Сейчас на форуме: tyns777, cppasm, dutyfree (+7 невидимых)

 eXeL@B —› Вопросы новичков —› разбор крякми cracklab clab_1
Посл.ответ Сообщение

Ранг: 5.4 (гость)
Активность: 0.020.04
Статус: Участник

Создано: 22 июля 2017 02:13 · Поправил: xverizex
· Личное сообщение · #1

Добро пожаловать на мой топик. У меня проблема с распаковкой cracklab clab_1. Там стоит защита upx. Ну я делаю break на адрес стека, и в конце концов выполнение останавливается на инструкции jmp 044b1e8. Так вот, я сдампил программу.

В import reconstructon я вписал адрес точки входа, но не могу пофиксить дамп, пишет Invalid dump file! Can't match RVA to Offset in the dump file.


Выкладываю крякми, в котором ничего не изменено.

4452_22.07.2017_EXELAB.rU.tgz - clab1.exe



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 22 июля 2017 03:03 · Поправил: VOLKOFF
· Личное сообщение · #2

Сэкономьте людям немного времени --> Link <--



Можно сразу тащить картинку на страницу сайта.
Здесь ссылку вставляете в тег [img], который автоматом генерится кнопкой со скрина.

Это какой-то особый вид издевательства заливать картинки на форум... они ведь аттачатся в архивах

| Сообщение посчитали полезным: plutos, Gideon Vi


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 22 июля 2017 03:28
· Личное сообщение · #3

С такими вопросами в раздел "Вопросы новичков", а не сразу в "Основной форум"!

-----
Give me a HANDLE and I will move the Earth.


| Сообщение посчитали полезным: Gideon Vi


Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 22 июля 2017 05:55
· Личное сообщение · #4

залейте что ли исходный файл и результат.

| Сообщение посчитали полезным: plutos


Ранг: 213.0 (наставник), 4thx
Активность: 0.220
Статус: Участник
Тот ещё Lamer

Создано: 22 июля 2017 17:15
· Личное сообщение · #5

xverizex пишет:
выполнение останавливается на инструкции jmp 044b1e8. Так вот, я сдампил программу

так ты переход-то выполни

-----
Do Not Get Mad Get Money! ;)




Ранг: 5.4 (гость)
Активность: 0.020.04
Статус: Участник

Создано: 23 июля 2017 18:57
· Личное сообщение · #6

И что, всё получиться?




Ранг: 213.0 (наставник), 4thx
Активность: 0.220
Статус: Участник
Тот ещё Lamer

Создано: 23 июля 2017 20:55
· Личное сообщение · #7

xverizex
если проблема на данном этапе в распаковке, то стоять надо на oep. выполнение перехода приводит именно на неё. а вот уже стоя на ней, классические дамп + импорт.

-----
Do Not Get Mad Get Money! ;)




Ранг: 58.1 (постоянный), 42thx
Активность: 0.060.01
Статус: Участник

Создано: 24 июля 2017 01:54 · Поправил: hlmadip
· Личное сообщение · #8

А у UPX переход на OEP разве не jmp eax? - тупанул.
Кстати, imprec ругается на ошибочный дамп, может ты файл дампа неверный подсовываешь?
Файл дампа, нормально фиксится imprec, сравнивай.

548a_24.07.2017_EXELAB.rU.tgz - d.exe



Ранг: 5.4 (гость)
Активность: 0.020.04
Статус: Участник

Создано: 24 июля 2017 02:40
· Личное сообщение · #9

Вообще, не пойму, как смена eip может повлиять на дамб памяти, если она даже флагов не меняет. Вы бы прежде чем советы давать бесполезные, сами бы сначала проверили свои догадки, я выделил это слово потому, что вы видимо знаете легкую теорию, но на практике ноль.



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 24 июля 2017 06:44
· Личное сообщение · #10

"UPX -d" и не трехайте мозги никому. Даже если там скрембломорф какой-нибудь бг применял, то тоже восстановить и анпакнуть самим юрцом не проблема.

-----
TEST YOUR MIGHT


| Сообщение посчитали полезным: plutos

Ранг: 5.4 (гость)
Активность: 0.020.04
Статус: Участник

Создано: 24 июля 2017 23:34
· Личное сообщение · #11

hlmadip а какие ты rva и size выставил?



Ранг: 58.1 (постоянный), 42thx
Активность: 0.060.01
Статус: Участник

Создано: 25 июля 2017 09:40
· Личное сообщение · #12

Такие же, как у тебя на скрине. IAT AutoSearch сам определил.


 eXeL@B —› Вопросы новичков —› разбор крякми cracklab clab_1
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати