по пути "KURS CRACKER" => "cracker_kurs" => 11-raspakovka_programmi_1.rar
урок не совпадает с действительностью.

Задача на уроке: распаковка upx
Проблема на уроке: Точка входа отличается от той, что показана на уроке.
используемые файлы: проверены все файлы, используются абсолютно идентичная CrackMe и идентичный UPX запаковщик. Взято с прилагаемых папок к курсу.
Количество попыток и повторений действий с видео: 4. 3 в один день, один на другой =) результат такой же странный.
используемая ОС: Windows 10 x64

Скрины прилагаются.

Как у bad_guy:
точка входа и адрес видны на скрине EIP: 00406690


Как на деле с тем же OllyDbg, с тем же крекми и с тем же упаковщиком, проверено четырежды!
EIP: 00401000


Но если взять и вручную перейти по адресу как у bad_guy:


Так как видео без монтажа, складывается вопрос, каким образом у bad_guy точка входа отличается от той, что получается у меня?
Второй вопрос, почему хоть точка входа и разная, но если прыгать вручную по адресу 00406690 - там всё одинаково?
Если уж файл упаковался и по адресу 00406690 имеем те же инструкции как у bad_guy, то почему точка входа отличается?

помогите, пожалуйста, разобраться, где собака зарыта, не хочу вслепую двигаться дальше и пропускать урок...

Добавлено спустя 6 минут
есть зацепка, прикладываю скрин оригинального crackme4.exe не подверженному упаковщику.


обратите внимание на инструкции. это оригинальная точка входа в программу.
в оригинальном программе на адрес 00406690 перепрыгнуть не получается, ничего не происходит.
Т.е. упаковщик UPX пакует программу. Точка входа по идее должна стать по адресу 00406690, но на деле остается оригинальная точка входа, дак еще и с кодом упаковщика.

| Сообщение посчитали полезным:

nirraen

Другой отладчик, другая ось. Оно наверно запустилось, плаги анпакали и остановилось там, где вы вручную должны были остановиться
Если решили по такому учиться, то и софт юзайте без наворотов".

-----
vx

| Сообщение посчитали полезным:

кстати, интересно так же, что в упакованном состоянии моего варианта, регистры ECX EDX ESI EDI содержат адрес точки входа упаковщика 00406690 как показано на видео.

Вот я новичок совсем зеленый еще, каким образом мне добраться до истины и придти разумным путем к точке входа упаковщика 00406690 и начать распаковку как на видео?

Добавлено спустя 2 минуты
difexacaw софт только с курса в приложении, никаких плагинов не стоит. папка с олли


| Сообщение посчитали полезным:

nirraen

Ну а как тогда такое возможно, раз модуль тот же и отладчик. Покажите само приложение.

-----
vx

| Сообщение посчитали полезным:

aab3_25.04.2017_EXELAB.rU.tgz - fant-cm4.zip

| Сообщение посчитали полезным:

Скорее всего распакованный файл вложили вместо упакованного =)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

difexacaw я сам крайне шокирован до сих пор. Единственное отличие от видеоурока это Windows 10. Но я не думаю, что она каким-то образом вмешивается и сама мне распаковывает ПО. Это из разряда фантастики.
Файлы и инструменты я беру только с видеокурса, я не дурак, чтобы качать их незнамо откуда, а потом удивляться почему так получилось. UPX пакует файл, но точка входа в отладчике показывается другая, но если перейти по адресу как указано на видеокурсе - там присутствуют необходимые инструкции.

Добавлено спустя 3 минуты
извините, думал нужен оригинал.
вот запакованный + upx из видеокурса и .bat'ник к нему, которым пользуюсь, который также сделан по видео-курсу

c327_25.04.2017_EXELAB.rU.tgz - packed and upx.rar

| Сообщение посчитали полезным:

nirraen

Элементарный модуль, ничем не запакован. Видимо перепутали файлы.

-----
vx

| Сообщение посчитали полезным:

nirraen
Можно вопрос на какой винде учитесь?)
ёпт не заметил
nirraen пишет:
Единственное отличие от видеоурока это Windows 10.
Вот вашь и ответ) права дайте больше вашему отладчику, а лучше виртуалка и хрюша на нём)))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan а я же говорил Windows 10 x64 LTSB

| Сообщение посчитали полезным:

nirraen

Во втором аттаче модуль тот, который вам нужен. EP = 6690.

-----
vx

| Сообщение посчитали полезным:

difexacaw вы мне не верите видимо. Я могу записать видео от и до, как повторяю действия с видео курса и открываю нужный файл запакованный в отладчике.

| Сообщение посчитали полезным:

nirraen

Вы не тот файл открываете, смотрите:



EP не зависит от версии ос, тем более что всё и так понятно - другой файл.

-----
vx

| Сообщение посчитали полезным:

difexacaw
я записал видео.
файл я открываю верный.
скачать видео на Яндекс Диске

Добавлено спустя 6 минут
ClockMan
у меня воротит нос от ХР честно говоря, это действительно, покажется глупым, что я брезгую от ХР, но у меня есть большое желание сделать то что задумано именно на Windows 10, я не понимаю почему так происходит, это не дает мне покоя. Т.е. на полном серьезе такое возможно, что ollydbg с правами администратора запущенная на windows 10 открывает программу на оригинальной точке входа?

Хорошо давайте поставим вопрос по другому. Вы открыли эту программу в анализаторе PEiD, который увидел UPX запаковащик. Вы в свою очередь не зная текущего сравнения ситуации, открываете в отладчике эту программу и попадаете на оригинальную точку входа, не наблюдаете на ней никакого UPX. Каким образом вы бы дошли до адреса упаковщика UPX и совершили бы дальнейшую распаковку?

| Сообщение посчитали полезным:

nirraen пишет:
у меня воротит нос от ХР честно говоря, это действительно, покажется глупым, что я брезгую от ХР
у тебя 2 олька в нaстройках зайди во вкладку SFX и убери галку Unpack SFX

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: difexacaw, nirraen

ClockMan
Вы просто мой спаситель.. если бы это был косяк в 10 винде, у меня бы взорвалась голова. Огромнейшее спасибо!!!!! Низкий Вам поклон, Сэр!

p.s. как говорится, всё гениальное - просто))

| Сообщение посчитали полезным: