| Сейчас на форуме: bartolomeo (+3 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Upx блин.. NeatImage'вский.. патченный.. |
| Посл.ответ | Сообщение |
|
|
Создано: 13 марта 2006 01:06 · Личное сообщение · #1 Скачал из сети NeatImage, не ломанный. Гружу в olly... смотрю, все на месте.. по коду вроде пакер UPX.. В нех редакторе названия секций изменены.. UPX0, UPX1 на rr01, rr02 и дальше.. Раньше, я не распаковывал, но уж время появилось - захотелось поковыряться.. а то достало.. Изучил статьи - проштудировал PE заголовок, почитал про восстановление импорта, насколько смог - понял 
Гружу в olly. Дохожу до OEP равной 401000. в LordPE правый клик -> Full Dump. options: [x]Section Table: autofix size of image [x] Full Dump: paste header from disk [x] Full Dump: rebuld image [x] Dumpfix [x] Wipe reloactions [x] Rebuild ImportTable [x] Validate PE Полученный файл не запускается.. хотя, в туториалах написано, что по идее должен.. Ну думаю, фиг.. доведу до конца, таблицу импорта надо вставить. ImpRec... выбираю задачу.. OEP = 1000 RVA = 400000 Че писать в size нигде не описано.. в туториалах есть указание жать на IAT Autosearch, и типа все должно оказаться в шоколаде. Че-то находится.. но не то.. какой-то огрызок от kernel32.dll.. Если сайз сделать примерно в 10000 то находится побольше.. и даже похоже на то, что надо.. В общем, кнопка автосерч.. находит вроде бы импорты в RVA=1a3000 c size=b7000 Секции neatimage.exe выглядят так Name: rr01 VirtualSize: 0x001A2000 VirtualAddress: 0x00001000 SizeOfRawData: 0x00000000 PointerToRawData: 0x00000400 PointerToRelocations: 0x00000000 PointerToLinenumbers: 0x00000000 NumberOfRelocations: 0x0000 NumberOfLinenumbers: 0x0000 Characteristics: 0xE0000080 (UNINITIALIZED_DATA, EXECUTE, READ, WRITE) 2. item: Name: rr02 VirtualSize: 0x000B7000 VirtualAddress: 0x001A3000 SizeOfRawData: 0x000B6400 PointerToRawData: 0x00000400 PointerToRelocations: 0x00000000 PointerToLinenumbers: 0x00000000 NumberOfRelocations: 0x0000 NumberOfLinenumbers: 0x0000 Characteristics: 0xE0000040 (INITIALIZED_DATA, EXECUTE, READ, WRITE) В общем, предлагает imprec другие значения, их вставляет на места, жмыканье в GetImport отдает только фтунки 78 функций kernel32.dll, больше ничего,ни user32.. нихрена.. Понятное дело FixDump ни к чему не приводит. Дамп не заводится... Я точно знаю, что это UPX версии 1.24w. потому что он после манипуляций с upx им распаковывается нормально.
Но я хочу распаковать в ручную. Что я сделал не так ? или что не сделал вообще ? пысы: NeatImageSetup здесь: db.inform.az/soft/neatsetup5_2.exe  |
|
|
Создано: 13 марта 2006 08:43 · Личное сообщение · #2 -Xlat- Скорми импреку файл из аттача (это импорт). А вообще OEP: 00001000 IATRVA: 001CA310 IATSize: 00000C50  fc94_tree.txt.zip
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 13 марта 2006 08:46 · Личное сообщение · #3 -Xlat- пишет: Че писать в size нигде не описано.. в туториалах есть указание жать на IAT Autosearch, и типа все должно оказаться в шоколаде. Пост длинный ниасилил. В Size выстави размер побольше, например 1000, будет тебе счастье. |
|
|
Создано: 13 марта 2006 08:47 · Личное сообщение · #4 -Xlat-, а это мои настройки LordPE 6ea5_LordPE_opt.PNG.zip
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 13 марта 2006 09:41 · Личное сообщение · #5 Для дампа OllyDump - оптимальный вариант. Делал косячный дамп на поей памяти всего пару раз. |
|
|
Создано: 13 марта 2006 10:34 · Личное сообщение · #6 Странно, у меня процентов 70 дампов от OllyDump косячат. Wrong version? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 марта 2006 10:44 · Личное сообщение · #7 PE_Kill пишет: Странно, у меня процентов 70 дампов от OllyDump косячат. Wrong version? хм.... не разу не косячил, правда я щас его обновил, 3.00.110 - пока не дампил ничего... может эта версия будет подглючивать.. хз.. ----- [nice coder and reverser] |
|
|
Создано: 13 марта 2006 10:54 · Личное сообщение · #8 ValdiS пишет: а это мои настройки LordPE Читать PETools Очепятка...
PE_Kill пишет: Странно, у меня процентов 70 дампов от OllyDump косячат Тоже пробовал, ерунда получается. Поэтому пользуюсь лордом да петулзом... Hellspawn пишет: правда я щас его обновил, 3.00.110 Ссылкой поделись. ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 13 марта 2006 12:50 · Личное сообщение · #9 ValdiS пишет: Странно, у меня процентов 70 дампов от OllyDump косячат Тоже пробовал, ерунда получается. Поэтому пользуюсь лордом да петулзом... Пример проги в студию... |
|
|
Создано: 13 марта 2006 13:48 · Личное сообщение · #10 Ara Давно это было... Сейчас эти программы не найду, лежат где-то. Посмотрю. "Если с первого раза не получилось - значит парашютный спорт не для вас". Поэтому и пользуюсь лордом да петулзом... ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 13 марта 2006 18:29 · Поправил: Hellspawn · Личное сообщение · #11 ValdiS пишет: Ссылкой поделись. да без проблем
76f3_ollydump300110.zip.zip
----- [nice coder and reverser] |
|
|
Создано: 13 марта 2006 18:30 · Личное сообщение · #12 и вот ешё один дампер, вроде тоже версия последняя... 0c43_ollydbgpedumpur3.3.rar.zip
----- [nice coder and reverser] |
|
|
Создано: 13 марта 2006 18:39 · Личное сообщение · #13 Hellspawn Спасибо, в хозяйстве пригодится...
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 13 марта 2006 18:56 · Личное сообщение · #14 Hellspawn, за дамперы спасибо |
|
|
Создано: 13 марта 2006 21:57 · Личное сообщение · #15 ValdiS пишет: Скорми импреку файл из аттача (это импорт). А вообще OEP: 00001000 IATRVA: 001CA310 IATSize: 00000C50 Как ты получил эти числа ? Скармливать ничего не буду.. Хочется понять, а не решить.. (в конце концов то я ее решил.. upx-ом) Кстати, dump. пофиксился.. И завелся.. сильно не проверял, но вроде рабатает. |
|
|
Создано: 13 марта 2006 22:11 · Личное сообщение · #16 Ага написал: Пост длинный ниасилил. В Size выстави размер побольше, например 1000, будет тебе счастье. Почему 1000 ? Хочу понять есть какая нить математика, потому что пробовал.. 1000 - да находит.. и с 1500 находит, список такой-же, что и при 1000, и при 1700. По логике, вроде понятно, что импорты закончились, раз не меняются. Но а если поставить 10000, то находится много, которые valid: No имеют.. В общем, непонятно. И еще в оригинале дофига секций, rdata, idata, tls.. В распакованном их нет. Есть шансы, их восстановить или нет ? |
|
|
Создано: 13 марта 2006 22:47 · Поправил: cadet · Личное сообщение · #17 -Xlat- размер таблицы IAT больше 1000. Большая редкость..... кстати плагин 0c43_ollydbgpedumpur3.3.rar.zip на этой проге глючит что-то |
|
|
Создано: 14 марта 2006 09:39 · Личное сообщение · #18 -Xlat- 1. Доходишь до перехода на ОЕР: 006592FB .^\EB D8 JMP SHORT NeatImag.006592D5
- переход на ОЕР
Снимаешь дамп в этом месте. 2. В Olly, стоя по адресу 00659304, нажимаешь Enter. Видишь: 00401000 /EB 10 JMP SHORT NeatImag.00401012
... Мышкой переходишь по адресу 00401022, нажимаешь Enter. Видишь: ...
3. Мышкой переходишь по адресу 005836E0, нажимаешь ПКМ->Follow in Dump->Memory Address, видишь в окне дампа: ... 005CA3C4 29 B5 80 7C 2A E8 81 7C 28 AC 80 7C 49 AA 80 7C )µЂ|*иЃ|(¬Ђ|IЄЂ|
... Это и есть IAT. 4. Скролом в окне дампа полистай вверх до адреса 005CA110 и вниз до адреса 005CAF5C. Это и будут границы IAT. 5. Т.о. OEP: 00001000 IATRVA: 001CA110 IATSize: 00000E50 Потом GetImports, Fix Dump. Вроде все. Дамп должен работать...
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 14 марта 2006 20:38 · Личное сообщение · #19 cadet пишет: кстати плагин 0c43_ollydbgpedumpur3.3.rar.zip на этой проге глючит что-то возможно, потому что он не делает фикс дампу?
----- [nice coder and reverser] |
|
eXeL@B —› Вопросы новичков —› Upx блин.. NeatImage'вский.. патченный.. |
Для печати
