Помогите скормить UPX-у для распаковки :)

Сейчас на форуме: ut2004, vsv1 (+7 невидимых)

Посл.ответ	Сообщение
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 05 ноября 2006 20:46 · Личное сообщение · #1 Тут возникла необходимость распаковать скрамбленый UPX до первозданного вида (интересуют оригинальные секции, т.к. предстоит ковырять. Ну и ресурсы за одно...) Сигна полностью убита Пробовал юзать плугин от Quantum, но UPX (патченый, естесстно) падает: Compresed data violation! Что посоветуете? Файл (700 Кб) http://rapidshare.com/files/2179152/HALM_UPX.EXE

Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 06 ноября 2006 01:11 · Личное сообщение · #2 попробуйте ручками ----- Уважайте других и пишите грамотно.
DrFits Ранг: 200.3 (наставник) Активность: 0.09↘0 Статус: Участник	Создано: 06 ноября 2006 02:11 · Личное сообщение · #3 Залей еще раз - а то при запуске пишет, что не является приложением Win32 ----- Само плывет в pуки только то, что не тонет.
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 06 ноября 2006 06:51 · Поправил: 0xy · Личное сообщение · #4 DrFits Это я сигну пытался прикрутить. В оригинальном файле были нули с 3e0 по 3ff. Тем не менее, у меня запускается! И скачался нормально: Crc = B8D3EC37 MD5= 9b3ca1c3547dd4d08603de4ca203741b Перезаливать? ЗЫ 1) У меня МастДай Millenium 2) Сверху был конверт Гварданта, но с ним я разобрался нормально.
DrFits Ранг: 200.3 (наставник) Активность: 0.09↘0 Статус: Участник	Создано: 06 ноября 2006 10:44 · Личное сообщение · #5 у меня MD5 - b46119493ef8cd2d8b6e50578a17cac4 ----- Само плывет в pуки только то, что не тонет.
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 06 ноября 2006 15:24 · Личное сообщение · #6 Перезалил http://i80.front.ru/CL/HALM_UPX.EXE MD5= 059d0f56af1c5e1ac179607394ccfbf0
DrFits Ранг: 200.3 (наставник) Активность: 0.09↘0 Статус: Участник	Создано: 07 ноября 2006 02:49 · Личное сообщение · #7 Всеравно пишет что не виндовз 32 приложение ----- Само плывет в pуки только то, что не тонет.
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 07 ноября 2006 08:05 · Поправил: 0xy · Личное сообщение · #8 Прям кино и немцы А MD5 какое на сей раз? (Кстати, длина 749 056) Еще раз перезалил http://i80.front.ru/CL/HALM_UPX.RAR (запаковал rar-ом) .
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 08 ноября 2006 00:56 · Личное сообщение · #9 DrFits пишет: Всеравно пишет что не виндовз 32 приложение А у меня не хватает ME32.dll Экзешник с front.ru - MD5 совпадает.
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 08 ноября 2006 21:20 · Личное сообщение · #10 tundra37 Да, me32.dll http://i80.front.ru/CL/ME32.RAR действительно не хватает. Но она нам и не нужна, ибо цель игры: скормить файл для распаковки самому UPX-у!
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 09 ноября 2006 00:24 · Личное сообщение · #11 0xy пишет: цель игры: скормить файл для распаковки Без ME32 загрузчик его не загрузит, а соответственно никто не распакует. Ковырять HEX-едитом скремблер - увольте
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 09 ноября 2006 01:10 · Личное сообщение · #12 tundra37 Ну дык я ее (ME32) выложил в предыдущем посте ;)
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 16 ноября 2006 03:47 · Поправил: 0xy · Личное сообщение · #13 Может всеж Гуру чёт посоветуют? Напомню: задача--скормить сабж http://i80.front.ru/CL/HALM_UPX.RAR для распаковки самому UPX (точнее, патченому UPX-у с Васма, воссоздав предварительно сигну) ЗЫ А существует ли способ воссоздать оригинальные секции при ручной распаковке?
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 17 ноября 2006 00:00 · Личное сообщение · #14 Экзешник "покореженый". Моих знаний не хватает. Может что-то с таблицей TLS. 0xy пишет: А существует ли способ воссоздать оригинальные секции при ручной распаковке? UPX сохраняет только секцию ресурсов, если я не ошибаюсь. Зачем тебе оригинальные секции - тебе нужен рабочий экзешник. Распаковщики оставляют имена секций UPX0 и UPX1, в какой-то мере они соответствуют оригинальным .text и .data с примесью импорта
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 17 ноября 2006 04:24 · Личное сообщение · #15 tundra37 пишет: Зачем тебе оригинальные секции - тебе нужен рабочий экзешник Гы, до рабочечо его еще ломать нужно. А когда код разбросан по файлу в перемешку с другими секциями, Олька анализирует не весь код tundra37 пишет: Распаковщики оставляют имена секций UPX0 и UPX1 Так и я могу (без распаковщиков). Но когда распаковывает сам UPX.exe, тогда имена оригинальных секций откуда-то берутся! Вот я и хочу скормить ему файл на распаковку ЗЫ Сабж то я уже отломал: повезло, что АПИ Гварданта оказалось демонстративно-показательной версии (с "таблицей экспорта") А в другой раз без анализа кода (ввиду перемешаных секций) трудно ломать будет. Поэтому хочу научиться распаковывать UPX силами самого UPX Ну, или по-другому восстанавливать "девственность" секций. Подскажите, кто что знает об этом! .
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 17 ноября 2006 05:30 · Личное сообщение · #16 0xy пишет: Олька анализирует не весь код Это уже обсуждалось. Можно добавить, правда не помню как. 0xy пишет: когда распаковывает сам UPX.exe, тогда имена оригинальных секций откуда-то берутся! Про это я не подумал. Всегда хватало просто распаковки. Посмотрел в распакованных - там почти в конце файла заголовок PE(видимо оригинального файла), т.е. в принципе возможно восстановить.

Для печати