 |
eXeL@B —› Вопросы новичков —› Ну не получается распаковка :( |
| Посл.ответ | Сообщение |
|
|
Создано: 05 марта 2007 08:44 · Личное сообщение · #1 Привет, люди! Помогите мне плиз. Не как не полючается ручная распаковка. Много разных пробывал, но ничё не получается 
Даже простой как казалось-бы АСПАК не поддаётся Выкурил много статей с форума, но всёравно не получается. Вот ситуация с простым Крякми. PEiD->ASPack 1.06 Гружу в олю, идет не большой код распаковки попадаю на бряк 0041704F 0041704E 61 POPAD 0041704F FFE0 JMP EAX Переходим по F8 на 00401000 00401000 >/EB 10 JMP SHORT step1.00401012 00401002 |66 DB 66 ; CHAR 'f' 00401003 |62 DB 62 ; CHAR 'b' 00401004 |3A DB 3A ; CHAR ':' 00401005 |43 DB 43 ; CHAR 'C' 00401006 |2B DB 2B ; CHAR '+' 00401007 |2B DB 2B ; CHAR '+' 00401008 |48 DB 48 ; CHAR 'H' 00401009 |4F DB 4F ; CHAR 'O' 0040100A |4F DB 4F ; CHAR 'O' 0040100B |4B DB 4B ; CHAR 'K' 0040100C |90 NOP 0040100D .|E9 40 B1 40 00>ASCII "й@±@",0 00401012 .A1 33B14000 MOV EAX, [DWORD DS:40B133] 00401017 . C1E0 02 SHL EAX, 2 0040101A . A3 37B14000 MOV [DWORD DS:40B137], EAX 0040101F . 52 PUSH EDX 00401020 . 6A 00 PUSH 0 ; /pModule = NULL 00401022 . E8 F7900000 CALL step1.0040A11E ; GetModuleHandleA 00401027 . 8BD0 MOV EDX, EAX Выбираю в оле OllyDump Dump Debugged process. В окне по умолчанию вот что: start address 400000 size 18000 entry point 615f -> modifyf 1012 base of code 1000 base of data B000 Fix raw size & offset of dump image - отмечена rebuild import выбран method1: jmp[api] | call[api] in memory image Задампил Завожу - БОЛТ, пишет точка входа в процедуру не найдена RtlRestoreLastWin32Error в Kernel32.dll Че не так делаю, и как надо? Пробую через LordPE. Завожу прогу -> выбираю её в Лорде -> выбираю DUMP FULL -> сохраняю. Завожу -> БОЛТ Пытается отправить отчет в микрософт  со следующей ошибкой :
//AppName: dumped.exe AppVer: 0.0.0.0 ModName: dumped.exe //ModVer: 0.0.0.0 Offset: 00006162 Офсет по ходу не такой, какой надо? Пробую PE editor в лорде пишу в EntryPoint 00001000 в image base 00400000 -> сохраняю -> завожу -> опять БОЛТ (
но уже c офсетом 00001dd6. Что не так делаю просветите меня? Мож не тот адрес нашел? В оле 00401000 это OEP или ЕP? Как в оле дампить чё в полях писать? Как PE правильно править? Ещё БОЛТ такой бывает: --------------------------- Ошибка при инициализации приложения (0xc0000005). Для выхода из приложения нажмите кнопку "ОК". --------------------------- Бывает еще что пишет "Программа не запускается". Когда PE правишь. Люди, поможите пожалста. Хочу научиться в ручную унпакать. Заранее всем спасибо!  |
|
|
Создано: 05 марта 2007 08:56 · Личное сообщение · #2 выложи прогу, попробую помочь
|
|
|
Создано: 05 марта 2007 09:15 · Личное сообщение · #3 Ссылку не знаю давно скачивал. Или как выкладывать? Я здесь новенький много не знаю. |
|
|
Создано: 05 марта 2007 09:20 · Личное сообщение · #4 смотря сколько весит, если меньше полуметра то снизу :обзор: ищи, если больше, то на рапиду Rapidshare.de |
|
|
Создано: 05 марта 2007 09:37 · Поправил: Hellspawn · Личное сообщение · #5 Romilus пишет: выбран method1: jmp[api] | call[api] in memory image не надо! восстановими ImportREC'ом
Romilus пишет: Ошибка при инициализации приложения (0xc0000005). Для выхода из приложения нажмите кнопку "ОК". как раз таки с импортом косяк! ----- [nice coder and reverser] |
|
|
Создано: 06 марта 2007 02:20 · Личное сообщение · #6 А что на счет оффсета. Чё не так делаю? |
|
|
Создано: 06 марта 2007 02:26 · Личное сообщение · #7 |
|
|
Создано: 06 марта 2007 02:52 · Личное сообщение · #8 я же сказал причина в импотре!
используй ImportREC, только в неё задай чуть больше размер иморта ~200 тогда он найдёт весь импорт... ----- [nice coder and reverser] |
|
|
Создано: 06 марта 2007 03:23 · Личное сообщение · #9 или Get API CALLS, чтоб не химичить с размером импорта =) всё гуд распаковалось |
|
|
Создано: 06 марта 2007 03:23 · Личное сообщение · #10 Hellspawn пишет: используй ImportREC, только в неё задай чуть больше размер иморта ~200 тогда он найдёт весь импорт... Походу получилось javascript:di('  ',''); Спасибки огромные если че не будет еще получатся отпишусь.
кстати файл большой получился, надо PE ребилдить? в Лорде? как правильно? javascript:di(' ','');
|
|
|
Создано: 06 марта 2007 03:28 · Личное сообщение · #11 _taha_ пишет: или Get API CALLS, чтоб не химичить с размером импорта =) Это в Оле, иль хде?
|
|
|
Создано: 06 марта 2007 03:30 · Личное сообщение · #12 >>Это в Оле, иль хде? Это в impRec > Эдвенсид командс >>в Лорде? как правильно? Lord PE > Rebuild PE > OK +) |
|
|
Создано: 06 марта 2007 03:34 · Личное сообщение · #13 _taha_ пишет: >>Это в Оле, иль хде? Это в impRec > Эдвенсид командс Настраивать ничё не надо? |
|
|
Создано: 06 марта 2007 03:37 · Личное сообщение · #14 Romilus пишет: Настраивать ничё не надо? нет, там тока не валидные адреса выкинуть надо будет! ----- [nice coder and reverser] |
|
|
Создано: 06 марта 2007 03:49 · Личное сообщение · #15 нет, там тока не валидные адреса выкинуть надо будет!
ну не всегда, только в этом случае =) вообще если есть подозрение что ImpREc не прав, то нужно выделить функцию, дальше Disasemble / hex view, далее там будет вызов, выделить, на две кнопки мыши (или чего там). Вобщем частный случай и не с пакером. не забивай мозг. у меня был такой случай. Долго, нудно, но всё восстановил. |
|
|
Создано: 06 марта 2007 05:20 · Личное сообщение · #16 _taha_ пишет: нет, там тока не валидные адреса выкинуть надо будет! я тока для этого случая и говорю
----- [nice coder and reverser] |
|
|
Создано: 07 марта 2007 02:36 · Личное сообщение · #17 Всем спасибо за помощь. Теперь стало получаться.
|
|
eXeL@B —› Вопросы новичков —› Ну не получается распаковка :( |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати