Сейчас на форуме: tyns777, cppasm, dutyfree (+7 невидимых)

 eXeL@B —› Вопросы новичков —› распаковка в OllyDbg (проблема)
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 июля 2017 21:28
· Личное сообщение · #1

Приветствую всех!
Начал практиковаться в распаковке программ, но открывая в Ольке запакованный файл столкнулся с этим (см. скрин)

Первое что бросилось мне в глаза - символы со знаком вопроса правее столбца с адресом.
Оказывается что если кликать на строку (не важно в каком столбце) то выделяется та строка которая находится выше на десяток строк (так кликнув на адрес 401025 выделяется адрес 401013), а иногда выделяется сразу два стоящих выше адреса.
Также когда запакованная прога открывается, то остановка происходит не на точке входа, а в конце такого кода стоит команда POPAD и сразу JMP в самое начало (что вроде бы тоже не совсем типично)...
Заранее спасибо за ответ!)

bb7a_26.07.2017_EXELAB.rU.tgz - Olly.png

Добавлено спустя 6 минут
http://imgur.com/PbKEgaY Вот ссылочка на скрин)



Ранг: 10.2 (новичок), 7thx
Активность: 0.020
Статус: Участник

Создано: 26 июля 2017 21:59
· Личное сообщение · #2

Jerboa пишет:
Оказывается что если кликать на строку (не важно в каком столбце) то выделяется та строка которая находится выше на десяток строк (так кликнув на адрес 401025 выделяется адрес 401013), а иногда выделяется сразу два стоящих выше адреса.

http://blogs.kpi.kharkov.ua/v2/asm/wp-content/uploads/sites/20/2015/12/ida.final_.pdf на 3й странице описано.

Jerboa пишет:
остановка происходит не на точке входа, а в конце такого кода стоит команда POPAD и сразу JMP в самое начало

Да что угодно там может быть - на сколько фантазии хватит, главное чтобы работало. Это же не компилятор код генерирует, а, в лучшем случае, пакер/прот, если не вовсе руками.

PS: не ясно к чему второй вопрос, если известно что там пакер/прот...



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 июля 2017 22:13
· Личное сообщение · #3

gajemuxi, спасибо)
А про "схожесть" - я просто учился распаковке по урокам (тот же упаковщик и т.д.), а получившийся код немного разнился с примером...

Добавлено спустя 2 минуты
это еще при том что точка входа плавает (причем только в упакованном файле!))


 eXeL@B —› Вопросы новичков —› распаковка в OllyDbg (проблема)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати