Добрый день!
Пытаюсь распаковать dll pec2.
Все по инструкции, вроде oep нашёл. Дамп сделал, но восстановление импорта не проходит.
Тело тут: http://bearc.ru/crack/libdemo.zip (pwd: 1)
1. В OlleDbg нашёл OEP
00B100B4 - OEP
0x00B100B4 - 0x00870000 (base) = 0x002A00B4 (size)
Все остальное на картинках





Все перепробовал, что-то я явно упускаю...

| Сообщение посчитали полезным:

В ImpREC после выбора loaddll.exe нажимал кнопку pick dll?

| Сообщение посчитали полезным:

конечно

| Сообщение посчитали полезным:

anma пишет:
Все остальное на картинках
1. На вскидку, упакован AsPack, по видимому?!?
2. 00B100B4 - OEP, а в ImpRec - очевидно, EP прописана.
3. ОТСУТСВУЕТ последний этап-правка OEP в PE хидере (через PeTools, LordPE) + релоки (Relocation Table)

| Сообщение посчитали полезным:

pecompact 2.x

Добавлено спустя 13 минут
ELF_7719116 пишет:
2. 00B100B4 - OEP, а в ImpRec - очевидно, EP прописана.
Не помогло


| Сообщение посчитали полезным:

OEP в ImpRec'e нужно вписывать с учетом ImageBase:
B100B4-870000=2A00B4

| Сообщение посчитали полезным:

импорт из кернел32 полностью заменён переходниками типа
mov eax, real_proc_address
jmp eax
поэтому часть функций автоматически не определяется
если надо, восстановленный импорт в аттаче

если дампить либу "как есть", то дамп получится кривой - затёрта таблица секций.
нужно скопировать таблицу из упакованного файла и исправить её - реальные размер/смещение установить равными виртуальным


2aa6_26.03.2015_EXELAB.rU.tgz - import.txt

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
если дампить либу "как есть", то дамп получится кривой - затёрта таблица секций.
нужно скопировать таблицу из упакованного файла и исправить её - реальные размер/смещение установить равными виртуальным
Спасибо, но как это сделать? Я слабоват в этой теме.

Добавлено спустя 29 минут
И с помощью какой утилиты Вам удалось получить правильную таблицу?

| Сообщение посчитали полезным:

anma пишет:
Спасибо, но как это сделать? Я слабоват в этой теме.
есть два способа - вручную или автоматически.
ручной способ подходит для тех, кто изучал PE-формат, но это явно не ваш случай.
автоматический способ - в настройках дампера (я так понял, используется PE Tools) установить галки:
Task Viewer - Full Dump: Paste Header From Disk
Task Viewer - Full Dump: Fix Header
после чего сделать Full Dump нужного модуля

anma пишет:
И с помощью какой утилиты Вам удалось получить правильную таблицу?
я не заморачивался поиском утилит. написал простой скрипт для автозамены этого
mov eax, real_proc_address
jmp eax
на это
push real_proc_address
ret
nop

после чего в импреке использовал Trace Level1 (Disasm).
в результате осталась неопределённой всего одна функция - GetProcAddress, которую я протрейсил через отладчик

| Сообщение посчитали полезным: bizdon

Спасибо, буду учиться

Добавлено спустя 11 минут
-=AkaBOSS=- пишет:
push real_proc_address
ret
nop

после чего в импреке использовал Trace Level1 (Disasm).
в результате осталась неопределённой всего одна функция - GetProcAddress, которую я протрейсил через отладчик

Из этого кода я понял, что Вы адрес процедуры помещаете в стек и потом операцией ret передаёте управление на неё. Н они хрена не понял, физику процесса, каким образом Trace Level1 (Disasm) нам помогает в данном случае. Да и где Вы вообще написали этот скрипт (OllуScript???)

| Сообщение посчитали полезным:

вопрос только в том, что трейсер может обработать, а что - нет.
обычно он определяет первую константу, по которой совершается переход и которая соответствует экспорту какой-либо длл.
пересылка данных между регистрами - это частный случай отдельного пакера-протектора, и усложнять логику трейсера нет смысла - для этого есть плагины.
для пекомпакта тоже, кажется, существует плагин, но точно я не уверен.

и да, скрипт я писал для ollyscript

| Сообщение посчитали полезным:

anma пишет:
pecompact 2.x
чуть более точно сообщает ProtectionID:


ну и по EP действительно похоже:


| Сообщение посчитали полезным:

Судя по тому, что это чит для танчиков, человека интересует не столько сам процесс, сколько анпак.
Есть отличный анпакер для PEC, вот анпак: https://www.sendspace.com/file/bw3laz

-----
ds

| Сообщение посчитали полезным: hello

PECompact разве протектор, что переходники на импорте ставит??
В нём, вроде, еще есть проверка crc после ОЕР или я путаю

| Сообщение посчитали полезным:

hello пишет:
PECompact разве протектор
Из него протектор, как из говна граната

https://bitsum.com/pecompact/


hello пишет:
нём, вроде, еще есть проверка crc после ОЕР или я путаю
плаг: IsPacked API pec2hooks_ispacked.dll

самое полезное во всём этом, это Fast import (pec2hooks_fastimport)

| Сообщение посчитали полезным: hello

DimitarSerg пишет:
Есть отличный анпакер для PEC
Только под 8-ую винду не идет пришлось патчить.
http://www.upload.ee/files/4600849/Unpacker_PECompact.7z.html
Это работает под винду 8-ую.

| Сообщение посчитали полезным: DICI BF