Распаковка UPX

Сейчас на форуме: vsv1, Alf (+4 невидимых)

Посл.ответ	Сообщение
KingMaster Ранг: 2.0 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 06 сентября 2015 16:24 · Личное сообщение · #1 Приветствую. Сделал сам для себя простой UnPackMe. Накрыл UPX. Точку входа нашел. Далее ввел её в OllyDumperEx. http://prntscr.com/8d88cw Нажал "DUMP" http://prntscr.com/8d88mk http://prntscr.com/8d88qf вот что вышло после дампа. Подскажите, как корректно распаковать ?

OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 06 сентября 2015 16:38 · Личное сообщение · #2 KingMaster пишет: Подскажите, как корректно распаковать ? upx -d program.exe ----- aLL rIGHTS rEVERSED!
motoroller Ранг: 7.0 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 06 сентября 2015 16:40 · Личное сообщение · #3 лол. Импорт восстанови. Добавлено спустя 1 минуту OnLyOnE пишет: upx -d program.exe Все такие умные. Элита чтоле?
KingMaster Ранг: 2.0 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 06 сентября 2015 16:46 · Личное сообщение · #4 OnLyOnE пишет: upx -d program.exe Хочу научиться распаковывать именно руками. Добавлено спустя 2 минуты motoroller пишет: лол. Импорт восстанови. Пробовал, программа просто идет в краш.
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 06 сентября 2015 16:49 · Личное сообщение · #5 motoroller пишет: Все такие умные. Элита чтоле? Чтоле... ----- aLL rIGHTS rEVERSED!
motoroller Ранг: 7.0 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 06 сентября 2015 16:54 · Личное сообщение · #6 KingMaster, Как пробовал? UPX снимается на раз. Опиши последовательность действий.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 06 сентября 2015 17:13 · Личное сообщение · #7 KingMaster пишет: http://prntscr.com/8d88qf вот что вышло после дампа. С выской вероятностью, вангую, что Вы не слышали, что такое ImpRec. И не допускаете мыслей, что еще нужно импорт восстановить. (таблица импорта убитая). Ну и конечно, проверить EntryPoint (== OEP raw) в Pe-хидере, пофиксить ImageSize.
hash87szf Ранг: 64.9 (постоянный), 47thx Активность: 0.12↘0.02 Статус: Участник	Создано: 06 сентября 2015 17:19 · Личное сообщение · #8 http://wasm.ru/wault/article/show/ollydbg34 Введение в крэкинг с нуля, используя OllyDbg - Глава 34 — Архив WASM.RU
KingMaster Ранг: 2.0 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 06 сентября 2015 19:01 · Личное сообщение · #9 http://prntscr.com/8d9x0g подскажите, c чем может быть связано ?
unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 06 сентября 2015 20:06 · Личное сообщение · #10 KingMaster пишет: Хочу научиться распаковывать именно руками. FACEPALM.UPX - это и есть тот пакер, которым Вы и запаковывали и он распаковывает файл до исходного вида. motoroller пишет: Все такие умные. Элита чтоле? ЧтолеШколота на раз заметна.Будь хоть затерта сигнатура, исправлена EP или переименованы секции, то все это можно найти и восстановить и опять же распаковать без отладчика вообще.Какой бы изврат не был произведен над UPX-упакованным файлом, то его можно вернуть к исходному в распакованном виде. ----- TEST YOUR MIGHT

Для печати