Приветсвую всех!

Суть проблемы: скачал прожку, прога занимается конвертированием wmv файлов в другие форматы. ПеИд говорит что это MS VC++ 6.0. При осмотре, оказывается что прога чем то запакована. Имена секций - 1,2,3,4,5...... Ресурсы как это и неудивительно, не пакуются...... Хотя это пакер.

ОЕП тоже находится без проблем, по hr ep-4. Дамп. А вот с импортом небольшие проблемы. Импорт находится (правда Size увеличить пришлось) но вот у этой прожки есть импортированные функции из некой библиотеки, так вот, при запуске поправленного дампа, винда говорит что не может найти эту библу.......

Кому интересно - посмотрите, поделитесь советами по распаковке.... Буду благодарен

P.S. советов по взлому не нужно

P.P.S. Ах, да, чуть не забыл http://www.aone-video.com/ultra_wmvconverter.exe http://www.aone-video.com/ultra_wmvconverter.exe прямая ссылка на прогу, вес - ~ 5mb

| Сообщение посчитали полезным:

не качая могу сказать, что это MoleBox Pro
поищи по форуму, это обсуждалось уже....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Огромное спасибо. Теперь знаю куда копать.

| Сообщение посчитали полезным:

Хмм...... русских туторов не нашёл..... был какой то английский......

Так вот..... Там говорится о том что мы ставим бряк на CreateFileA и смотрим, когда этот вызов будет связан с нашей библиотекой.... А потом, нужно посмотреть путь где лежит эта библа (а лежит она в папке темп), переименовать её и дальше уже шаманить с ней.

Вот только эта библиотека, которая лежит в папке темп, занимает всего 1.50 кб, и шаманить с ней никак не получится, так как у неё только одна секция заполнена - _BOX_. Остальные - fake, только имена секций......

Может кто нибудь чего посоветовать? Может туториал русский.....

| Сообщение посчитали полезным:

Народ, ну пожалуйста, кто знает, дайте ссылки на хоть какую нибудь информацию (на русском) по распаковке этого пакера. Очень нужно.

Спасибо.

| Сообщение посчитали полезным:

NUCLEuS пишет:
Может туториал русский.....
Тема была на форуме совсем недавно и там по русски все расказано.

| Сообщение посчитали полезным:

Решил сделать чуть по другому. Быть может это и не правильно.... Хотя....

Короче... Я не распаковываю программу, я перехожу на то место где она уже распакована.... ставлю брейк и отлавливаю процедуру регистрации.... Вообщем я её нашёл, теперь осталось сделать инлайн, но вот тут небольшая проблемка.

Дело в том что файл с оверлеем, и просто так секцию прицепить не удастся. Я делаю так

1.Добавляю заголовок секции - AddSection - Add Header Only (я там
ничего не заполнял)

2.Открываю файл хекс редактором и смотрю где у меня заканчивается
файл, это адрес A63BC.

3.Добавляю 128 байт нопов. Получается, что у меня мой инлайн
начинается с адреса A63BD.

4.Правлю хедер новой секции - RAW Offset == A63BD

Но у меня ничего не получается. Я догадываюсь что нужно выровнять секцию, но, стыдно признаться, не знаю как это сделать. Подскажите пожалуйста....

| Сообщение посчитали полезным:

Вот лоадер на эту прогу:
bokiv.narod.ru/Crack/Ultra_WMV_Converter_v2.1.6_loader_by_TLG_Bokiv.zip

| Сообщение посчитали полезным:

NUCLEuS пишет:
ставлю брейк и отлавливаю процедуру регистрации.... Вообщем я её нашёл, теперь осталось сделать инлайн, но вот тут небольшая проблемка.
Инлайн - означает "по месту". Т.е. правка без изменения размера. Ты делаешь патч. Так можно делать, когда нет упаковщика. Твоя правка должна работать после распаковки программы, а это проще всего делается лоадером. Можно конечно и настоящий инлайн делать - см. в РАР-статьях для molebox.
Но не знаю - подойдут ли советы из статьи к твоей версии molebox без серьезных переделок.

| Сообщение посчитали полезным:

tundra37 пишет:
Инлайн - означает "по месту". Т.е. правка без изменения размера

Блин это что прикол? Какая правка без изменения размера? А если я секцию новую добавляю, тоже размер не меняется?

tundra37 пишет:
Ты делаешь патч. Так можно делать, когда нет упаковщика

Серьёзно? А для чего используются инлайн патчи?


tundra37 пишет:
Твоя правка должна работать после распаковки программы, а это проще всего делается лоадером

А ты вообще, представляешь себе принцип работы инлайн патча?

Bokiv
Спасибо, конечно Но я ломаю из за спортивного интереса, и сломаю её сам.......

ALL
Народ, ну подскажите как нужно правильно выровнять секцию, без этого ничего не получится.......

З.Ы. Щас посмотрю, может его в хедер запихнуть можно :/

| Сообщение посчитали полезным:

А зачем тебе новая секция? В PEHeader нельзя написать?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill

Да вот чёт не получаецца Есть подозрение на црс заголовка..... Нужно ещё с секцией попробовать для полной уверенности....

| Сообщение посчитали полезным:

Да..... там реально ЦРЦ....... буду его мучить......

| Сообщение посчитали полезным:

NUCLEuS пишет:
А ты вообще, представляешь себе принцип работы инлайн патча?
Специально сначала почитал доки и потом стал писать, чтобы не сесть в лужу.
В чистом виде инлайн означает, что одна команда на другую исправляется. Видел описания инлайн, где доп.-код вставлялся в свободные места секций. Для упакованной программы инлайн обязательно патчит программу распаковки, чтобы обойти проверку CRC. Если это сделал, то действительно можешь добавить патч уже распакованной проги. Но ты ведь сам написал Я не распаковываю программу, я перехожу на то место где она уже распакована . Т.е. в алгоритме распаковки не разобрался и распаковщик не пропатчил. Какой же тогда извините инлайн ?!
Есть же статья про molebox и инлайн - почему не воспользоваться чужим опытом.

| Сообщение посчитали полезным:

tundra37 пишет:
ля упакованной программы инлайн обязательно патчит программу распаковки, чтобы обойти проверку CRC

О боже..... какой бред..... UPX, ASpack тоже нужно ОБЯЗАТЕЛЬНО патчить чтобы обойти проверку ЦРЦ, которой там и в помине нет?


tundra37 пишет:
Т.е. в алгоритме распаковки не разобрался и распаковщик не пропатчил. Какой же тогда извините инлайн ?!

Блин.... ну ты приколист.... Зачем мне разбираться в алгоритме распаковки, когда я знаю где лежит переход на ОЕП???? Я просто заменяю этот переход на другой, который ведёт на мой код, мой код получает управление, когда программа уже лежит в памяти в распакованном виде, модифицирует программу в памяти, и передаёт управление на ОЕП. Это в случае если патч не многоступенчатый.....

Ты хочешь сказать, что то что я описал не инлайн патч?????

| Сообщение посчитали полезным:

NUCLEuS пишет:
Я просто заменяю этот переход на другой, который ведёт на мой код, мой код получает управление, когда программа уже лежит в памяти
Если нет контроля по CRC и контроля целостности файла, то все правильно. Поэтому это и работает для UPX и ASpack. Но мы говорим про другое. Пардон - меня занесло на разговор про терминологию и о деле совсем забыл
Я совсем ничего не знаю про молебокс, поэтому помогу тебе набивать "шишки" и буду учится на твоих ошибках
NUCLEuS пишет:
Я догадываюсь что нужно выровнять секцию
В petools или олли(view->memory)посмотри, где на самом деле начинается твоя секция и подправь адреса
своего патча. В олли удобнее, т.к. сможешь прокрутить патч на предмет работоспособности.

| Сообщение посчитали полезным:

Инлайн патч, это самый что ни на есть вирус, но созданый с целью пропатчивания программы. Инлайн патч не патчит программу один раз, а каждый раз, всякими извращенными способоми ожидает распаковки программы, пропатчивает и отпускает программу на волю. Поэтому не важно будет ли добавлена новая секция или нет, главное это то, что он должен сидеть внутри программы, ожидать распаковки и если надо, то скрывать свое присутствие от проверок жертвы, и в нужный момент менять необходимые данные.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Народ, тема перерастает во флуд, поэтому закрываю её. Всё что нужно было от этой темы я получил. Всем спасибо.

| Сообщение посчитали полезным: