Не могу восстановить таблицу импорта в прогах, запакованных через FSG 2.0...

Какая конкретно программа, неважно. Я скачал сам пакер FSG 2.0 и запаковал первый попавшийся под руку экзешник у себя на компе. В отладчике нашел OEP, снял дамп, стал восстанавливать импорт.

Ввел OEP - Image Base, прога вякнула, что что-то нашла. Нашла одну ветку функций, все валидные. Я пофиксил дамп, запускаю "распакованный" экзешник - получаю ошибку запуска.
Ладно. Указал RVA и поле Size, которое ImpREC мне посоветовал при поиске функций с OEP. Он нашел больше веток функций, многие невалидные. Я тыкнул "Show Invalid", на невалидах нажал Cut Thunk(s). Большинство функций вырезались, но четыре валидных ветки остались.
Запускаю файл - снова ошибка.

Что не так делаю?

| Сообщение посчитали полезным:

Чувак, там не надо импорт восстанавливать. Снял дамп и все.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

RS_Briz пишет:
Указал RVA и поле Size, которое ImpREC мне посоветовал при поиске функций с OEP.
Ручками ищи, ImpREC не всегда правильно определяет. А вообще, приколол бы аттач, чтобы не объяснять на пальцах. Но алгоритм действий в принципе правильный...

Flint пишет:
Чувак, там не надо импорт восстанавливать. Снял дамп и все.
Странно, только что упаковал калькулятор, после дамп не запустился. Как всегда "5-я ошибка". Ты дамп олькой снимаешь, вероятно... Там дампер импорт сам подправляет.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

RS_Briz
Попробуй распаковать сам FSG 2.0. На всякий случай его импорт для ImpREC в аттаче.

3da5_03.09.2006_CRACKLAB.rU.tgz - tree.txt

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Ты дамп олькой снимаешь, вероятно
Ей и снимаю. Привык уже.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
Чувак, там не надо импорт восстанавливать. Снял дамп и все.

такие сообщения вводят в заблуждение

даже если таблица целая то в дампе она будет заполнена реальными адресами, поэтому
дампер должен ее обработать приведя в первоначальный вид

| Сообщение посчитали полезным:

ValdiS, а как я его распакую? Это же не исполняемый файл, Олька отказывается его грузить. А как я без нее OEP найду.

| Сообщение посчитали полезным:

RS_Briz пишет:
ValdiS, а как я его распакую? Это же не исполняемый файл, Олька отказывается его грузить. А как я без нее OEP найду.

жгёшь чел! он тебе текстовик с импортом прилепил, его надо ImpREC'у подсунуть
а распаковать надо сам фсг!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

А ты загрузи его в хекс-едитор и поищи там таблицу,тобишь адрус какойнить API-функции...(это я про исходный файл)

| Сообщение посчитали полезным:

Как подсунуть ImpREC ? Как я его подсуну? Ведь ImpREC вроде берет только активные процессы! Значит, мне его открыть, что ли? А как я OEP найду? Короче, не проще было дать запакованный экзешник?

| Сообщение посчитали полезным:

RS_Briz пишет:
Как подсунуть ImpREC ? Как я его подсуну? Ведь ImpREC вроде берет только активные процессы! Значит, мне его открыть, что ли? А как я OEP найду? Короче, не проще было дать запакованный экзешник?
Распаковывай сам FSG(он сам собой запакован). Тебе дали дерево восстановленного импорта для ФСГ 2.0. Запусти импрек, выбери активный процесс ФСГ и загрузи это дерево кнопкой "Load Tree".

| Сообщение посчитали полезным:

млин ну нифига не выходит. Запустить сам FSG ? запустил. Открыл ImpRec. Нашел там fsg.exe в процессах.
Жму Load Tree. Беру тот файлик, который вы мне сбросили. Нашел он мне пять функций. А дальше-то что? И что мне даст эта операция?

| Сообщение посчитали полезным:

RS_Briz, думаю болле подробно тебе никто не ответит... Наверное тебе для начала все же нужно почитать статьи, начни вот с этой: www.madalf.ru/cracks/cracks51.shtm

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

RS_Briz
Алго распаковки FSG 2.0 очень прост, все делается чисто визуально.
1. Загружаешь файл в Olly.
2. Скролишь от ЕР пару экранчиков вниз, пока не пойдут нули, потом неспеша вверх, пока не встретишь
JS xxxxxxxx
JNZ yyyyyyyy
JMP DWORD PTR DS:[EBX+0Ch] ; Здесь ставишь бряк. Это переход на ОЕР
3. Клацаешь по F9. Программа прерывается на джампе. Можешь снимать дамп. Заодно посмотри, чему равен ОЕР, пригодится для ImpREC. Надеюсь, как посмотреть уже знаешь...
4. Пока стоишь на JMP DWORD PTR DS:[EBX+0Ch], нажми Enter, перейдешь на ОЕР, проанализируй код (комбинация ctrl + A).
5. Чуть ниже ОЕР пойдут вызовы API функций, выбери один из них, нажми Enter, скорее всего попадешь на переходник вида JMP DWORD PTR DS:[хххххххх], где хххххххх - адрес памяти, в котором хранится адрес требуемой API.
6. Делаешь активным окно Dump, переходишь по адресу хххххххх (комбинация ctrl + G). Перед твоими глазами открывается IAT. Визуально определяешь начало и размер. Все.
7. Почти все... Запускаешь ImpREC, делаешь активной исследуемую программу, вводишь ОЕР, начало IAT (оба значения - это RVA) и размер. Нажимаешь Get Imports, несколько значений будут невалидны (что-то типа FFFFFFFF или FFFFFFFх). Нажимаешь Show Invalid, после этого выполняешь Cut thunk(s). Ну, а теперь и Fix Dump. Теперь точно все.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

А можно и руками импорт восстановить, была уже тема в основном разделе... Только с такими познаниями я думаю челу до этого далеко, так что лучше сначало импреком научиться пользоваться...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Какая конкретно программа, неважно. Я скачал сам пакер FSG 2.0 и запаковал первый попавшийся под руку экзешник у себя на компе. В отладчике нашел OEP, снял дамп, стал восстанавливать импорт.

Че-то во всей этой истории немного попахивает фантастикой - сколько FSG не распаковывал, там всегда был только один прикол - невосстановленные функции, т.е. Invalid, далее давишь в Imprec Tracert->level1 (Disasm) или какой-то из трёх стандартных автотрасеров - и всё. А тут мистика какая-то, ты меня хоть убей, но я и половины таких проблем не видел

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ValdiS пишет:
6. Делаешь активным окно Dump, переходишь по адресу хххххххх (комбинация ctrl + G). Перед твоими глазами открывается IAT. От себя добавлю щелчок правой кнопкой мыши на окне Dump и в появившемся меню Long->Address with ASCII dump, для удобочитаемости =) Визуально определяешь начало и размер. Все.

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Какая конкретно программа, неважно. Я скачал сам пакер FSG 2.0 и запаковал первый попавшийся под руку экзешник у себя на компе. В отладчике нашел OEP, снял дамп, стал восстанавливать импорт.

Чувак, специально для тебя выйдет мой новый тьютор про распаковку твоего любимого пакера, читай и наслаждайся, желаю удачи, проблем с пониманитем возникнуть не должноТолько вот надо Bad_guy'a поторопить, а то он не особо спешит с добавлением новых тьюторов

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
вот надо Bad_guy'a поторопить, а то он не особо спешит с добавлением новых тьюторов
А что ждать-то возьми, создай тему, прилепи аттач со статьей и подожди пару дней, если положительные отзывы будут, сразу и добавят!

P. S.
Уже здесь так некоторые делали!
http://exelab.ru/f/action=vthread&forum=2&topic=5545

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

RS_Briz
ну всё, тьютор разместили, наслаждайся, удачи

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: