Распаковка Аспра

Сейчас на форуме: Lohmaty, tyns777, cppasm (+7 невидимых)

Посл.ответ	Сообщение
RoKZaR Ранг: 14.3 (новичок), 5thx Активность: 0.07↘0 Статус: Участник	Создано: 19 марта 2018 20:21 · Личное сообщение · #1 Всем привет. Прошу помощи в распаковке аспра 2.хх. Интересует именно руками. Что было проделано: 1.С помощью метода последнего исключение был найден OEP. Выглядит следующим образом: Code: 00401000 \| EB 10 \| jmp hexcmp.401012 \| 00401002 \| 66 62 3A \| bound di,dword ptr ds:[edx] \| 00401005 \| 43 \| inc ebx \| 00401006 \| 2B 2B \| sub ebp,dword ptr ds:[ebx] \| 00401008 \| 48 \| dec eax \| eax:EntryPoint 00401009 \| 4F \| dec edi \| 0040100A \| 4F \| dec edi \| 0040100B \| 4B \| dec ebx \| 0040100C \| 90 \| nop \| 0040100D \| E9 84 D4 4B 00 \| jmp 8BE496 \| Возник вопрос: Здесь присутствуют краденные байты? Была попытка восстановить iat но не очень успешно. Адресы в которых какой то мусор тип Code: 026E13F4 \| 55 \| push ebp \| 026E13F5 \| 8B EC \| mov ebp,esp \| 026E13F7 \| 5D \| pop ebp \| 026E13F8 \| C2 04 00 \| ret 4 \| Подскажите в каком направлении двигаться?

Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 20 марта 2018 03:57 · Личное сообщение · #2 https://exelab.ru/rar/ - поиск по PE_Kill и vnekrilov https://exelab.ru/f/action=vthread&forum=13&topic=11596
RoKZaR Ранг: 14.3 (новичок), 5thx Активность: 0.07↘0 Статус: Участник	Создано: 20 марта 2018 12:28 · Личное сообщение · #3 Спасибо огромное! Буду изучать. Всего доброго. Тему можно крыть.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 20 марта 2018 12:46 · Личное сообщение · #4 Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".

Для печати