Сейчас на форуме: bartolomeo (+3 невидимых)

 eXeL@B —› Вопросы новичков —› pe compact 2.x
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 марта 2006 20:36
· Личное сообщение · #1

Подскажите как распаковать pe compact 2.x
статьи описывают распаковку только версий 1,6 и 1,8
приемы , описанные в статьях здесь не проходят.

qunpack Quick Unpack v0.7 oep находит , но отказывается восстанавливать
таблицу импорта , говорит что зашифрована.


f9e2_pengu.bmp.zip




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 20 марта 2006 08:30
· Личное сообщение · #2

Я же сказал - прочитай пару туторов и все вопросы отпадут...

-----
Yann Tiersen best and do not fuck

Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 20 марта 2006 09:29
· Личное сообщение · #3

Что ж будем читать .............



Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

 Создано: 20 марта 2006 21:58 · Поправил: cadet
· Личное сообщение · #4

sailor

Кстати у меня скрипт отработал, только когда я удалил строчку "sti // Выполняем ее", в цикле поиска значения 030С468B

Да, не забудь про защиту о которой упомянул PE Kill



Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 марта 2006 18:39
· Личное сообщение · #5

в дампе подправляю OEP , iat rva , добавляю к характеристике секции text Writeble
ничего не выходит в чем ошибка?



Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

 Создано: 21 марта 2006 18:54 · Поправил: cadet
· Личное сообщение · #6

Дампил олей и ненадо править оер, иат только секцию поправить и все. В дампе защиту убрал? иначе не запустится.



Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 22 марта 2006 10:51
· Личное сообщение · #7

cadet пишет:
В дампе защиту убрал? иначе не запустится.


что то я не найду о какой защите PE_KILL упоминал




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 22 марта 2006 11:20
· Личное сообщение · #8

PE_Kill пишет:
А в этой проге меня умилило вот это:

005793E8 MOV EAX,DWORD PTR DS:[594BBC]
005793ED PUSH EAX ; /ProcNameOrOrdinal => "PEC2_IsPacked"
005793EE PUSH -1 ; |hModule = FFFFFFFF
005793F0 CALL <JMP.&kernel32.GetProcAddress> ; \GetProcAddress
005793F5 TEST EAX,EAX
005793F7 SETNE AL
005793FA RETN

Проверка на распакованость!

-----
Yann Tiersen best and do not fuck

Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 22 марта 2006 20:55
· Личное сообщение · #9

sailor пишет:
что то я не найду о какой защите PE_KILL упоминал
так я понял не запустится дамп . а не под отладчиком
(кстати даже после снятия защиты у меня запускается через раз)

сейчас делаю -
в дампе подправляю iat rva , добавляю к характеристике секции text Writeble
pe tools галку снял paste header from disk
при запуске - ошибка инициализации



Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

 Создано: 22 марта 2006 21:55
· Личное сообщение · #10

sailor

Где-то что-то делаешь не так или оля глючит(попробуй установи чистую). Или в автомате попробуй :скрипт, дамп олей, правка секции, убирание защиты.
проверь у меня вот такие значения получились:
ep-001903e0
iat-0019b000



Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 22 марта 2006 23:20
· Личное сообщение · #11

Разобрался наконец то
Все таки мануалы - великая вещь!

Спасибо всем , особенно PE_Kill за терпение!!!




<< . 1 . 2 .
 eXeL@B —› Вопросы новичков —› pe compact 2.x
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати