| Сейчас на форуме: bartolomeo (+3 невидимых) |
 |
eXeL@B —› Вопросы новичков —› pe compact 2.x |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 марта 2006 20:36 · Личное сообщение · #1 Подскажите как распаковать pe compact 2.x статьи описывают распаковку только версий 1,6 и 1,8 приемы , описанные в статьях здесь не проходят. qunpack Quick Unpack v0.7 oep находит , но отказывается восстанавливать таблицу импорта , говорит что зашифрована.  f9e2_pengu.bmp.zip
 |
|
|
Создано: 13 марта 2006 20:48 · Личное сообщение · #2 Ухх. А я только удалил статью про него. Вот в аттаче статья, если поможет-скажи, попросим автора выложить еще раз. e865_%CF%E8%F1%FC%EC%EE.txt.zip
|
|
|
Создано: 14 марта 2006 15:17 · Личное сообщение · #3 Метод , указанный в статье не работает Сначала все идет гладко - ставлю бряк на JMP EAX ( после этого у меня идут не нули ) 00616F12 FFE0 JMP EAX - здесь ставлю бряк 00616F14 0000 ADD BYTE PTR DS:[EAX],AL 00616F16 0000 ADD BYTE PTR DS:[EAX],AL 00616F18 48 DEC EAX 00616F19 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command 00616F1A 61 POPAD 00616F1B 00DC ADD AH,BL 00616F1D 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command 00616F1E 61 POPAD 00616F1F 0030 ADD BYTE PTR DS:[EAX],DH 00616F21 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command 00616F22 61 POPAD 00616F23 00346F ADD BYTE PTR DS:[EDI+EBP*2],DH 00616F26 61 POPAD 00616F27 0000 ADD BYTE PTR DS:[EAX],AL 00616F29 0000 ADD BYTE PTR DS:[EAX],AL ....... далее нули Перезапускаю . после четвертого Shift+F9 - terminated на бряк не могу выйти. |
|
|
Создано: 14 марта 2006 15:24 · Личное сообщение · #4 sailor Потому что статья по принципу нажми тут 3 раза да там 4... Не объясняет принципов. Ara не зря ее удалил. ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 14 марта 2006 15:28 · Личное сообщение · #5 Дай линк или приаттач. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 14 марта 2006 19:12 · Личное сообщение · #6 www.mars-soft.net/files/MarsWinCleaner18.exe |
|
|
Создано: 14 марта 2006 21:23 · Поправил: Hellspawn · Личное сообщение · #7 посмотрел я файлик  млин так всё так интересно...
похоже зня ты его взял  не потянешь...
пара SEH:
ну и ещё типо того... + детект дебуга
и после того как я добрался до ОЕП и сдампил, прога вообще под олли не запускается... ошибка вылетает... странно это всё... уже 2 раза перезагружался... Win 98  может в нём дело....
а импорт в PECompact 2.x восстанавливается не сложно, там пропатчить надо 1 цикл  и тогда всё импрек прикрутит....
----- [nice coder and reverser] |
|
|
Создано: 15 марта 2006 06:08 · Личное сообщение · #8 Hellspawn пишет: и тогда всё импрек прикрутит.... Блин, да там вообще достаточно пропатчить две комагды и дампить на диск, и нафиг импрек не нужен. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 15 марта 2006 12:04 · Личное сообщение · #9 Hellspawn пишет: и после того как я добрался до ОЕП и сдампил, прога вообще под олли не запускается... ошибка ылетает... странно это всё... уже 2 раза перезагружался... Win 98 может в нём дело.... Может потому, что часть импорта и функций импрек распаковал в выделенной памяти. PE_Kill пишет: Блин, да там вообще достаточно пропатчить две комагды и дампить на диск, и нафиг импрек не нужен. Даже при такой защите импорта? ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 15 марта 2006 13:25 · Личное сообщение · #10 Мега LOL! Я написал мини тутор про распаковку PECompact без использования ImpREC, но я писал про версии, которые не эмулят импорт, и добавил к статье скрипт. Сейчас качнул эту программу и скрипт ее распаковал! ImpREC я НЕ ИСПОЛЬЗОВАЛ! Только надо после распаковки у секции к характеристикам добавить Writeble. А в этой проге меня умилило вот это: 005793E8 MOV EAX,DWORD PTR DS:[594BBC] 005793ED PUSH EAX ; /ProcNameOrOrdinal => "PEC2_IsPacked" 005793EE PUSH -1 ; |hModule = FFFFFFFF 005793F0 CALL <JMP.&kernel32.GetProcAddress> ; \GetProcAddress 005793F5 TEST EAX,EAX 005793F7 SETNE AL 005793FA RETN Проверка на распакованость! А тутор ждет одобрения модератора. Если кому не терпится, то вот word версия. a1ae_%D0%E0%F1%EF%E0%EA%EE%E2%EA%E0+PECompact+2.xx+%E1% E5%E7+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED%E8%FF+ImpREC.doc.zip
----- Yann Tiersen best and do not fuck |
|
|
Создано: 15 марта 2006 13:26 · Личное сообщение · #11 |
|
|
Создано: 15 марта 2006 14:13 · Личное сообщение · #12 PE_Kill Дельно написано и скрипт рулит. Проверил на калькуле, запаковав версией 2.78. 
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 15 марта 2006 15:48 · Поправил: Hellspawn · Личное сообщение · #13 PE_Kill норм статья... кстати, что то я про импрек зря сказал, щас попробывал без него, всё ок... тока я импорт по другому патчил, чуть раньше кажется, но итог тотже вроде
ValdiS пишет: Может потому, что часть импорта и функций импрек распаковал в выделенной памяти. так не запускается оригинальный файл
----- [nice coder and reverser] |
|
|
Создано: 15 марта 2006 16:30 · Личное сообщение · #14 Скрипт не работает , зацикливается на 00c21b9a ADD EAX,DWORD PTR DS:[EAX+3C] Прохожу вручную - бряк на HR ESP-4 не выводит на OEP 
|
|
|
Создано: 15 марта 2006 18:14 · Личное сообщение · #15 PE_Kill пишет: А тутор ждет одобрения модератора. Добавлен. |
|
|
Создано: 16 марта 2006 10:39 · Личное сообщение · #16 sailor ты скорее всего на исключении жмешь F9, и пакер не получает управления. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 16 марта 2006 15:04 · Личное сообщение · #17 Значит так ......... запоминаю что было в стеке ( то же самое что в титоре) HR ESP-4 f9 f9 - ошибка, при попытке записи по адресу 00000000 shift f9 - стек не тот , f9- не тот , f9 - тот же стек за исключением 0022FFBC 0022FFE0 Pointer to next SEH record 0022FFC0 00616E50 SE handler далее стек тот же код - 00616E73 B8 475CA5FE MOV EAX,FEA55C47 если прокрутить код немного ниже то вот он - jmp eax пытаюсь дойти до него пошагово f8 но на одном из call ухожу в цикл и вырваться из него уже не в силах....... цикл здесь - 00C21B9A 0340 3C ADD EAX,DWORD PTR DS:[EAX+3C] p.s. - проверил скрипт на pec2gui.exe (pe compact - PECompact 2.64 ) OEP - находит но дамп запускается с ошибкой. |
|
|
Создано: 16 марта 2006 15:13 · Личное сообщение · #18 [[i]Hellspawn пишет: и после того как я добрался до ОЕП и сдампил, прога вообще под олли не запускается опиши как сдампил плиз |
|
|
Создано: 16 марта 2006 15:20 · Поправил: ValdiS · Личное сообщение · #19 sailor 00616F10 5B POP EBX
В настройках Olly сбрось все флажки с эксепшинов, кроме самого верхнего (в kernel32). если срабатывает просто бряк, проходишь по F9. Если эксепшин, то по shift + F9. У меня: ер -> F9 -> F9 ->shift + F9-> F9-> F9-> F9-> jmp oep Пробуй... ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 16 марта 2006 16:07 · Личное сообщение · #20 sailor пишет: находит но дамп запускается с ошибкой. Дык я же сказал, что к характеристке первой секции надо добавить Writeble. Упаковщик соединяет все секции в одну, включяя .data, а программам туда надо писать. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 марта 2006 11:58 · Личное сообщение · #21 ValdiS пишет: В настройках Olly сбрось все флажки с эксепшинов, кроме самого верхнего (в kernel32). флажки снял - не помогло все так же как я описывал |
|
|
Создано: 17 марта 2006 12:00 · Личное сообщение · #22 PE_Kill пишет: Дык я же сказал, что к характеристке первой секции надо добавить Writeble. Упаковщик соединяет все секции в одну, включяя .data, а программам туда надо писать. добавляи - и ничего в титоре пишешь- Validate PE - это я не понял что Rebuild PE - делаю |
|
|
Создано: 17 марта 2006 14:07 · Личное сообщение · #23 Выложи куда нибудь дамп, посмотрю. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 18 марта 2006 09:45 · Поправил: sailor · Личное сообщение · #24 PE_Kill пишет: Выложи куда нибудь дамп, посмотрю. дамп от pec2gui.exe |
|
|
Создано: 18 марта 2006 09:51 · Личное сообщение · #25 |
|
|
Создано: 18 марта 2006 09:52 · Личное сообщение · #26 дополнение к процессу поиска OEP меня гоняет по циклу - 00C21B9A 0340 3C ADD EAX,DWORD PTR DS:[EAX+3C] shift f9 7C90EAF0 8B1C24 MOV EBX,DWORD PTR SS:[ESP] shift f9 00C21B9A 0340 3C ADD EAX,DWORD PTR DS:[EAX+3C] shift f9 и т.д. 00616EEE FFD7 CALL EDI - этот call вгоняет меня в цикл p.s. пробовал в другой оси и в виртуальной машине под xp - там то же самое даже заново скачал этот марс , думал может они чего там подправили (качал месяца два назад) но новый тоже капризничает , но почему то бряк срабатывает раньше если я дамп сниму qunpack - ом , и восстановлю таблицу импорта будет работать? |
|
|
Создано: 18 марта 2006 10:53 · Личное сообщение · #27 IDA - debuger WinCleaner.exe: The instruction at 0xC21B9A[/u] referenced memory at 0x4000003C. The memory could not be read (0x00C21B9A -> 4000003C) WinCleaner.exe: The instruction at 0xC21B9A[u] referenced memory at 0x4000003C. The memory could not be read (0x00C21B9A -> 4000003C) Debugger: Process terminated (exit code = C0000005h). Debugger is disabled. CODE:00401027: Can't find name (hint: use manual arg) |
|
|
Создано: 18 марта 2006 12:30 · Личное сообщение · #28 Не знаю от какой у тебя версии... А почему у тебя на OEP INT3 стоит? И ты думаешь после этого будет работать? Почитай немного мануалов по распаковке, на этом сайте их много. Что нибудь типа "Распаковка, это легко!", в общем в таком духе, а потом берись за PECompact, тем более я смотрю он начинает в разряд протов переползать
----- Yann Tiersen best and do not fuck |
|
|
Создано: 19 марта 2006 10:39 · Поправил: sailor · Личное сообщение · #29 PE_Kill пишет: А почему у тебя на OEP INT3 стоит? ты это про приаттаченный дамп? в нем oep - 00332c34 image base - 00400000 oep - image base = фигня какая то получается вписывал oep 00002c34 если я дамп сниму qunpack - ом с MARSA, и восстановлю таблицу импорта будет работать? |
|
|
Создано: 19 марта 2006 12:50 · Поправил: sailor · Личное сообщение · #30 PE_Kill что мне с дампом приаттаченным сделать? скрипт выдал - oep - 2c34 iat start - a0ec |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› pe compact 2.x |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати
