайте и пишите свой дампер и импорт реконструктор.

| Сообщение посчитали полезным:

Читаешь из MZPE заголовка размер SizeOfImage и сохраняешь указанное число байт от ImageBase.
Перед или после дампа правишь RawSize секций, делая его равным VirtualSize.

Для восстановления импорта, пробегаешь по адресам API-функций внутри IAT и меняешь их на виртуальные смещения до имен функций в самой IAT.

| Сообщение посчитали полезным: sivorog

Corsag21 пишет:
Мне таким усложненным способом проще будет понять что собой представляет упакованная программа и как её распаковать.

Напишите свой дампер, заодно и разберетесь во всем.

| Сообщение посчитали полезным: Dr0p

Сдам экзамены и начну разбираться по руководствам, Veliant'у спасибо за общий принцип, кое-чего начал понимать. А если кто вспомнит статью (можно и на иностранном) как распаковать без инструментов, то хотелось бы получить линк в личку. Закрыто.

| Сообщение посчитали полезным:

И хекс-редактор не нужен. Все в OllyDbg можно сделать. Там есть и дампер и плагин скриптовый, а уже в нем можно восстановить импорт. Совсем руками сделать невозможно. А скрипт вполне хорошо показывает, как, например, восстанавливаются импорт и ресурсы. Скрипты эти уже давно написаны. По крайней мере для импорта, ищи здесь, на форуме.

| Сообщение посчитали полезным: Corsag21