Поползав по форуму ничего вразумительного не нашел...

Помогите осилить эти файлы(exe+dll) -> L2W.ZIP http://xenus-rus.hotmail.ru/L2W.ZIP ~1,7 Mb

ЗЫ. Этим(_http://exelab.ru/f/action=vthread&forum=5&topic=4180 ) методом пробовал, но без успешно...

| Сообщение посчитали полезным:

y0da crypter не поддерживает dll

| Сообщение посчитали полезным:

Надо наверное тутор накатать, а то помоему эта тема вечна, у меня как раз где то такой комплект распакованый лежит + скрипты, чуть попозже накатаю....

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:

Надо наверное тутор накатать, а то помоему эта тема вечна, у меня как раз где то такой комплект распакованый лежит + скрипты, чуть попозже накатаю....

Буду ждать с нетерпением...

| Сообщение посчитали полезным:

xenus PE_Kill
1) Это L2Walker причем эту версию(10.61) уже ломали на форуме.
2) Защита там не йода, а PEArmor 0.74 - этим кончается топик в ссылке.

| Сообщение посчитали полезным:

Кому надо обращайтесь в личку распаковал почти все версии ботов=) Заодно могу статью написать

| Сообщение посчитали полезным:

tundra37, как ты определил что там не йода? Точнее чем?



<дополнение>

Вопрос снимается... Сдампил порогу стоя на 004D40CD, PEiD показал PEArmor V0.7X -> Hying *

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Это мы уже опытным путем определили))

| Сообщение посчитали полезным:

Накатал небольшую статью.... Лежит в ожидании

| Сообщение посчитали полезным:

Распаковка eL2Walker 10.2.3 - 10.6.1 Veliant U 26.09.2006 Отклонена
Мда.... хочется как лучше, а получается как всегда, т.е. через
Если эта статья кому-то нужна, то загляните сюда http://knikolenko.narod.ru/walker/Walker_Unpack.html http://knikolenko.narod.ru/walker/Walker_Unpack.html

| Сообщение посчитали полезным:

thx Veliant
И всеже может кто нить осилить и распаковать эти файлы, да и на опытном примере показать каким оброзом это делаеться ?

| Сообщение посчитали полезным:

Я попробую распаковать (если получится).
P.S: я неумею распаковывать, может статьи сначала почитать?

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

xenus пишет:
И всеже может кто нить осилить и распаковать эти файлы, да и на опытном примере показать каким оброзом это делаеться ?

так Veliant же показал как это делается... что ещё нужно то?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
tак Veliant же показал как это делается... что ещё нужно то?

Дык, статья немного не полная, для новичков не сгодится...

1. Отпускаем прогу
по F9 и через некоторое время прерываемся. Теперь смотрим в регистр EDI там соб-
ственно наш OEP. - какой конкретно адресс получился? Вообще тут жедательно поподробней написать: почему в EDI, каким образом это обнаружил, как должен выглядить адресс и т.п.

2. Неплохо было бы также ссылку на исследуемую программу дать...

3.запускаем ImpREC,
выбираем наш процесс и в поле OEP вводим наш OEP и жмем IATAutoSearch

- OEP или OEP-ImageBase?


P.S. А вообще статья неплохая, однако это только частный случий распаковки, как общий медод по сняитию PEArmor не прокатит...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

У меня есть скрипт, который не дает АПИ испортить, попозже выложу.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

KingSise пишет:
Дык, статья немного не полная, для новичков не сгодится...

1. Отпускаем прогу
по F9 и через некоторое время прерываемся. Теперь смотрим в регистр EDI там соб-
ственно наш OEP. - какой конкретно адресс получился? Вообще тут жедательно поподробней написать: почему в EDI, каким образом это обнаружил, как должен выглядить адресс и т.п.

Можешь после F9 поставить бряк на доступ к секции .code и жать Shift+F9 пока не тормознешься на ОЕР

2. Неплохо было бы также ссылку на исследуемую программу дать...

По такому методу распаковываются версии eL2Walker:
10.2.3;10.4.9;10.5.1;10.5.8;10.6.0;10.6.1;Free
Их офф сайт перенесли и весь архив исчез остались только ссылки у них на Free и 10,7,x
На всех версиях выше 10,6,1 стоит ASProtect 2.0 с VM

3.запускаем ImpREC,
выбираем наш процесс и в поле OEP вводим наш OEP и жмем IATAutoSearch

- OEP или OEP-ImageBase?

OEP-ImageBase

P.S. А вообще статья неплохая, однако это только частный случий распаковки, как общий медод по сняитию PEArmor не прокатит...
Сейчас буду дописывать тогда + скрины сделаю

| Сообщение посчитали полезным:

Сделал небольшой видеотутор knikolenko.narod.ru/walker/WU.rar (1.34 mb)....Получилось не ахти т.к. два вызова я все таки подбирал давно методом тыка

| Сообщение посчитали полезным:

Хочу проеснить кое что, методом Veliant распаковывал oog L2Walker(вне игровая версия) а на ig L2Walker(внутри игровая версия) это не проходит, тагже проблема возникает при распоковки DLL файла(все в архиве)

| Сообщение посчитали полезным:

KingSise пишет:
как ты определил что там не йода?
"RDG Packer Detector v0.6.3 Beta.exe" Полезная штука. Можно конечно и PEiD настроить, если базу прочистить, но мне лень искать ту "самую базу" среди десятка скачанных.

| Сообщение посчитали полезным:

Если с распаковкой exe файлов более мение становиться понятно, то как распакавать DLL файлы ?

| Сообщение посчитали полезным:

АП!
Как быть с DLL файлами ?

| Сообщение посчитали полезным:

xenus А в чем сложность и отличие ?! Точно также через олли и алгоритм наверное тот же самый. Тем более тебе вроде уже все распаковали

| Сообщение посчитали полезным:

Veliant
Привет.
Возникла необходимость в распаковке l2walker.
Почитал статьи. Попробовал. Чего то не получилось.
В самом начале, после отпускания ollydbg по F9, после остановки, EDI пустой, т.е. не указывает на OEP.
Если есть время и возможность подскажи пожалуйста
з.ы. пробовал версии волкеров 10.4.9. ; 10.6.0 ; 10.6.4. везде результат аналогичный

| Сообщение посчитали полезным:

Да нет все там нормально, даным методом распаковывал волкера вплоть до 10.7.1(выше небыло на момент эксперементов), так что смотри, может ты что не так сделал...

| Сообщение посчитали полезным:

LIRIK пишет:
после отпускания ollydbg по F9, после остановки, EDI пустой
Скорее всего ты не для всех эксепшенов галочки поставил. Через EDI идет правка команд в секции code - поэтому break on access помогает. Для DLL по этой же методе выскакиваем на 10001000 - точка входа это или нет не знаю. Импорт восстановить не удается, плага yc в моем IMPREC нету
Действительно я был не прав по поводу PE Armor и DLL, но PE_Kill утверждал что это легко, а секрет не выдает

| Сообщение посчитали полезным:

помогите с распаковкой 10.8.1
скачать можно тут www.towalker.com/english/download.asp

| Сообщение посчитали полезным:

Подскажите, кто нить смог распаковать версию ингейм версию волкера IG_1.4x-1.6x

| Сообщение посчитали полезным:

Бота-да, lineageii.dll - нет т.к. заколебался вручную импорт восстанавливать)

| Сообщение посчитали полезным:

а можно хотяб экзешник, если несложно

| Сообщение посчитали полезным:

импорт восстанавливаеться полностью плагом PE_Kill'a, анпакнутая DLL запускаеться с запакованным(и распакованным) exe без проблем, почти... об этом чуть ниже ниже.

Делаю следущим образом:
http://www.itimmersion.com/download/L2Walker/eL2Walker1.47.zip http://www.itimmersion.com/download/L2Walker/eL2Walker1.47.zip
гружу длл в олли, в мемори мап F2 по - LineageI code,export
shift + f9 -- попадаем на OEP:

10097A0C 6A 0C PUSH 0C
10097A0E 68 387C0C10 PUSH LineageI.100C7C38
10097A13 E8 B4190000 CALL LineageI.100993CC

PE_Tools -> дамп, открываю его в PE Explorer и сохраняю (правит ресурсы которые остались в секциях защщиты), меняю EP в файле на oep-imagebase и правлю релоки плагом reloc rebuilder из pe_tools, с импортом небольшой гемор - плагин уС для impRec виснет , но если трейсить не дамп, а просто запущщенную через волкер родную длл - все отлично, добавляем в дамп и можно запускать.
Программа загружаеться и вроде бы все ок, при нажатии Run Lineage - грузиться линейка, но в неё не инжектиться длл. Подскажите новичку в чем может быть проблема?

| Сообщение посчитали полезным: