 |
eXeL@B —› Вопросы новичков —› Помогите высунуть все DLL из Thinstall 2.501 |
| Посл.ответ | Сообщение |
|
|
Создано: 16 июня 2007 01:55 · Личное сообщение · #1 Вот файлик rapidshare.com/files/32927303/AutoScannerOpel.zip.html Мне удалось задампить только ехе-шник и восстановить импорт. После запуска прога выдает такое: "Приложению не удалось запуститься, поскольку OpelModules.dll не был найден. Повторная установка приложения может равить эту проблему." Парни подскажите начинающему как высунуть всё остальное 
 |
|
|
Создано: 16 июня 2007 03:18 · Личное сообщение · #2 ReAVR пишет: Парни подскажите начинающему как высунуть всё остальное Вопрос некорректный. До распаковки всё работало? Если да, значит импорт ты всё-таки криво восстановил. В какой папке запускаешь? Может быть она просто найти эту либо неможет... ----- Всем привет, я вернулся |
|
|
Создано: 16 июня 2007 04:56 · Личное сообщение · #3 Прога что по ссылке до распаковки работала, но в этот ЕХЕ-шник запакован сам исполняемый файл и пару ДЛЛ-ок. Я при помощи скрипта Thinstall 2.5x OEP Finder + Unpack.txt и LordPE сделал дамп и скрипт восстановил импорт. При этом получился ЕХЕ-шник в 972кб, а исходный был 1686кб, следовательно не всё из него извлечено. Я еще пробовал Thinstalom 2.501 запаковать прогу которая работает с ДЛЛ-кой, а потом таким-же макаром через скрипт распаковать. На выходе получился ЕХЕ-шник такого же размера как и исходный и при подстановкек нему нужной ДЛЛ-ки прога начинала работать. То это прога запакована именно Thinstall 2.501 определил по строкам в самом файле.  d65f_15.06.2007_CRACKLAB.rU.tgz - Thinstall 2.5x OEP Finder + Unpack.txt
|
|
|
Создано: 16 июня 2007 06:12 · Личное сообщение · #4 Ага, теперь понял. Это такой пакер хитрый. Я просто невнимательно прочёл название темы. Сейчас глянем. ----- Всем привет, я вернулся |
|
|
Создано: 16 июня 2007 06:36 · Личное сообщение · #5 Итак. После скрипта ищем в памяти первый попавшийся вызов функции из OpelModules.dll. Этот вызов приводит нас к группе переходов: 00428C72 $-FF25 48744500 jmp dword ptr ds:[457448] ... Смотрим что в таблице: [00457448]=00B312BE – вот здесь эта функция у меня! Открываем карту памяти (Alt+M) и находим подходящий диапазон: Опять же на моей машине это: Memory map, item 31 Address=009D0000 Size=0038B000 (3715072.) Owner= 009D0000 (itself) Section= Type=Priv 00021040 Access=RWE Initial access=RWE Ну чтож глянем – ба! Да этож наша dll. Теперь только сдампить осталось этот регион. ПеТулс есть? Отлично, тогда: правый клик > дамп рег. > выбираем наш диапазон и получаем готовый файлик. ----- Всем привет, я вернулся |
|
|
Создано: 16 июня 2007 10:57 · Личное сообщение · #6 Слегка поторопился. Ненужно было давать инициализироваться этой бяке-dll. После скрипта она уже смапирована и секция данных инициализирована. Так что лучше всего ловить момент, когда пакер создаёт эту dll по секциям (я ловил через VirtualAlloc смотря на текстовые строки по ходу кода). Когда все секции расшифруются, ещё до инициализации нужно дампить и потом ещё пофиксить данные о секциях... Короче, вот файлик (пас: cracklab): webfile.ru/1441275 ----- Всем привет, я вернулся |
|
|
Создано: 16 июня 2007 11:43 · Личное сообщение · #7 ReAVR Вообще всегда лучше самому подумать спокойно чем бросаться искать скрипты! Сам екзешик распаковывется импрека правя всего один джамп 7FF1F94A 8B45 E0 MOV EAX,DWORD PTR SS:[EBP-20] 7FF1F94D 3B45 8C CMP EAX,DWORD PTR SS:[EBP-74] 7FF1F950 73 6E JNB SHORT 7FF1F9C0<---------------------Jmp 7FF1F952 A1 1C5EF57F MOV EAX,DWORD PTR DS:[7FF55E1C] 7FF1F957 8B40 04 MOV EAX,DWORD PTR DS:[EAX+4] 7FF1F95A 8945 B4 MOV DWORD PTR SS:[EBP-4C],EAX 7FF1F95D 8B45 E0 MOV EAX,DWORD PTR SS:[EBP-20] дампя на оеп получаешь импорт как был до засовывания в Тинстал ! Надо написать пару строк скрипт все забываю ;) Теперь длл! Как я понял это не запрос на взлом а ты сам хочешь вытащить ее? Да и тяжолая она три с лишним мега ;) Стявь бряк на Virtualflloc eax==10000000 выходи в Тинстал и трассируй увидишь из буфера в выделеную память будет копироватся твоя длл Хватай в руки любимый дампер и дампь |
|
|
Создано: 16 июня 2007 12:03 · Личное сообщение · #8 pavka пишет: Да и тяжолая она три с лишним мега ;) В архиве 581 КБ. А насчёт Импрека, так там же в скрпите написано: дамп с RAW force и всё. ----- Всем привет, я вернулся |
|
|
Создано: 16 июня 2007 12:57 · Поправил: pavka · Личное сообщение · #9 Я так понял он сам хочет найти ;) Фиксить ни чего не надо в длл просто сдапмить! Ну и это только частный случай в тинстале много чего делать нужно по другому Bitfry пишет: так там же в скрпите написано: дамп с RAW force и всё. Вот накидал пару строк посмотри скрипт ;) /* ////////////////////////////////////////////////// Назначение скрипта Thinstall 2.5 ///////////////////////////////////////////////// */ var oep gpa "SetEnvironmentVariableA","kernel32.dll" bp $RESULT run bc $RESULT rtu find eip,#736EA1????????8B40048945B48B45E08B4DB48B0481# cmp $RESULT,0 je quit mov [$RESULT],#EB# find eip,#5959FF9548FCFFFF6A00E8# cmp $RESULT,0 je quit mov oep,$RESULT add oep,2 BPHWS oep,"x" run sti msg "Oep Faund" DPE "dump.exe",eip ret quit: msg "not Thinstall 2.5" ret и ни какого RAW force и всё 
Хотя раз уж начали выкладывать длл вот вторая |
|
|
Создано: 16 июня 2007 13:34 · Личное сообщение · #10 |
|
|
Создано: 16 июня 2007 13:42 · Личное сообщение · #11 Спасибо всем за помощь, буду учиться
|
|
eXeL@B —› Вопросы новичков —› Помогите высунуть все DLL из Thinstall 2.501 |
Для печати