Ы

| Сообщение посчитали полезным:

Мда... там присудствует такая строчка shutdown -s -f -t 0 и WinExec... Слушай, скажи пожалуйста, что я тут делаю не так, а то у файла новая вкрсия вышла, а тебя дёргать каждый раз как-то не удобно...
Я делаю так:

1 В OllyDbg в command line ставлю hr esp-4 далее F9 и останавливаюсь на jmp;
2 Открываю Pe Editor и там нажимаю Full Dump;
3 Далее всё закрываю;
4 Открываю ImpREC 1.6 и там ставлю OEP = найденый адрес - ImageBase, RVA = IAT - ImageBase и size как я понял не важно.... далее fix dump

И в теории всё должно работать, но на практике не пашет...

| Сообщение посчитали полезным:

Я делаю немного по другому:

Everlust пишет:
1 В OllyDbg в command line ставлю hr esp-4 далее F9 и останавливаюсь на jmp;
После этого делаю 1 шаг по F7. Тогда оказываюсь тут:

004576E0 /. 55 push ebp


Everlust пишет:
2 Открываю Pe Editor и там нажимаю Full Dump;
Дамп снимаю прямо в Olly плагином OllyDump, предварительно сняв галку Rebuild Import


Everlust пишет:
3 Далее всё закрываю;
4 Открываю ImpREC 1.6 и там ставлю OEP = найденый адрес - ImageBase, RVA = IAT - ImageBase и size как я понял не важно.... далее fix dump

Всё делаю не закрывая Olly(прога в это время стоит на OEP).
Запускаю ImpRec, ввожу(чисто по превычке OEP, потому что в опциях ImpRec я отключил исправление EP. Это у меня делает OllyDump).

Импорт нахожу так: Листаю код немного ниже. Там будет вызов MessageBoxA. Навожу на него, LMB, Enter
Переходим на такой код:
00407404 $- FF25 60E94500 jmp dword ptr ds:[45E960] ; USER32.MessageBoxA
Смотрим в окне дампа адрес 45E960. Далее определяем начало IAT (я ленивый поэтому обычно ввожу адрес на 1000h меньше, просто на всякий случай), а size я наоборот ввожу побольше. В данной проге лучше ввести начало секции (это минимальный адрес показываемый Olly в окне дампа), т.е. 45E000 (т.е. RVA=5E000). Size я вводил 2000h. Нажимаю Get Imports, затем Show Invalid,затем RMB на выделенном и Delete Thunk(s). Потом fix dump

Вроде довольно подробно всё описал... OllyDump на всякий случай в аттаче...



9f87_12.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Ну еще на всякий случай восстановленный импорт

fff0_12.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Странно, но твой распакованный файл PeId в продвинутом моде, распознаёт как запакованный...

| Сообщение посчитали полезным:

навернон он ищет сигнатуры во всём файле, а ведь секция с распаковщиком остается... Или по имени этой секции.

Хотя у меня PEiD запакованный файл вообще не распознаёт =) , а распакованный - вроде дельфи...

| Сообщение посчитали полезным:

Это на 100% Делфи я там нашёл список объектов.

| Сообщение посчитали полезным:

Klajnor пишет:
а распакованный - вроде дельфи...

Everlust пишет:
Это на 100% Делфи
Просто я не дома был. По памяти всё говорил...

Кстати, моё описание распаковки помогло?

| Сообщение посчитали полезным:

Вообщем да, но вот ещё вопрос, как распаковать Dll?

| Сообщение посчитали полезным:

Everlust пишет:
как распаковать Dll?
Непомню... Не разу мне это не было нужно. Что-то рампаковывал,но по туториалу(тупому, т.е. сделать то, а потом сделать то...) поэтому уже на помню...
Выложи где-нибудь dll. Посмотрю, самому интересно

| Сообщение посчитали полезным:

Нашёл Dll с UPX. OEP находится легко(так-же, как и в случае Exe)? а вот как импорт востанавливать пока не понимаю

| Сообщение посчитали полезным:

Вот Dll, но с чего начинать ума не приложу...

501e_13.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Тут посложнее, чем UPX. Незнаю OEP это был или нет, но попробуй то, что в аттаче.
Хотя я сомневаюсь, что dll будет нормально работать

75be_13.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Это PECompact 2.x Вот здесь я писал как это дело снимать. Даже ImpREC юзать не надо
http://www.exelab.ru/art/?action=view&id=325

Правда руками пришлось искать релоки.

Вот распакованая.

026f_14.04.2006_CRACKLAB.rU.tgz - htopr_.rar

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: