Хотелось бы узнать кто и как распаковывает WinUpack v0.39.
Может есть какие-то методы (как например для UPX, ASPack).
Конкретно интересует нахождение OEP и восстановление импорта.
Для примера см аттач. (Программа типа "Hello world" на MASM).

15bb_30.04.2006_CRACKLAB.rU.tgz - test_upack.exe

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Бряк на System breakpoint в Olly, потом ставим бряк на Entry Point
отпускаем, как сработает идем и входим в первый call
00405110 FF16 CALL DWORD PTR DS:[ESI] ; test_upa.004050C3
как вошли скролим листинг вниз, там будет такой код
0040528B FFD1 CALL ECX
0040528D 93 XCHG EAX,EBX
0040528E AC LODS BYTE PTR DS:[ESI]
0040528F 84C0 TEST AL,AL
00405291 ^75 FB JNZ SHORT test_upa.0040528E
00405293 3806 CMP BYTE PTR DS:[ESI],AL
00405295 ^74 EA JE SHORT test_upa.00405281
00405297 8BC6 MOV EAX,ESI
00405299 79 05 JNS SHORT test_upa.004052A0
0040529B 46 INC ESI
0040529C 33C0 XOR EAX,EAX
0040529E 66:AD LODS WORD PTR DS:[ESI]
004052A0 50 PUSH EAX
004052A1 53 PUSH EBX
004052A2 FFD5 CALL EBP
004052A4 AB STOS DWORD PTR ES:[EDI]
004052A5 ^EB E7 JMP SHORT test_upa.0040528E
004052A7 C3 RETN ; <- переход на OEP

импорт восстанавливается тривиально

| Сообщение посчитали полезным:

Flint
Запускаю, падает в кернале из-за кривого РЕ, ставлю бряку на секцию памяти пакера, F9 и мы в коде самой программы, BP GetModuleHandleA -F9,
пррываемся в цикле, ставим бряк за циклом (RET), F8 и мы на ОЕП (в твойм случае 401000), дампим, востанавливаем импорт. Мы получили рабочий ЕХЕ, только здоровый больно, но времени чистить его нет.


Asterix опередил ;)

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

я вот так распаковываю по этой статье www.tuts4you.com/tutorials/Unpacking/path=WinUpack+0.xx+%28Unpacking%29/

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

еще добавлю что у меня ничего не падает в kernel'е, видимо потому что все экцепшины отключены

| Сообщение посчитали полезным:

nice пишет:
падает в кернале из-за кривого РЕ
Это как понимать?

| Сообщение посчитали полезным:

тема отправляется в форум Новичков

| Сообщение посчитали полезным:

Всем спасибо. Уразумел.
NullSession пишет:
Это как понимать?
А вот так - Bad or unknown format of 32-bit executable file 'C:\Documents and Settings\Flint\Рабочий стол\dump_.exe

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

У меня сборка от Shadow. Загружаю ехе-шник, Olly пару раз ругается, но в итоге остранавливается на EP. hr esp-4 и через несколько нажатий F9 оказываюсь на OEP

| Сообщение посчитали полезным:

Flint пишет:
Bad or unknown format of 32-bit executable file
Наконец-то я разобрался с этим сообщением. На самом деле олли не падает в ядре, а предусмотрительно останавливается. После этого можно прекрасно ставить бряки. Единственно - у меня олли не понимает, где команды и установка бряков мышой чуть сложнее, чем обычно. Через командную строку гораздо легче. ОЕР третьей командой в стек кладут, т.ч. можно не париться с просмотром. Самое интересное, что отладчик из Visual Studio работает без проблем, несмотря на загаженные заголовки.

| Сообщение посчитали полезным:

di-2 пишет:
я вот так распаковываю по этой статье www.tuts4you.com
Да все прекрасно для примеров. А вот на практике получилось, что программа распакованная qunpack, хоть и имеет кривой импорт, но работает. А программа распакованная по тутору нормально запускается, но работает не так, как нераспакованная. Короче, начинаю изучение WinUpack и его распаковки, чтобы понять где истина.

| Сообщение посчитали полезным:

tundra37 пишет:
программа распакованная по тутору нормально запускается, но работает не так, как нераспакованная
В проге(крякмис) распакованной по инструкции указатель стека выскакивает в неразрешенный адрес.
Правда алго там странный, но ведь при распаковке через qunpack все пашет ?!
Крякмис от agentru.
++++++++++++++++++++++
Одну бяку выяснил - если в upack выбрать опцию обрезать релоки, то PE-заголовок кладут по адресу 0х10 вперемешку с данными распаковщика и кусок распаковщика пихают аккурат по именам секций. В 0.399 - тоже самое.

| Сообщение посчитали полезным:

2 ALL, мне вирус прислали запакованный WinUpack v0.39, есть статический распаковщик или еще не написали?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

нед, vmware юзай

| Сообщение посчитали полезным:

Есть, ищи..

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Ссылка на статический унпакер была в Энциклопедии пакеров/протекторов - ищи в ней...

-----
Люблю повеселиться, особенно пожрать

| Сообщение посчитали полезным:

NEOPEX пишет:
Ссылка на статический унпакер была в Энциклопедии пакеров/протекторов
Тема сдохла и ни одной рабочей ссылки на энциклопедию

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
WinUpack Stripper v0.3x by LoveBoom[DFCG][FCG][CUG]
Поищи, вроде нормально распаковывает...

| Сообщение посчитали полезным:

WinUpack Stripper v0.3x.. при попытке распаковать выдает ошибку...


| Сообщение посчитали полезным:

попробуй winUpack от UsAr и тут посмотри:
tuts4you.com/search.php?q=WinUpack&r=0&s=Search&in=&ex=&ep=&be=&t=all&adv=0

| Сообщение посчитали полезным:

GoRo Ты откуда этот топик выкопал? тем более, что в нем есть решение ручной распаковки. было вот- ОЕР вначале как правило видно в регистре+при бряке на hr esp-4 остановка на нем. восстановление дампа как обычно.

| Сообщение посчитали полезным:

Статический распаковщик для WinUpack 3.9

deupack.0.3.rar
deupack.0.2.rar

-----
EnJoy!

| Сообщение посчитали полезным: