|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Янв 13, 2004 10:06:59 в этом деле я новичок совсем, решил с простейшего начать -распаковать прогу, пожатую UPX Прочел статью http://www.lowlevel.ru/articles/upxunp.htm Написано, что после определения импортируемых библиотек ImportRec добавлять новую секцию в дамп не нужно. Выводы 1. Если новая секция не добавляется, и импорт вставляется по адресу указанном в PE заголовке (ImportTable), то файл не будет работоспособным (не смотря на все заверения в статье, что все заработает). А иногда сообщается что вобще нет места под импорт в дампе 2. Если добавить новую сукцию, то дамп работает. Почему тогда советуют не добавлять секции? Просьба откликнуться и подсобить. |
|
|
Дата: Янв 13, 2004 15:32:12 Что за программа? Кинь адресок, может мы все чего и посоветуем :) |
|
|
Дата: Янв 13, 2004 17:39:34 chkalov Лучше добавлять новую, особенно с UPX'ом! |
|
|
Дата: Янв 13, 2004 18:17:22 Asterix А почему так? Кстати, почему FEUERRADER советует в первом способе после бесконечного цикла забить лишние байты nop'ами? Кому они мешают? |
|
|
Дата: Янв 13, 2004 18:23:46 FEUERRADER знаю, он неплохой паренек. Только в пакерах вся их команда, включая этого, как его, MozgC, хм... Как бы так, помягче... |
|
|
Дата: Янв 13, 2004 18:27:20 volodya Судя по последней фразе, которая про снятие скрамблеров... :-))) |
|
|
Дата: Янв 13, 2004 19:00:15 · Поправил: Asterix [ Quantum: Кстати, почему FEUERRADER советует в первом способе после бесконечного цикла забить лишние байты nop'ами? Кому они мешают?] Где советует, я не читал? |
|
|
Дата: Янв 13, 2004 19:11:33 |
|
|
Дата: Янв 13, 2004 19:19:51 Asterix Где советует В статье, на которую ссылается товарищ chkalov. volodya А я уже читал :-) |
|
|
Дата: Янв 13, 2004 19:26:09 Ну и как? |
|
|
Дата: Янв 13, 2004 19:41:42 volodya Рассматриваются теже пакеры, что и в сам_знаешь_каких туториалах :-) Это даёт возможность сравнить. Итак: 1. Если наш общий друг злоупотребляет визуальными эффектами (картинками), то на XtIn они просто отсутствуют, что не есть хорошо (тоже крайность) и читать и понимать листинги трудновато. 2. Используется много разных тулзов (отладчик, хекс-редактор, дампер и т.д.) для распаковки примитивных FSG, Petite и т.п. Тут и одного отладчика в связке с реконструктором импортов вполне хватает. 3. Часто используются фразы с оборотами, вроде "этот код похож на...", "эти байты в дампе смахивают на...", хотя, IMHO, новичкам сложно понять подобные ассоциации. |
|
|
Дата: Янв 13, 2004 20:24:17 [ Quantum: Кстати, почему FEUERRADER советует в первом способе после бесконечного цикла забить лишние байты nop'ами? Кому они мешают?] Как минимум для порядка, или чтобы HiEW/SoftIce не дизассемблировали в этом месте всякую лабуду. ЗЫ: с появлением OllyDbg простые пакеры/криптеры я предпочитаю разбирать в нём, и циклить ничего не надо :-), тока свернул окошко чтоб до ярлыка PETools добраться, и DLL'ки в нём распаковывать удобно ;-) |
|
|
Дата: Янв 13, 2004 21:02:07 Asterix Эх-хе-хе. Ща только доразбираюсь с LPC и кранты придут всем юзермодным. В том числе и твоему OllyDbg. Хотя отладчик спроектирован по уму, этого не отнять. |
|
|
Дата: Янв 13, 2004 21:58:24 · Поправил: Quantum Asterix Как минимум для порядка или чтобы HiEW/SoftIce не дизассемблировали в этом месте всякую лабуду Логично, хотя так больше работы. В этой статье есть опечатка: 1 способ. В HIEW вводим 0ffset=42A195h (9D98h). Там другой offset... ЗЫ: Так зачем в данном случае новая секция? |
|
|
Дата: Янв 14, 2004 00:05:54 [ Quantum: ЗЫ: Так зачем в данном случае новая секция?] А что там где-то есть старая СЕКЦИЯ импорта?? Кстати поэкспериментируй, например возьми PEiD... Хотя я не утверждаю что этого делать нельзя, просто не нужно, глюков будет явно меньше. |