Доброе время суток всем продвинутым, средним и начинающим крекерам моего любимого форума и сайта!
Прочитал две статьи по ручной распаковке программ, запакованных UPX.
1 статья автора Bit-hack "Распаковка? Это легко!!!"
2 статья автора FEUERRADER "Ручная распаковка UPX версий ниже 1.20"
Принцип распаковки в обоих статьях почти один и тот же. Только FEUERRADER советует после нахождения OEP перед снятием дампа зациклить прогу в отладчике SoftICE
Вопрос:
1. Зачем нужно зацикливать прогу перед тем как снять дамп в LordPE?
2. Каким образом можно зациклить прогу используя отладчик OllyDbg?
Спасибо за раннее всем крекерам, кто ответил на мой вопрос!
С большим уважением morg

| Сообщение посчитали полезным:

morg пишет:
1. Зачем нужно зацикливать прогу перед тем как снять дамп в LordPE?
2. Каким образом можно зациклить прогу используя отладчик OllyDbg?

Если ты распаковываеш прогу с помощью OllyDbg, то тебе совсем не обязательно зацыкливать прогу перед дампом, ты можешь снять дамп стоя на OEP. Ну а если тебе уж очень надо зацыклить прогу, то поменяй оригинальные байты на EB FE

-----
Research For Food

| Сообщение посчитали полезным:

привет daFIX!
1. А почему ты мне предлагаешь снимать дамп используя плагин Ollydamp когда стоишь на ОЕР?, я может хочу снять дамп по статье Bit-hack используя мой любимый PeTools, после того как с помощью Оли нашел ОЕР?
2. Почему всета-ки FEUERRADER советует зациклить прогу в отладчике, перед тем как снять дамп в LordPE?

| Сообщение посчитали полезным:

Потому что две первые статьи используют Олли а третья Сайс....при распаковке олей этого можно не делать....Дамп можно хоть чем снимать без разницы...я например иногда stud_pe для снятия дампа использую

| Сообщение посчитали полезным:

Привет Veliant!
Опять вопрос:
1.Почему автор FEUERRADER после того, как нашел ОЕР запакованной проги в отладчике SoftICE, зацикливает ее в отладчике, до того как сделать дамп?
2. Зачем ему понадобилось ее зацикливать? Ну нашел ОЕР, выходи из SoftICE, загружай запакованную прогу в LordPE и делай себе на здоровье дамп!
3. После чего запакованную прогу, загружай в ImpREC, записывай полученный ОЕР, нажимай IAT Auto Search, далее после появления окна" Found something!", дави "Get Import" и радуйся распакованной программе?! Где же логика? Ведь автор FEUERRADER, после того как загрузил зацикленную прогу в ImpREC, он убивает зацикленную прогу, чтобы не мешалось в памяти?
4. Главный вопрос: почему в процессе ручной распаковке автор FEUERRADER зацикливает исследуемую прогу в отладчике SoftICE, а потом когда ее загружает в ImpREC расцикливает? Что без зацикливания как по статье Bit-hack нельзя обойтись!

| Сообщение посчитали полезным:

morg пишет:
4. Главный вопрос: почему в процессе ручной распаковке автор FEUERRADER зацикливает исследуемую прогу в отладчике SoftICE, а потом когда ее загружает в ImpREC расцикливает? Что без зацикливания как по статье Bit-hack нельзя обойтись!

учи матчасть, а то я расплакался ну и что, что программа зацикленна? Ведь импрек всего навсего читает её память и ищет указатели на апи... Можно обойтись, если мы в Ольге стоим на ОЕР, то прога не убежит никуда и зацикливать ничего не нада!

morg пишет:
3. После чего запакованную прогу, загружай в ImpREC, записывай полученный ОЕР, нажимай IAT Auto Search, далее после появления окна" Found something!", дави "Get Import" и радуйся распакованной программе?! Где же логика? Ведь автор FEUERRADER, после того как загрузил зацикленную прогу в ImpREC, он убивает зацикленную прогу, чтобы не мешалось в памяти?

ну да, а к чему жы те будешь прикручивать импорт? к запакованной проге? ну попробуй сначала...

morg пишет:
2. Зачем ему понадобилось ее зацикливать? Ну нашел ОЕР, выходи из SoftICE, загружай запакованную прогу в LordPE и делай себе на здоровье дамп!

потому что, когда он зациклил прогу на оеп, она уже распакованна!

morg пишет:
1.Почему автор FEUERRADER после того, как нашел ОЕР запакованной проги в отладчике SoftICE, зацикливает ее в отладчике, до того как сделать дамп?

потому что, если мы тупо закроем айс, программа убежит дальше...
Можно и позже снять или раньше, это как кому нра (ну ещё от пакера/прота зависит)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Доброе время суток Hellspawn!
Я ждал этого момента, когда на мой вопрос ответит мудрец - продвинутый крекер!!! Теперь мне все стало ясно! Объяснил все досконально и популярно! Большое тебе за это спасибо!
Попробую распаковать прогу от UPX, после чего, если мне это удастся и не появяться вопросы по распаковке, я эту тему закрою!
morg

| Сообщение посчитали полезным:

Hellspawn пишет:
потому что, когда он зациклил прогу на оеп, она уже распакованна!
Нее, у него вопрос про другое.

morg
Дампят прогу на ОЕП или перед прыжком на ОЕП для того, чтобы прога при начале своей работы не испоганила первоначальные значения памяти/переменных и других значений регистров (грубо говоря).

Олли отладчик 3 кольца (пользовательского режима), соответственно, когда ты просто стоишь на ОЕП прога приостановлена, и при этом работают другие программы, например дамперы ("многозадачность" - это термин больше относится к пользовательскому режиму, не берем во внимание двух и более -ядерные процы).
Софтайс - отладчик 0 кольца (режима ядра), соответственно когда он всплывает на бряке/или не важно на чем, то "работает" в данный момент времени только он один, поэтому сдампить прогу дампером 3 кольца, находясь в айсе на ОЕП ну никак не получится. Для этого и посылают прогу в бесконечный цикл, вбивая на ОЕП 2 байта прыжка на самого себя и отпускают сайс. Соответственно мы снова оказываемся в 3 кольце, где висин в бесконечном цикле подопытная прога на ОЕП, вот тут уже можно использовать дамперы 3 кольца. Дампер приостанавливает выполнение процесса (подопытной проги) и сохраняет участок/участки памяти проги на винт.

| Сообщение посчитали полезным:

Привет Rush!
Ответ хороший! Спасибо за консультацию!
То есть, как я понял, если я предпочитаю работать в Оле, то я должен снимать дамп, как описывает Bit-hack:
1. Запускаю прогу в Оле, нахожу ОЕР - записываю его на бумажку
2. Выхожу из Оли, запускаю нераспакованную прогу
3. Открываю PETools, в верхнем окне нахожу ехе.файл исследуемой проги, нажимаю на него левой крысой, в появившемся нижнем окне - нахожу этот же ехе.файл, нажимаю на него правой крысой, далее нажимаю левой Fix dump и дамп у меня готов - я правильно понял?!!! Можно далее отправляться в ImpREC для восстановления таблицы импорта?!

| Сообщение посчитали полезным:

Нет не правильно....доходишь до OEP в самом Olly и не закрывая его, и не запуская прогу еще раз, дампишь

| Сообщение посчитали полезным:

По распаковке есть великолепная статья от MozgC "от самого простого... к чуть более сложному". Это вообще библия для начинающих (и камасутра для не начинающих ).

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

DEL

| Сообщение посчитали полезным:

Привет Veliant!
Зачем мне Оля? С помощью Оли я нашел ОЕР и записал его на бумажку (все отладчик мне пока не нужен)! Теперь мне необходимо снять дамп, прежде чем приступить к восстановлению таблицы импорта. А вот как раз дамп я хочу сделать с помощью проги PETools, а не с помощью плагина OllyDump!
И как же быть? Для того чтобы запустить нераспакованную прогу для снятия дампа в PETools, мне что из Оли не выходить?

| Сообщение посчитали полезным:

morg
Ну тебе тут стока насоветовали, а ты опять за свое...

Понимаешь смысл распаковки? Сначала ищешь оригинальную точку входа (OEP) это точка входа в твою программу. как только ты на ней стоишь тебе надо сохранить твою программу из памяти на диск.
Для этого:
1) если ты юзаешь айс, ты зацикливаешь прогу и выходишь ( иначе если ты выйдешь из айса ее на зациклив прога пойдет дальше на выполнение, и ты сдампишь уже инициализированный экзешник, который будет уже неработоспособен)
2) если ты в оле, тогда можешь сдампить ollydump или свернуть ее ( при этом прога в оле стоит уже на OEP). и зайти в свой любимый PE Tools и сдампить там.

Затем можно не разворачивая олю запустить ImpRec и ввести туда OEP - ImageBase и т.д. и прикрутить восстановленный импорт к дампу.

З.Ы. Еще вопросы есть?

| Сообщение посчитали полезным:

Ну вы и гиганты, morg - я новичёк вроде как, и на твоём бы месте для программы с UPX брал бы сам UPX

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Привет RSI!
Спасибо за подсказку!
Я пробовал дампить нераспакованную прогу в Оле с помощью плагина OllyDump, когда стоял на ОЕР. Но все-таки этот плагин не смог почему-то мне восстановить таблицу импорта (пробовал 2 метода).
Загрузив нераспакованный екзешник в ImpREC, набрал ОЕР-ImageBase, (все проделал и настроил плагин OllyDump и ImpREC, как указано в статье Bit-hack "Распаковка? Легко!!!"). Что интересно в ImpREC таблица импорта восстановилась полностью ( проверил Show Invalid), все как надо сделал и сохранил, Dumped_.exe в PEiD показал уже не UPX, а Delphi. Но, сучка, запускаю распакованный файл Dumped_.exe он оказывается почему-то неработоспасобным, выдает окно "Dumped_.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"
Вот такая у меня хрень получилась. Я попробую проделать эту процедуру еще раз и завтра напишу свой отчет.
С уважением morg

| Сообщение посчитали полезным:

если восстанавливаешь импорт в импреке, то в плаге OllyDump импорт вообще трогать не надо!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

morg
С такими темпами - тебе UPX еще год осваивать.

З.Ы. Завтра специально для тебя (от делать нечего) сниму маленький ролик по распаковке UPX

| Сообщение посчитали полезным:

RSI! ты что издеваешься надо мной?
1. Зачем же мне дампить 2-ой раз в PETools( или в LordPE), если я ее замечательно сдампил с помощью плагина OllyDump, в то время когда стоял на ОЕР? ( вниимательно прочитай свой ответ №2)?и посоветуй мне как специалист в этом деле - с помощью какой утилиты ты предпочитаешь лучше снять дамп памяти, с последующим восстановлением таблицы импорта в ImpREC?
2. Hellspawn! Почему же тогда Bit-hack в своей статье про распаковку, не отразил это для НАС - именно для новичков " когда снимаешь дамп проги, запакованной UPX с помощью плагина OllyDump, то импорт вообще трогать не надо"? - Он что писал эту статью для тебя ( она в принципе тебе и не нужна, ты и так разбираешься в ручной распаковке!) или для НАС - именно новичков! в замечательном исскустве РЕВЕРСИНГа и КРЕКИНГа?
Господа крекеры! Вы меня извините пожалуйста!, но я буду разбираться в этой распаковке и задавать Вам вопросы на эту тему до тех пор, пока сам это вручную не проделаю. P.S. Пока с помощью написанных статей средних и продвинутых крекеров с ручной распаковкой проги от UPX - увы у меня ничего не получается.

| Сообщение посчитали полезным:

запакованной UPX с помощью плагина OllyDump, то импорт вообще трогать не надо"?
в случае с UPX не надо,а вот с серьезными защитами придется импорт трогать.
с ручной распаковкой проги от UPX - увы у меня ничего не получается.
UPX же вообще распаковывается нех делать
В UPX находишь Binary String 61 E9
Ставишь бряк на popad Нажимаешь F9
Прога останавливается,за popad следует jmp инструкция,которая осуществляет переход на OEP
Вроде так... ;)

| Сообщение посчитали полезным:

morg пишет:но я буду разбираться в этой распаковке и задавать Вам вопросы на эту тему до тех пор, пока
тему не закроют.. =)

Инфы в этой теме уже достаточно для того, чтобы не имея опыта распаковать UPX.

morg пишет:
Почему же тогда Bit-hack в своей статье про распаковку, не отразил это для НАС - именно для новичков " когда снимаешь дамп проги, запакованной UPX с помощью плагина OllyDump, то импорт вообще трогать не надо
скорее всего потому что предпологается, что перед непосредственно распаковкой человек хоть примерно знает ЧТО именно надо сделать, а КАК это сделать там и написано.

Сдампи ollydump'ом, восстанови импорт импреком и всё. Если не запускается, значит что-то не так ты делаешь.

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Господа крекеры! Завтра я на этом форуме пишу свой подробный отчет по ручной распаковке проги упакованной UPX следуя Ваших советов и статей продвинутых крекеров на эту тему!
Мужиики до завтра!

| Сообщение посчитали полезным:

Охренеть,подробный отчет об распаковке UPX
[:]||||||[:]
P.S.:сори за флейм

| Сообщение посчитали полезным:

ппц, дожились,
в статьях уже не могут разобраться........

morg
ты видать когда дампишь оллидампом оставляешь галку "Rebuild import". Дело в том что этот ребилд плохо работает в этом плаге. (лично у меня ни разу не прокатило). Поэтому снимай оттуда галку, делай дамп. Не закрывая Олли запускай импрек, выбирай твою прогу из списка а дальше стандартно: вводишь "OEP" без Image Base -> Get import's -> Fix Dump.

Если все равно не получится, возьми калькулятор виндосный, запакуй его UPX и распакуй.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

Только тухлыми помидорами не кидайте... объяснил как смог.
dump.ru/files/f/f5951775251/ - 1.2 mb (flash)
и просьба кого не интересует - не смотреть, мне стыдно

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

[EXE]_cutor пишет:
когда дампишь оллидампом оставляешь галку "Rebuild import".
Мля, мне стыдно за вас(!), да поменяйте вы один байт в плагине, и не надо будет убирать эту галочку…
Меня поражает, ломают проги, а сделать для себя же любимых удобными crack-tools не могут…

P. S.
Это касается всех, без обид, OK!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666
А мне лень это сделать! уже как-то рефлексивно делаю

RSI пишет:
З.Ы. Завтра специально для тебя (от делать нечего) сниму маленький ролик по распаковке UPX

Как и обещал! видел что Assass1n тоже выложил, но че уж тут добру пропадать, вот и мой вариант!

ifolder.ru/2639027 (400 Кб)

Assass1n пишет:
Только тухлыми помидорами не кидайте... объяснил как смог.

+1

| Сообщение посчитали полезным:

UPX, распаковать, видео тутор (порно)... (c) AlexZ
;)

| Сообщение посчитали полезным:

До чего докатились.....UPX меньше чем за минуту снять мона...самый легкий пакер....представляю что будет когда аспр будем снимать =)

| Сообщение посчитали полезным:

Veliant
Да хоть бы так! а то авторы протов не дремлют и постоянно делают новые версии

| Сообщение посчитали полезным: