 |
eXeL@B —› Вопросы новичков —› Распаковка |
| Посл.ответ | Сообщение |
|
|
Создано: 05 апреля 2007 10:20 · Поправил: Rryk · Личное сообщение · #1 Учусь распаковывать программы. Начал со статьи MozgC-а: "Распаковка: от самого простого к чуть более сложному." К сожалению не смог скачать файлы для распаковки, поэтому сделал их сам на основе аналогичных программ из под Windows XP при помощи соответствующих пакеров. После запаковки calc.exe UPX-ом - все шло как по маслу вплоть до ввода RVA OEP в ImpRec. После ввода мне не выдало сообщения о том, что что-то найдено и даже очень наоборот сообщило что там ничего нету. Тогда я попробовал ввести тот RVA OEP, который был в статье. Как ни странно - сработало, не смотря на то, что программы разные. Правда потом все же пришлось в LordPE поправить PE на полученный OEP при подсчетах (сам сообразил как это сделать). Однако с notepad.exe запакованным ASPack такая штука не прошла. Снова таки не подошел RVA OEP и тот что в статье тоже не помог. Статью читал внимательно, но так и не смог понять в чем же дело. Вроде нахожу и OEP и ImageBase и разницу считаю верно - а не принимает. Прикрепляю запакованный файл. У меня выходили такие данные: OEP 0100739D ImageBase 01000000 RVA OEP 0000739D Однако ImpRec с 0000739D не согласился. Буду очень благодарен за помощь, т.к. уже замучался думать в чем же дело. P.S. Можно ли как-то ImpRec заставить перебирать все адреса в поисках таблицы импорта?  |
|
|
Создано: 05 апреля 2007 10:25 · Личное сообщение · #2 Что что я не вижу прикрепленного файла... ----- -=истина где-то рядом=- |
|
|
Создано: 05 апреля 2007 11:18 · Личное сообщение · #3 Rryk пишет: OEP 0100739D надеюсь в импрек ты вписывал 0000739D? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 05 апреля 2007 14:54 · Поправил: sniperZ · Личное сообщение · #4 Rryk пишет: OEP 0100739D надо вписывать RVA ОЕP. То есть в данном случае отнеми IMAGE_BASE. OEP=0100739D-01000000=0000739D. |
|
|
Создано: 05 апреля 2007 17:33 · Поправил: Rryk · Личное сообщение · #5 Вписывал именно RVA OEP, т.е. 0000739D. Файл вроде прикреплял - странно что его нету. Высылаю еще раз. Разобрался почему файлы не высылаю - после редактирования они конвертятся в строку JavaScript. Высылаю следующим постом. |
|
|
Создано: 05 апреля 2007 17:37 · Личное сообщение · #6 |
|
|
Создано: 05 апреля 2007 20:24 · Личное сообщение · #7 все прекрасно снимается. OEP 0000739D. У меня сложилось впечатление что ты 0000739D вводишь в импреке в поле RVA (хотя может я не прав) ??? Надо как в аттаче.  7234_05.04.2007_CRACKLAB.rU.tgz - oep.gif
----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 05 апреля 2007 21:47 · Личное сообщение · #8 [EXE]_cutor пишет: все прекрасно снимается. Странно... Я туда же ввожу. Прилагаю скрин... может это поможет выяснить в чем моя ошибка. 1438_05.04.2007_CRACKLAB.rU.tgz - pss.gif
|
|
|
Создано: 05 апреля 2007 21:50 · Личное сообщение · #9 Да и еще одно. А чем вы пользуетесь? Я добывал OEP при помощи PE Tools и SoftICE, а дампил путем зацикливания на RET (который ведет на OEP) и пользовался LordPE. Может дело в тулзах? Автор статьи писал, что PE Tools дампит некорректно? Может и LordPE тоже подглючивает? |
|
|
Создано: 06 апреля 2007 18:30 · Личное сообщение · #10 кароч. просто запусти свой пакованный нотпад (без всяких айсов, петулзов, зацикливаний, и пр.). выбери его в импреке в списке процессов. забей 0000739D в поле ОЕР -> IAT AutoSearch. имхо, ты что то неверно делаешь когда используешь связку PETools + SoftIce, а потом пытаешься выдрать импорт в Импрек. Сам ОЕР ищется проще пареной репы: 1. при помощи плагина к PEiD "Generic OEP Finder". 2. hr esp-4 в Олли -> F9. Дампить можно самой Олей (плаг OllyDump), но я сдампил его при помощи LordPE. Все работало..... ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 12 апреля 2007 10:09 · Личное сообщение · #11 Решил проблему на ImpREC 1.6 вместо 1.4. Всем спасибо. |
|
|
Создано: 15 апреля 2007 11:08 · Личное сообщение · #12 1. Сначала попробуй автораспаковщика UPX. 2. Советую еще прочитать статью Bit-h@ck " Распаковка? Это легко!!!" - то же неплохая статья по распаковке для начинающих! |
|
|
Создано: 30 апреля 2007 16:15 · Поправил: abi · Личное сообщение · #13 А что тогда является адрес 010141ae, если говорить о прикрепленном notepad.exe ? Разве это не то место, с которого надо снимать дамп? //Туплю, разобрался. |
|
|
Создано: 30 апреля 2007 18:28 · Поправил: abi · Личное сообщение · #14 Не, все-таки не разобрался. (пишу по памяти с другого компа). 1. В ollydbg остановился на команде push 0 (это 010141ae или рядом). Специально посмотрел секцию data памяти процесса notepad.exe - все расшированое лежит. Запустил LordPE. Стоят галки: full dump paste header from disk, fulldump fix header, fulldump rebuild image. Снимаю полный дамп. 2. Запускаю ImpRec - ввожу 739D, нахожу функции, валидность YES у всех. Выбраю fixdump, указываю свой дамп... И не запускается.... Где у меня ошибка? |
|
|
Создано: 01 мая 2007 00:30 · Поправил: [EXE]_cutor · Личное сообщение · #15 abi пишет: Где у меня ошибка? 010143AF . 61 POPAD 010143B0 . 75 08 JNZ SHORT notepad.010143BA ; происходит переход 010143B2 . B8 01000000 MOV EAX,1 010143B7 . C2 0C00 RETN 0C 010143BA > 68 9D730001 PUSH notepad.0100739D ; в стек кладем ОЕР 010143BF . C3 RETN ; ret на наш ОЕР вот так выглядит переход из аспака к OEP. выделенный адрес ничего не напоминает? адрес который ты указал не имеет никакого отношения к вышесказанному. Почитай что ли "Об упаковщиках" на Васме. ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
eXeL@B —› Вопросы новичков —› Распаковка |
Для печати