Ручная распаковка Neolite 2.0

Автор     : [ rumble ]
Перевод   : Mr_Geek(english), NightCat^t53(русский)
Цель      : Winproxy 4.0
Сложность : 2/10
Интрументы: Olly, OllyDump, ImpRec

Оригинал был написан на португальском, переведён и немного отредактирован Mr_Geek'ом, а затем уже был переведён и отредактирован мной. :)

Загружаем winproxy.exe в OllyDbg.

Трейсимся с F8 (можно использовать F7) до тех пор пока не дойдём до CALL (стразу после строки "Neolite Executable File Compressor...").

Войдём в CALL (F7). Посмотрим на значение регистра ESP, затем правый клик по ESP -> Follow in Dump.

Теперь в ДАМПЕ выберем(подсветим) 2 первых байта. Правый Клик по ним, затем: Breakpoint -> Hardware, on access -> Dword.
Нажмём F9 дабы запустить программу и ждём пока она обратится к OEP.

Жмём F8 (F7) пока не пройдём JMP EAX, где EAX = OEP (00515973 в случае WINPROXY 4.0).
Мы остановимся на OEP 00515973.

Откроем OllyDump: Plugins -> Ollydump -> Dump debugeed process.
В окошке Ollydump, кликаем кнопку "Get EIP as OEP", и отменим "Rebuild Import". После этого жмём "Dump".

Открываем ImpRec, выбираем Winproxy.exe в списке "Attach to an Active Process".
Кликаем на "IAT AutoSearch". Затем кликаем "OK" в появившемся сообщении.

Теперь жмём "Get Imports". После этого "Fix Dump" и выбираем сдампленный файл.
Готово!ImpRec сохранит файл с именем filename_.exe.

Всё!

Этот способ подходит для всех файлов упакованных NeoLite 2.0.