 |
eXeL@B —› Вопросы новичков —› Распаковать FSG 1.33 |
| Посл.ответ | Сообщение |
|
|
Создано: 18 февраля 2006 16:13 · Поправил: Sturgeon · Личное сообщение · #1 Добрый день всем! Подскажите пожалуйста по распаковке FSG 1.33. Ковырялся в сети, нашел мануалы только по версиям 1.2 и 2.0. Пытался распаковать по аналогии с ними, но там ни хрена нету аналогии  .
FSG 1.33 замечательно распаковывает PeId с помощью плагина, но очень хочется научиться ручками. Может кто-нибудь даст ссылочка или поможет разобраться? Заранее спасибо! Вот крякми, запакованный FSG1.33 (14 кб)  |
|
|
Создано: 18 февраля 2006 23:13 · Поправил: NEOPEX · Личное сообщение · #2 Вобщем напишу кратко - если что не ясно - спросишь Открываем крякми в Оле, вибираем в контекстном меню Search for -> Binary String и вводим бинарную строку FE 0E 0F 84, ищем и попадаем на строчки 0040F79C FE0E DEC BYTE PTR DS:[ESI] <- Мы здесь
<- Переход на OEP
Это кусок цикла, преобразовывающего таблицу импорта и как только будет преобразована последняя функция джамп сработает, так что ставим на него бряк и жмем F9 пока нам не напишут внизу (под окном кода) "Jump is taken" - тогда нажимаем F8 и мы на OEP (в данном случае это 4F00). Ну вот и почти всё - дампим (OllyDump'ом, ещё чем-нибудь - тут дело вкуса), восстанавливаем импорт - тут безо всяких проблем и готово - всё работает! ----- Люблю повеселиться, особенно пожрать |
|
|
Создано: 19 февраля 2006 19:34 · Поправил: Sturgeon · Личное сообщение · #3 Блин У меня как всегда
Так... Прыгнули мы на ОЕР(00404F00). Ставим бряк и отпускаем прогу по Ф9 (как в UPX  ). Снимаем дамп (PETools), восстанавливаем импорт и... не работает (файл не является приложением Вин32)
Скорее всего у меня какие-то заморочки со снятием дампа. Пожалуйста, расскажи поподробнее как его снять с FSG |
|
|
Создано: 19 февраля 2006 20:16 · Личное сообщение · #4 снимай дамп прям в олли =) она может... вот плагин...  7dd2_OllyDump.dll.zip
----- [nice coder and reverser] |
|
|
Создано: 19 февраля 2006 20:39 · Личное сообщение · #5 Спасибо. У меня он есть. Его я тоже пробовал. Не получается
|
|
|
Создано: 19 февраля 2006 20:52 · Личное сообщение · #6 после снятия дампа, но до прикручивания импорта иконка у файла есть? а после прикручивания импорта? ----- [nice coder and reverser] |
|
|
Создано: 19 февраля 2006 21:08 · Личное сообщение · #7 Есть. А я бряк правильно ставлю не ОЕР или он не нужен? И прогу запускать надо или достаточно просто встать на ОЕР и запустить плагин? |
|
|
Создано: 19 февраля 2006 23:03 · Поправил: NEOPEX · Личное сообщение · #8 Sturgeon пишет: Прыгнули мы на ОЕР(00404F00). Ставим бряк и отпускаем прогу по Ф9 (как в UPX )
OEP для того и ищется чтобы дампить прогу на нем! (т.к. на то это и Original EP что прога на нем находится в исходном состоянии) поэтому как только ты прыгнул с помощью F8 на OEP просто дампи - это и будет рабочий дамп ----- Люблю повеселиться, особенно пожрать |
|
|
Создано: 19 февраля 2006 23:45 · Поправил: Hellspawn · Личное сообщение · #9 странно почему у тя не получается.... =\ пакер ведь простой там всё элементарно... а что то другое же получалось распаковать? млин я кажись понял.... гыыыыы.... короче когда ты ставишь бряк на OEP:
и дампишь пе тулзом... получается прикольно... во первых в exe файле надо будет поправить EP чтобы программа начиналсь с 004543CC адресса (00404F00 - для твоего)... а во вторых.. так как ты ставишь бряк на 00404F00 то первый байт в программе будет CC а должен быть 55 вот такая арифметика..... бряку не обязательно ставить, просто находясь в олли на OEP дампи... и всё будет ок! ----- [nice coder and reverser] |
|
|
Создано: 21 февраля 2006 22:31 · Личное сообщение · #10 Я только пришел с работы и сразу сюда к вам 
Да, все праблы были в дампе. Попробовал разные дамперы, получилось почемуто только ProcDampом. Ну а дальше все как по писанному. Так что беда в кривых моих ручках. Я все понял. Спасибо всем, кто тратил свое драгоценное время, отвечая на вопросы и помогая такому остолопу как я. |
|
|
Создано: 21 февраля 2006 23:31 · Личное сообщение · #11 Sturgeon пишет: получилось почемуто только ProcDampом странно... помоему он самый глючный +) я пользуюсь только плагином к олли OllyDump... нареканий вроде небыло... а если дампишь LordPE или PETools, там их вроде не много настроить надо... чтобы всё ок было... ----- [nice coder and reverser] |
|
|
Создано: 30 июня 2016 11:33 · Личное сообщение · #12 Добрый день, такая же проблема, с тем же крякми, пробовал и через procDump как указывает топик стартер что у него всё получилось, не прошло, также пробовал через OllyDump, PETools, Scylla, не один инструмент не помог, OEP 00404F00 именно на нём OllyDbg и стоит(команда не выполнена). Подскажите почему так, если делать дамп через ImportRec то пишет что Code:
если через Scylla Code:
Прикрепил в архиве то что получилось 57a6_30.06.2016_EXELAB.rU.tgz - crm.rar
|
|
|
Создано: 01 июля 2016 03:20 · Поправил: script_kidis · Личное сообщение · #13  не знаю как вы но я без распаковки его вскрыл,а так да до первичного состояния он у меня не распаковывается,хотя квик ан пак,вм-анпак,RL!deFSG 1.x его распаковывают хоть и не до конца,задание взломать как хочешь,вот я и решил ничего там не распаковывать. -круто 10 лет прошло) а тема еще актуальна) |
|
|
Создано: 01 июля 2016 05:34 · Личное сообщение · #14 |
|
|
Создано: 02 июля 2016 15:15 · Поправил: Winexcel · Личное сообщение · #15 TryAga1n пишет: А в чем собственно проблема? Win7x64+PE_Tools+ImpRec В том то и проблема что имея вышеперечисленное толку нет(другие упаковщики типо UPX, ASPack, и несколько крипторов снимал, тобишь опыт у меня есть, и я понимаю что я делаю.) Прикрепил в архиве файл, скажите пожалуйста кто знает, почему дамп неправильный, стало очень интересно, действительно, почему так. Пробовал около 50 раз сдампить различными инструментами. |
|
|
Создано: 04 июля 2016 02:19 · Личное сообщение · #16 Winexcel пишет: скажите пожалуйста кто знает, почему дамп неправильный 
| Сообщение посчитали полезным: Winexcel |
|
eXeL@B —› Вопросы новичков —› Распаковать FSG 1.33 |
Для печати