 |
eXeL@B —› Вопросы новичков —› Помогите с прогой на Borland C++ |
| Посл.ответ | Сообщение |
|
|
Создано: 22 июня 2006 10:17 · Личное сообщение · #1 Привет всем. Есть некоторая прога. Написана на Borland C++, нечем не запакована. Все анализаторы вот что говорят: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo. Но файл не упакован. Даже сам UPX считает его запакованным, но после распаковки все тоже самое. Кому не лень, посмотрите. Вот ссылка на неё www.webfile.ru/999115. P.S. Прога очень простая, нужно найти правильный пароль. Кому не лень, раскажите как его находить. Пароль в VB я находил, а здесь как?  |
|
|
Создано: 22 июня 2006 11:40 · Личное сообщение · #2 Вот точка входа 00401188 68 80174000 PUSH one_pr1.00401780 0040118D E8 F0FFFFFF CALL one_pr1.00401182 ; JMP to MSVBVM60.ThunRTMain Вот что говорит PEID2006 про распакованный - Microsoft Visual Basic 5.0 / 6.0 Да оно и невооруженным глазом видно, что MSVBVM60 требуется. А то что в ресурсы напихали слова про Борланда, так можно и не того напихать. |
|
|
Создано: 22 июня 2006 12:31 · Личное сообщение · #3 Пацанчик писал его вроде на Borland C++, вчера целый вечер парился его распаковывал. Уже и самим UPX распаковывал, но PEID и другие говорят, что все равно запакован UPX. А как ты его распаковал? |
|
|
Создано: 22 июня 2006 18:55 · Личное сообщение · #4 VAD87 пишет: но PEID и другие говорят, что все равно запакован UPX. А как ты его распаковал? 1) Я же специально написал, что использовал PEiD 2006. 2) Распаковывал через Qunpack 1.07 Т.к. распакованный файл в 4 раза больше стал, то мне до  , что кто-то говорит про UPX. Пардон, конечно, но в распакованном один импорт порушен, но это не мешает
все остальное посмотреть. 3) Пароль 211188 - виден в Unicode наряду с матершиной. 4) Класс окошка, поля и кнопки - thunderrt6хххх, а это компонент VB 
Может конечно товарищ умудрился все это на BCB сварганить .... может. Я например в VBA подключал DLL на Дельфи, но это другой случАй 
|
|
|
Создано: 23 июня 2006 09:40 · Личное сообщение · #5 Я пробывал распаковать его Quick Unpack 0.7, но он говорил, что OEP is not correct!. Я тоже использовал PEiD 2006. tundra37 спасибо, что посмотрел, сегодня попробую. |
|
|
Создано: 23 июня 2006 13:28 · Личное сообщение · #6 Еще раз повторюсь, что распакованный не работает, т.к. надо импорт править. Попробовал распаковывать по разному, но не получается. Т.к. пароль я нашел, то неинтересно дальше квырять. Я думаю, надо под отладчиком дойти до OEP и затем распаковать "замороженный процесс". Под олли получилось - пользовался родным плугином. До OEP можно дойти по F7, а можно просто прокрутиь до команды POPUP и увидеть JMP <OEP>
|
|
|
Создано: 24 июня 2006 11:10 · Личное сообщение · #7 tundra37 спасибо. Я распаковал файл вручную (моя первая распаковка, и как-ни странно получилось.) и распакованный файл у меня получился в 6 раз больше пакованого (36 кб против 6кб). А найти серийник 211188 оказалось довольно просто. Почему Quick Unpack его не брал? Распакованный в ручную файл оказался рабочим. Под отладчиком нашел такую строку: 0040218C 68 201C4000 PUSH DUMPED_.00401C20 ; UNICODE "211188" Спасибо что посмотрел. |
|
|
Создано: 24 июня 2006 12:25 · Личное сообщение · #8 VAD87 пишет: Почему Quick Unpack его не брал? Там надо было просто таблицу импорта править. Т.к. вручную быстро распаковывается, то зачем напрягаться 
|
|
|
Создано: 24 июня 2006 19:27 · Личное сообщение · #9 tundra37 спасибо. Тема закрыта. |
|
eXeL@B —› Вопросы новичков —› Помогите с прогой на Borland C++ |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати