Подскажите, вот нахожу в файле upx:
421FBE 61 POPAD
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
PeID говорит OEP: 4061EE
как это просчитывается? 421fC4 - 35ee?
я, что то не пойму...

И вот еще:
После распаковки ReTools получался дамп, который, не мог изменить ImpRec 1.62+
Только, когда я с помощью LordRe сделал дамп, я его смог изменить.
Почему, неужели ReTools не коректно дамп создает???

Почему, неужели ReTools не коректно дамп создает???

Скорее всего, тулза то ещё сырая ;-)

421FBE 61 POPAD
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000

Это что-то не то, jmp на OEP это и есть jmp OEP, ничего считать
не нужно.

Прикрепи в аттач дизассемблированный листинг из IDA или дай ссылку на прогу,
если прога маленькая гляну.

Это просто макет моей программы...

В архиве 2 файла:
Crack_upx.exe - пак.
Crack.exe - ориг.
Упаковыва:
UPX 1.22w
upx - 9 Crack.exe

Вот переход на OEP: 40F34F JMP 0FFFF9D34

391455923__upx_.rar

Скорее всего, тулза то ещё сырая ;-)

Ты мне тут похами. Сейчас разгребусь с этим гребаным на все голову Солярисом и гляну, что тут к чему. Pe Tools он пинает, ты посмотри на него!

volodya

Ты чё наезжаешь ;-) Речь шла о RETools!!!

nice

UPX1:0040F348 
UPX1:0040F348 loc_40F348:                             ; CODE XREF: start+13Fj
UPX1:0040F348                 call    dword ptr [esi+10094h]
UPX1:0040F34E 
UPX1:0040F34E loc_40F34E:                             ; CODE XREF: start+110j
UPX1:0040F34E                 popa
UPX1:0040F34F                 jmp     near ptr dword_405934 <---на OEP
UPX1:0040F34F start           endp
UPX1:0040F34F 
UPX1:0040F34F ; ---------------------------------------------------------------------

Asterix

Гм. Ты только никому не говори, но я и с PE Tools с нее дамп снять не смог. И не первый раз уже :( Закончу главы о ядре винды, я тогда NEOxа отпинаю как следует. Давно уже пора многие вещи по уму сделать :(

volodya
Да да Re Tools именно NEOx, причем размеры дампов совпадают, но бинарное сравнение не делал, я думал руки у меня того :)

Asterix
Может я надоел, но почему hiew показывает:
jmp 0FFFF35EE ????

nice

Это вопрос к Сусликову.
Сейчас похимичу с настройками HiEW может поможет.

[ nice: Да да Re Tools именно NEOx]

ReTools-это совсем другая тулза. У NEOX-PETools

volodya

Не сочти за невежество ;-), сам я пользуюсь LordPE :-)

Asterix
У меня есть обе утилиты, NEOX-PETools я скачивал с
_http://www.uinc.ru/

Я думаю hiew правильно показывает. там ведь иммено эти байты, проста как это считать???
Может и прямь к Сусликову

nice

Asterix тебе показал OEP. OEP, как он совершенно правильно сказал, на то и OEP. Есть много характерных признаков OEP, все их я постараюсь описать в статье. У самого себя я материал забирать не буду. Но подумай логически. На секундочку. JMP 0FFFF9D34 - это прыжок в область системных адресов, ближе к границе 4-го гигабайта. Это нулевое кольцо. КУДА ТУДА ПРЫГАТЬ???

nice

Не знаю что там у тебя не дампит, только что распаковал твою прогу,
дампил, принципиально, PETools by NEOx v.1.5.110.2003[Alfa],
нормально сдампилось, под 98-й.
Вот.


_970336627__Dumped_.zip

[ volodya:Но подумай логически. На секундочку. JMP 0FFFF9D34 - это прыжок в область системных адресов, ближе к границе 4-го гигабайта.]

Но HiEW именно так и показывает :-))))))))))