 |
eXeL@B —› Вопросы новичков —› Размер после распаковки |
| Посл.ответ | Сообщение |
|
|
Создано: 27 февраля 2007 22:50 · Личное сообщение · #1 Hi, All!!! Прога была упакована FSG 2.0 -> bart/xt Распаковал при помощи RL!deFSG 2.0 на автомате Все работает, только вот размер файла увеличился в 2 с лишним раза!! От чего так? Появился новый сегмент .ap0x - от распаковщика В работе не учавствует - можно его удалять? Как вообще грамотно определять какой сегмент можно удалять после распаковки и каким образом (или тулзом) можно это сделать?  |
|
|
Создано: 27 февраля 2007 23:24 · Личное сообщение · #2 программа ResFixer - править секции. вот здесь написано как : http://www.exelab.ru/art/?action=view&id=271 потом запакуй Upx-ом и все дела. а ap0x - это автор распаковщика , я ним списался - ap0x.rce собака gmail неплохой чувак )) |
|
|
Создано: 27 февраля 2007 23:54 · Личное сообщение · #3 ResFixer гут! попробую потом запакуй ага т.е. в увеличении в размерах ничего страшного нет в сегментах много "свободного" пространства без кода и данных значит FSG их просто упаковывал, теперь они развернуты как есть - так? ap0x - это автор распаковщика я догадался 
не понял - можно удалить этот сегмент или нет? |
|
|
Создано: 28 февраля 2007 00:20 · Личное сообщение · #4 AlCr0 пишет: не понял - можно удалить этот сегмент или нет? нет, там должен быть импорт
хотя попробуй 
----- [nice coder and reverser] |
|
|
Создано: 28 февраля 2007 00:52 · Личное сообщение · #5 AlCr0 пишет: Как вообще грамотно определять какой сегмент можно удалять после распаковки и каким образом (или тулзом) можно это сделать? CFF Explorer PeExplorer Открой в них фаил они покажут ссылки на секции а ты решишь удалять или нет!
|
|
|
Создано: 28 февраля 2007 02:03 · Личное сообщение · #6 AlCr0 пишет: Все работает, только вот размер файла увеличился в 2 с лишним раза!! лол, паковка - уменьшение размера, распаковка - увеличение. AlCr0 пишет: Распаковал при помощи RL!deFSG 2.0 на автомате знааааачит... программа стала тяжелее!!! ура мы освоили наш первый урок! .ap0x - там импорт. Нах бы автор секцию в качестве копирайта делал? Можно в хэдер насрать как это ASPackDie, LordPE, ASPack и т.д. делают... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 февраля 2007 02:18 · Поправил: AlCr0 · Личное сообщение · #7 Hellspawn пишет: нет, там должен быть импорт Точно! похоже на импорт. Хотя не юзается, правда по другой причине.
Сэнкс! PE_Kill пишет: лол, паковка - уменьшение размера, распаковка - увеличение. но ведь FSG не пакер а прот и его задача затруднить изучение а не сжать? или я ашипаюсь? PE_Kill пишет: Можно в хэдер насрать... Кстати насчет хэдера! Он после распаковки так и остался MZ а не PE (PE где-то позже в нем) и сигнатура FSG там исчо лежит. Или это не FSG поменял? |
|
|
Создано: 28 февраля 2007 02:46 · Личное сообщение · #8 pavka пишет: CFF Explorer PeExplorer Спасиб! Нашел, утащил, изучаю 
|
|
|
Создано: 28 февраля 2007 02:51 · Личное сообщение · #9 AlCr0 пишет: но ведь FSG не пакер а прот и его задача затруднить изучение а не сжать? или я ашипаюсь? ошибаешься! это просто пакер! его задача сжать, как можно лучше
----- [nice coder and reverser] |
|
|
Создано: 28 февраля 2007 03:04 · Личное сообщение · #10 Hellspawn пишет: ошибаешься! это просто пакер! его задача сжать, как можно лучше Значит заголовок под MZ не он заделал... Хм... а ORiEN таким не занимается? |
|
|
Создано: 28 февраля 2007 03:23 · Личное сообщение · #11 AlCr0 пишет: Хм... а ORiEN таким не занимается? ориен вроде прот) AlCr0 пишет: Значит заголовок под MZ не он заделал... что значит заделал? фсг переделывет заголовок файла под себя
----- [nice coder and reverser] |
|
|
Создано: 28 февраля 2007 06:00 · Личное сообщение · #12 Hellspawn пишет: что значит заделал? Файл изначально PE, но в хэдере висит MZ поэтому кстати его многие анализаторы и ругают что он "не win32/64" Hellspawn пишет: фсг переделывет заголовок файла под себя Я не имел ввиду переделку касательно OEP, Import и проч... Просто насчет самого формата "обманывать" - зачем же так... Как определить версию ORiEN? не подскажешь чем его проверить? |
|
|
Создано: 28 февраля 2007 11:17 · Личное сообщение · #13 AlCr0 пишет: Как определить версию ORiEN? Могу ошибаться, но RDG Packer Detector вроде умеет..... ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 28 февраля 2007 12:45 · Личное сообщение · #14 [EXE]_cutor Спасиб! Могу ошибаться, но RDG Packer Detector вроде умеет..... Нет, не ошибся проанализировал и выдал - ORiEN v2.11 PEiD не смог вот... пишет что Borland Delphi и все тут
|
|
|
Создано: 28 февраля 2007 13:01 · Личное сообщение · #15 Утянул последнюю версию RGD 0.6.5 она еще и списком выдает: Borland Delph v6.0 - v7.0 ORiEN v2.11 - v2.12 |
|
|
Создано: 28 февраля 2007 18:52 · Личное сообщение · #16 1. Утяните последнюю версию DiE и будет счастье и радость 2. FSG - Пакер, читайте прилагающийся к нету текст (FGS- Fast Small Good) 3. MZ потому что это барт. =) |
|
|
Создано: 28 февраля 2007 19:38 · Личное сообщение · #17 AlCr0 пишет: Кстати насчет хэдера! Он после распаковки так и остался MZ а не PE (PE где-то позже в нем) Жгешь! Я под стулом! Учи PEFormat. Сначала идет MZ сигнатура, для DOS Mode, чтобы выдать "иди нах я под винду!" а потом PE, чтобы работать в этой самой винде. И от куда вы такие беретесь? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 01 марта 2007 00:30 · Личное сообщение · #18 Grim Fandango пишет: MZ потому что это барт. =) Сорри - а что значит "барт"? PE_Kill вылез?
AlCr0 пишет: анализаторы ... "не win32/64" Еще могу добавить, вариантов много: "Bad PE header", "Incorrect PE file", "not win32 executable" и т.д. PE Tools выдал следующее (дословно): Module does not appear to be a valid Win32/64 module. Editing of DOS header is not possible! PE_Kill пишет: Сначала идет MZ сигнатура... Это не по кассе PE_Kill пишет: Учи PEFormat О чем собственно и тема? |
|
|
Создано: 01 марта 2007 02:18 · Поправил: PE_Kill · Личное сообщение · #19 Пипец... А ты думаешь анализаторы только на MZ будут жаловаться? Да там столько может быть фишек... AlCr0 пишет: Это не по кассе Т.е.? Открой любой PE файл и посмотри, первый WORD будет MZ, иначе такой файл винда грузить не будет. AlCr0 пишет: Module does not appear to be a valid Win32/64 module. Editing of DOS header is not possible! Конечно, когда PEHeader перекрывает DOSStub PETools ругается, т.к. нельзя редактировать тот или иной Header не попортив при этом второй. AlCr0 пишет: О чем собственно и тема? А нах создавать такую тему, если достаточно почитать PEFormat? На лабе есть отличная статья. PS AlCr0 пишет: Сорри - а что значит "барт"? Это автор пакера... PPS Вот действительно откуда?... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 01 марта 2007 07:13 · Личное сообщение · #20 PE_Kill пишет: когда PEHeader перекрывает DOSStub PETools ругается, т.к. нельзя редактировать тот или иной Header не попортив при этом второй. Вот, собсно, и все что нужно... Сорри, что сразу конкретнее не написал. Действительно PE часть налезала на досовскую. PE_Kill пишет: нах создавать такую тему как нах? не понял причем тут лабы по PEFormat? кажется спрашивалось по размеру, FSG и распаковке, ORiEN и подпорченном хэдере. Вопросы может и глупые, но ведь здесь кажется для новичков? 
Снял ORiEN. Хэдер исправил. Все работает. Убью конверт и обращения к трансформу - запакую обратно. Всем спасибо! Вопросов по теме больше нет. PS А по поводу PE_Kill пишет: PPS Вот действительно откуда?... Ну затупил, ну сморозил х..ню ... ... хамить-то зачем? 
|
|
|
Создано: 01 марта 2007 21:08 · Личное сообщение · #21 AlCr0 пишет: хамить-то зачем? Ну знаешь, когда объясняешь человеку то что его интересует, а он отвечает что то типа: AlCr0 пишет: Это не по кассе Само сабой как то получается ----- Yann Tiersen best and do not fuck |
|
|
Создано: 05 марта 2007 03:59 · Личное сообщение · #22 AlCr0 пишет: Всем спасибо! Вопросов по теме больше нет.
|
|
eXeL@B —› Вопросы новичков —› Размер после распаковки |
Для печати