 |
eXeL@B —› Вопросы новичков —› Не удается распаковать UPX |
| Посл.ответ | Сообщение |
|
|
Создано: 14 декабря 2006 05:24 · Личное сообщение · #1 Решил я как-то попробовать распаковать UPX вручную. Взял для этого кейген к флешгету, который запакован "UPX 0.71 - 0.72 -> Markus & Laszlo" (см. аттач) Сделал все как написано в статье "Ручная распаковка UPX версий ниже 1.20" Но почему то файл не запускается, вываливается ошибка мол "Runtime error 216 at 77D58A76" Объясните где что сделано не так   3846_14.12.2006_CRACKLAB.rU.tgz - keygen.rar
 |
|
|
Создано: 14 декабря 2006 05:43 · Поправил: Maximus · Личное сообщение · #2 распакованный: rapidshare.com/files/7451189/FlashGet_1.4_Keygen__.rar.html ----- StarForce и Themida ацтой! |
|
|
Создано: 14 декабря 2006 05:45 · Поправил: cadet · Личное сообщение · #3 NATAN Все прекрасно распаковывается, читай внимательно, oep=4088bc ой опоздал 
|
|
|
Создано: 14 декабря 2006 05:47 · Личное сообщение · #4 NATAN пишет: вываливается ошибка мол "Runtime error 216 at 77D58A76" Импорт то нужно востанавливать. |
|
|
Создано: 14 декабря 2006 05:48 · Личное сообщение · #5 Грузим в Олю, ставим бряк hr esp-4, сразу попадаем на OEP: 004088BC, делаем дам и фиксим Импреком импорт. Какие проблемы? ПыС. Рабочий дамп в аттаче a1df_14.12.2006_CRACKLAB.rU.tgz - dump_.rar
|
|
|
Создано: 14 декабря 2006 05:49 · Личное сообщение · #6 Спасибо за ответы! Щас попробую сам распаковать |
|
|
Создано: 14 декабря 2006 06:01 · Поправил: NATAN · Личное сообщение · #7 опять двадцать пять
oep я нашел - 004088BCh потом зациклил в хью снял дамп в лордпе потом открыл зацикленную прогу в импрек ! ввел в поле oep число 4088BC-400000=88BC ! нажал IAT AutoSearch ! подсмотрел в редакторе лордпе адрес таблицы и ввел в поле RVA число 16000 ! нажал Fix Dump и указал сдампленный файл ! потом в редакторе лордпе открыл дамп и в поле Entry Point ввел 88BC ! сохранил помоему где то ошибца =) |
|
|
Создано: 14 декабря 2006 06:24 · Личное сообщение · #8 qunpack возьми и усе... данная версия UPX 0.71 - 0.72 вручную распаковывается плохо. вот попробуй распаковать патчик, заодно попрактикуешся. после распаковки либо патчить перестанет (вывалится с ошибкой), либо вообще не запустится... 8b96_14.12.2006_CRACKLAB.rU.tgz - ChameleonGems.v1.07.patch.by.gegter.eXe
|
|
|
Создано: 14 декабря 2006 06:30 · Поправил: NATAN · Личное сообщение · #9 а я хотел вручную распаковать 
ChameleonGems.v1.07.patch.by.gegter.eXe вроде с оверлеями поэтому то и не патчит после распаковки наверняка данные о патче в конце файла прикреплены и патчер вычитывает их по заранее известному адресу, а после распаковки по этому адресу уже код патчера идет и не известно как поведет себя патчер |
|
|
Создано: 14 декабря 2006 06:39 · Личное сообщение · #10 NATAN пишет: потом зациклил в хью Я отстал от жизни или hiew уже и отладчик? ----- Blame the victim! |
|
|
Создано: 14 декабря 2006 06:45 · Личное сообщение · #11 NATAN Поподроней про импрек.... Для UPX обычно не нужно смотреть таблицу где-нить ее сам импрек нормально определяет 1) Вводишь OEP - Imagebase 2) IAtAutoseach 3) GetImports 4) FixDump |
|
|
Создано: 14 декабря 2006 06:45 · Личное сообщение · #12 NATAN Ну, в ручную так в ручную... Во-первых OEP меняй сразу в дампе после сдампливания - но это так..... А вот ошибка: RVA 16000 - справа от этого значения в Лорде стоит число 16C hex - аля size, теперь смотри в ImpRec - 6B8 hex - чуешь разницу ??? 6B8 > 16C, т.е. новый импорт затрет еще и др. данные, помимо старого импорта, кот. необходимы проге. Также можно удалить лишние секции и создать отд. секцию для импорта (предварительно затерев старый)... good luck 
|
|
|
Создано: 14 декабря 2006 06:46 · Поправил: NATAN · Личное сообщение · #13 1nn0cent открываешь файл в хью потом дважды ENTER потом F3 и там где надо F2 RSI почему тада здесь Ручная распаковка UPX версий ниже 1.20 написано что нужно смотреть на импорт gegter как то слишком сложно становица
|
|
|
Создано: 14 декабря 2006 06:56 · Личное сообщение · #14 NATAN Оговорился маленько... патчить и т.д. будет, если секции не тереть (про ChameleonGems), т.е. просто дампишь и клеешь импорт... Оверлея там нет - с чего ты ето взял ??? 
Про ошибку - дополнение: галочку с add new section не снимай, чтоб новая секция прилепилась, либо затирай старую и тогда уже создавай полностью новую. Плюс можешь перестроить ресурсы ... |
|
|
Создано: 14 декабря 2006 07:00 · Личное сообщение · #15 NATAN Если у тя импрек поставит размер импорта 0С то епт конечно, а если все нормаль зачем лишние хлопоты |
|
|
Создано: 14 декабря 2006 07:06 · Личное сообщение · #16 NATAN чет я в этой статье не видел что просят смотреть арес таблицы импорта где-нить... |
|
|
Создано: 14 декабря 2006 07:26 · Личное сообщение · #17 NATAN пишет: ChameleonGems.v1.07.patch.by.gegter.eXe вроде с оверлеями поэтому то и не патчит после распаковки наверняка данные о патче в конце файла прикреплены и патчер вычитывает их по заранее известному адресу, а после распаковки по этому адресу уже код патчера идет и не известно как поведет себя патчер Ну, ты и замутил - рановато видимо еще так рассуждать.... |
|
|
Создано: 14 декабря 2006 07:37 · Личное сообщение · #18 Мля!  Модераторы, пора просыпаться и к ньюбам кидать подобное, ибо скоро на основном форуме будут спрашивать, как правильно комп включать.
gegter не грузи человека такими заморочками. NATAN ОЕР=000088bc, надеюсь вы поняли, что это уже с вычитанием имадж баз? Если для танкиста, то 004088bc (004088bc - 4000) ----- Ламер - не профессия :)) |
|
|
Создано: 14 декабря 2006 07:57 · Личное сообщение · #19 aspirin Oep он и так нашел верно и вообще-то минус 400000 Хуже чем 'недоговорили' - нет. aspirin пишет: ОЕР=000088bc, надеюсь вы поняли, что это уже с вычитанием имадж баз? Если для танкиста, то 004088bc (004088bc - 4000) Ну, и кто кого грузит ? А вообще тему надо было размещать в новичках - чет я не посмотрел вначале. |
|
|
Создано: 14 декабря 2006 10:08 · Личное сообщение · #20 переместил ----- Тут не могла быть ваша реклама |
|
eXeL@B —› Вопросы новичков —› Не удается распаковать UPX |
Для печати