| Сейчас на форуме: (+4 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Статься распаковка это легко -- небольшой вопрос. |
| Посл.ответ | Сообщение |
|
|
Создано: 11 июля 2006 09:08 · Личное сообщение · #1 Распаковывал я UPX, нашел переход на OEP, и тут... Че-то не въехал как в Ollydbg зациклить программу, а айс у меня не пашет.   Пробовал самый топорный метод когда по адресу 0102DDB я заменял переход на OEP на строку JMP 0102DDB, через пробел, как с опцией fill with nops так и без нее. Но дамп не работал. (впрочем он так и так не работает.
 |
|
|
Создано: 11 июля 2006 09:40 · Личное сообщение · #2 Svippun В ольке не надо зацикливать прогу; остановился на переходе на оер, снимаешь дамп, прикручиваешь импорт. ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 11 июля 2006 11:29 · Поправил: Svippun · Личное сообщение · #3 Ошибка моего мозга 2. Спасибо, ValdiS, а то я уже не мог понять, это мои глюки или дампера...
Правка: И еще один вопрос, наверняка окажется ошибкой моего мозга 3. 
Запакованный файл запускается, дамп без импорта на этой машине, естественно, пашет, но почему-то не получается прикрутить импорт. Вроде все делаю по статье, но выдает GPF на входе. |
|
|
Создано: 11 июля 2006 13:00 · Личное сообщение · #4 Svippun пишет: дамп без импорта на этой машине, естественно, пашет, Вообще-то плагин у олли и импорт делает. Если дамп пашет - какие проблемы. Зачем портить то, что работает. Как известно : "ломать - не строить". |
|
|
Создано: 11 июля 2006 13:12 · Личное сообщение · #5 Svippun, плагином для оли OllyDump сдираеш дамп, и он сам тебе востанавливает импорт у UPX. А че за прога, а то я могу посмотреть и если что, помогу. |
|
|
Создано: 11 июля 2006 13:14 · Личное сообщение · #6 Я знаю, что есть ollydump но он бессилен против более хитрых пакеров, так что нужно понимать, как это в ImpRec делать. А пока сделаю все же ollydump... |
|
|
Создано: 11 июля 2006 13:22 · Личное сообщение · #7 Svippun, че за прога, по возможности дай на нее ссылку, я посмотрю и скажу, что ты делаеш не так |
|
|
Создано: 11 июля 2006 13:28 · Поправил: Svippun · Личное сообщение · #8 Я из XP запаковал UPX-ом стандартный calc.exe (калькулятор) А Olly Dump-ом че-то не вышло, только Лордом Пе и без импорта. Рррр... |
|
|
Создано: 11 июля 2006 13:51 · Личное сообщение · #9 Svippun Почитай http://exelab.ru/art/?action=view&id=206 ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 11 июля 2006 21:20 · Личное сообщение · #10 UPX в большинстве случаев, пропатченным UPX'ом и распаковывается, да и PE-Tools лучше для любого дампа использовать 
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 11 июля 2006 21:59 · Личное сообщение · #11 Pe-Tools вообще не сдампил. Только Lord PE.
Но я все равно не понимаю. Делаю все по статье, много раз сверил все это дело. Imprec выдает радостное found something, нет ни одной инвалидной функции, я триумфально жму fix dump, и в пофиксенном дампе с импортом получаю GPF на входе. 
|
|
|
Создано: 12 июля 2006 09:30 · Личное сообщение · #12 Выложи, что получилось, посмотрим в чем косяк... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 14 июля 2006 18:53 · Личное сообщение · #13 Вижу 3 возможных глюка : 1. Не тот OllyDump (нужен 2.21.108) -- см. About совего плагина. 2. После запуска OllyDump не убрана галка Rebuild Inport -- LordPE повторяет таблицу импорта 3. LordPE неправильно настроен: должны стоять галки (и только эти) FullDump: Pasete header from disk и ullDump: FixHeader. О- - и еще -- в lordPE тоже есть галка Rebuild Import Table -- ее тоже снять %) |
|
|
Создано: 14 июля 2006 18:56 · Личное сообщение · #14 А --- еще в OllyDump есть кнопка GetEIP as OEP -- её надо ставить только когда IP установлен на OEP -- т.е. последний JMP нужно пройти (там кажись инструкция типа PUSH EBP будет ...) (это так -- чтобы знать ....) |
|
|
Создано: 15 июля 2006 00:30 · Личное сообщение · #15 Pavel_ пишет: Вижу 3 возможных глюка : 1. Не тот OllyDump (нужен 2.21.108) -- см. About совего плагина. А что более новые версии не катят что ли, например 3.00.110? |
|
|
Создано: 15 июля 2006 07:28 · Личное сообщение · #16 deepred Подведем итоги. Пока понятно, что с помощью lordpe получаешь неверный дамп. Но по статье в этом случае надо циклить, а ты вроде написал как в Ollydbg зациклить программу . Поподробнее напиши про это или выложи неработающий вариант - чего гадать-то. |
|
|
Создано: 15 июля 2006 14:35 · Личное сообщение · #17 tundra37 пишет: deepred Подведем итоги. Пока понятно, что с помощью lordpe получаешь неверный дамп. Но по статье в этом случае надо циклить, а ты вроде написал как в Ollydbg зациклить программу . Поподробнее напиши про это или выложи неработающий вариант - чего гадать-то. А при чем тут я. Это к Svippun все вопросы.
|
|
|
Создано: 15 июля 2006 15:20 · Личное сообщение · #18 deepred пишет: А при чем тут я. Это к Svippun все вопросы. Пардон. Надо было сначала кофе выпить
|
|
eXeL@B —› Вопросы новичков —› Статься распаковка это легко -- небольшой вопрос. |
Для печати