всем привет
У меня вот такая проблема.
PEID определяет что запакрвано в PeSpin 0.3-1хх. не могу ничем распаковать.

| Сообщение посчитали полезным:

MouseXaker испозуй Quick Unpacker 2.0, и поиск по форуму...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Я так понимаю, что это прога из ЭТОЙ темы. Там все только издевались, а зря. То что прога - кидалово и лохотрон, я думаю, повторять не надо (вообще я изумляюсь авторам таких творений - если бы он написал прогу, которая ломает вебмани то ЗАЧЕМ её продавать? За те же деньги, которые он и так "гребёт лопатой"? ).
А вот что касается PeSpin, то это уже поинтереснее. Я вообще не упускаю случая потренироваться в ручной распаковке на редких пакерах, а вот с этим что-то не получается. Вроде как и ОЕП нашёл, и иат, и т п, а пофиксеный дамп просто вылетает с ошибкой. Вообще я замечал, что такое частенько случается при распаковке прог, написанных на VB, и эта не исключение. Так вот, может кто подскажет, как распаковать, или даст ссылку на статью? Было бы интересно.

| Сообщение посчитали полезным:

alchemister пишет:
а пофиксеный дамп просто вылетает с ошибкой.
Скорей всего не убрал редирект кода в нидер или маркеры

| Сообщение посчитали полезным:

А я чегото торможу.
Автоанпакеры не справились. Пробовал unPESPIN разных версий. Ни одна версия не признала файл как запакованный PeSpin.
Из того, что я нашел в сети по распаковке
forum.antichat.ru/showthread.php?p=348262
И несколько статей на reversing.be в стиле "прокрутите экран вниз, потом поскролльте вверх, нажмите эту кнопку, потом другую..." в общем отстой.
Статья на античате более толковая, но у меня почему-то не получается.
Грузим прогу в олю. (Предварительно ставим игнор всех екзепшенов). ЕР:

0048B0D4 JMP SHORT Bonus_15.0048B0D7
0048B0D6 PUSH 0E860

Прыжок в середину команды. Делаем один шаг и видим

0048B0D7 PUSHAD

Теперь ставим hr esp-4 и по идее должны рано или поздно брякнуться на POPAD
А у меня получается, что я два раза останавливаюсь на бряке в каких-то левых местах, а на третий прога запускается.

alchemister
Расскажи как ты дошел до ОЕР.

| Сообщение посчитали полезным:

OEP - 0048CB24, ловится бряком на MSVBVM60.ThunRTMain.
В ресурсах бесполезный jpg под 400 kb

| Сообщение посчитали полезным:

До ОЕР дошел. Через hr esp-4. На третьем бряке чуть ниже можно увидеть.

0048CB30 68 3ACB4800 PUSH Bonus_15.0048CB3A
0048CB35 - E9 9648F7FF JMP Bonus_15.004013D0 ; JMP to MSVBVM60.ThunRTMain
0048CB3A - E9 A348F7FF JMP Bonus_15.004013E2

С этим понятно. А с импортом нет. Начало по аресу 401280? Или это просто переходники?

| Сообщение посчитали полезным:

Sturgeon пишет:
А с импортом нет. Начало по аресу 401280? Или это просто переходники?
Импорт нетронут. Начало IAT 40100 Size 0E8h, байты с OEP скрадены, надо так

004013AC JMP DWORD PTR DS:[4010BC] ; MSVBVM60.__vbaStrToAnsi
004013B2 JMP DWORD PTR DS:[401070] ; MSVBVM60.__vbaFixstrConstruct
004013B8 JMP DWORD PTR DS:[4010A4] ; MSVBVM60.__vbaStrCopy
004013BE JMP DWORD PTR DS:[40107C] ; MSVBVM60.EVENT_SINK_QueryInterface
004013C4 JMP DWORD PTR DS:[401060] ; MSVBVM60.EVENT_SINK_AddRef
004013CA JMP DWORD PTR DS:[401074] ; MSVBVM60.EVENT_SINK_Release
004013D0 JMP DWORD PTR DS:[4010B4] ; MSVBVM60.ThunRTMain
004013D6 ADD BYTE PTR DS:[EAX], AL
004013D8 PUSH 00419110 => OEP
004013DD CALL 004013D0 ; JMP to MSVBVM60.ThunRTMain
004013E2 ADD BYTE PTR DS:[EAX], AL
004013E4 ADD BYTE PTR DS:[EAX], AL

004013D8 PUSH 00419110 эти команды выполняются в коде прота
004013DD CALL 004013D0
Вот распакованный rapidshare.com/files/56705474/d_.rar.html

| Сообщение посчитали полезным:

в статье на античате написано "Не забудьте отключить остановку на исключениях!". как это сделать? обясните дураку.

| Сообщение посчитали полезным:

[ZIP] пишет:
"Не забудьте отключить остановку на исключениях!". как это сделать? обясните дураку.

это делается в настройках отладчика OllyDbg:
Alt-O -> Debugging options -> Exceptions

-----
EnJoy!

| Сообщение посчитали полезным: