|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Окт 27, 2003 08:58:32 Прочитав статьи посвященные распаковке UPX (в частности, http://bioworm.narod.ru/Cracking/tutorials/olly_unpack.htm http://www.reversing.net.ru/articles/042002/upxunpack.html) и последовав изложенной в них методике получил следующее: 1. Дамп с некоторых программ является неработоспособным 2. Восстановление импорта Импреком не удается -> после установки правильной точки входа и нахождения импортируемых библиотек, выставляю RVA таблицы импорта, на что ImpRec ругается, что нет места для вставки таблицы импорта :( ЧТО ДЕЛАТЬ??? |
|
|
Дата: Окт 27, 2003 17:40:18 Risca Дождаться моей статьи. |
|
|
Дата: Окт 27, 2003 18:40:45 Чтобы не мучаться с UPX и не видеть ругательств от Imprec делается гораздо проще: В айсе ставим bpx GetProcAddress, после срабатывания бряка выходим в прогу по F12 и смотрим чуть ниже на: popad jmp OEP Циклим на джампе прогу, дампим, правим импорт в дампе и EP и усе:) Проверялся метод на всех UPX начиная с 0.6 и кончая 1.9beta (тоже самое и с dll). Итого выходит 1-3 минуты вместо того чтобы в иду гонять или ollydbg. Может кому-то и другой метод нравится больше, а мне этот. |
|
|
Дата: Окт 27, 2003 19:47:31 DeMoNiX Есть еще один метод. Называется upx -d. Занимает 1-3 секунды. В случае скрамблера занимает 3-5 секунд. Я продуктивнее :) |
|
|
Дата: Окт 28, 2003 16:18:09 volodya С UPX 0.61 и 0.7 не прокатывает, так что я оригинальнее:) |
|
|
Дата: Окт 28, 2003 16:18:22 · Поправил: DeMoNiX O-o-o-p-s |
|
|
Дата: Окт 28, 2003 16:20:52 volodya Кстати насчет скрамблера - не все так просто. Хочешь я тебе файл подсуну - без айса никак (ни ProcDump ни GUW32 не помогут, только ручками в айсе) |
|
|
Дата: Окт 28, 2003 17:53:17 DeMoNiX Гы-гы. На UpX? Попробуй. |
|
|
Дата: Окт 28, 2003 17:56:40 С UPX 0.61 и 0.7 не прокатывает, так что я оригинальнее:) В чем ты оригинальнее? В использовании ImpRec? Гм. Я бы этим не хвастался... |
|
|
Дата: Окт 28, 2003 18:17:35 В чем ты оригинальнее? В использовании ImpRec? Гм. Я бы этим не хвастался... Да не в этом, а в самой сути:) ImpRec'ом не похвастаешся, ведь бывает иногда, когда приходиться перелопатить всю таблицу импорта самому и ImpRec не поможет (хотя очень редко). |
|
|
Дата: Окт 28, 2003 18:20:03 Гы-гы. На UpX? Попробуй. Т.е. ты уверяешь, что сможешь одним UPX распаковать прогу со срамблером, предворительно кое-что подправив в файле? Если да, то сейчас состряпаю. |
|
|
Дата: Окт 28, 2003 19:51:14 DeMoNiX Т.е. ты уверяешь, что сможешь одним UPX распаковать прогу со срамблером, предворительно кое-что подправив в файле? И мне прозеркальте на мыло (cpp_master[at]ukr.net), пожалуйста. |
|
|
Дата: Окт 28, 2003 20:27:10 DeMoNiX Надо понимать так, что ты не читал вторую часть упаковщиков? В частности, мою с Quantum главу? |
|
|
Дата: Окт 28, 2003 20:40:21 Надо понимать так, что ты не читал вторую часть упаковщиков? В частности, мою с Quantum главу? Э-э-э-х, читал конечно, но это не подходит для этого вундеркинда. Кстати, а какой Scrambler имелось ввиду в статье? P.S. Кстати, а как насчет UPX 0.71+Scrambler+PERebuild (т.е. действия по упаковке в порядке следования слева направо)? |
|
|
Дата: Окт 28, 2003 20:56:02 DeMoNiX А что PERebuild? Если rebuilder не испортит PE (бывает часто), никаких проблем возникнуть не должно. Что до UPX 0.71, то так не честно :) Зачем это старьё? Возьмите лучше 1.24 или новее. Кстати, а какой Scrambler имелось ввиду в статье? Теоретически... любой :) |