Сейчас на форуме: _MBK_, vsv1 (+4 невидимых)

 eXeL@B —› Вопросы новичков —› Странная запаковка UPX'ом
Посл.ответ Сообщение

Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 04 июня 2007 15:43
· Личное сообщение · #1

Имею:
Программа: HTMLPad 2007 Pro
Версия: v8.02
Описание (Англ.): [url]http://www.blumentals.net/htmlpad/[/url]
Прямая ссылка: [url]http://www.blumentals.net/download/htmlpad8.exe[/url]
Ограничение: 30 запусков
Примечание: не качается с русских IP

Исходный файл упакован UPX. Сам UPX распаковывать не хочет. Пишет, что данный файл был упакован не UPX. Прочитал статьи про то, что в этом случае возможно были использованы скрамблеры. Начал проверять. Protection iD на этот счет говорит, что чистый UPX без всяких прочих. Посмотрел в PEiD. Также UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo. Имеются 4 секции UPX0, UPX1, .rsrc, .kskc. EP Section [.kskc]. Далее использовал плагин Recover UPX для PE Tools. Заметил, что значение поля Method 05, а не 02 (может быть это и нормально?). И пытался распаковывать UPX версиями с обходом проверки CRC (U_adler и C_adler) upx1_24 и upx1_90. Первый пишет, что не может распаковать, т.к. возможно HidePX. Второй просто не может.
Дело в том, что я бы мог использовать и какой-нибудь дампер, но мне необходима после распаковки возможность правки ресурсов (например Restorator'ом). Я зашел в тупик. Помогите пожалуйста разобраться




Ранг: 240.5 (наставник)
Активность: 0.190
Статус: Участник
Author of ACKiller

Создано: 04 июня 2007 16:20
· Личное сообщение · #2

You don't have permission to access /download/htmlpad8.exe on this server.

Скорее всего это маленький stub - где-нибудь исправляет пару байтов + ксорит в цикле секцию кода. Попробуй чуток протрассировать - если управление передастся на секцию упх'а - дампь её сразу же и скармливай автораспаковщику (или руками, если умеешь, статьи почитай).



Ранг: 26.2 (посетитель), 6thx
Активность: 0.020
Статус: Участник

 Создано: 04 июня 2007 16:44
· Личное сообщение · #3

cs137 вот рабочий дамп, с восстановленными ресурсами.
slil.ru/24464395



Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 05 июня 2007 08:16
· Личное сообщение · #4

3ton, спасибо, просто хотелось бы понять как с такими штуками бороться Ты снимал дамп так же, как советовал HoBleen?

З.Ы.: HoBleen, спасибо!



Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 05 июня 2007 09:57
· Личное сообщение · #5

бряк на 00A7C02F потом F9, F7
прокрутив вниз видим

00A71C6C -E9 3716DAFF JMP htmlpad.008132A8
вот он и прыжок на оеп



Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 05 июня 2007 10:45
· Личное сообщение · #6

Veliant спасибо


 eXeL@B —› Вопросы новичков —› Странная запаковка UPX'ом
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати