И еще. Твой OEP в IDA находится за одну секунду:

UPX1:0040F34F                 jmp     near ptr dword_405934

то, что тебе Asterix и показал. Что до HIEW, я поговорю с Сусликовым и в статье напишу в чем причина.

Asterix
А у меня саежей версия 1.5.320.2003[alpha]
Она вроде дампит, попробуй ImpRec довести до ума...
У меня ImpREc посылает, а даже если исправит таблицу,
файл не рабочий получается :(

volodya
Я думал это ffff значит - (минус), то есть прыжок к началу, от текущей строки.
пример:

0040104D 8BF8 MOV EDI,EAX
0040104F E9F9FFFFFF JMP 0040104D ; НА ПРЕД. СТРОКУ

Но подумай логически. На секундочку. JMP 0FFFF9D34 - это прыжок в область системных адресов, ближе к границе 4-го гигабайта. Это нулевое кольцо. КУДА ТУДА ПРЫГАТЬ???
Меня это и смутило, я поэтому вопрос и задал, раз не понял
:(
Баловством с пакерами, начал заниматся после твоей классной статьи о ре

попробуй ImpRec довести до ума...

Не понял??
Я же тебе выложил, сдампленую, с восстановленным импортом.
Ты как дампишь?
Настройки в ImpRec не трогал??

0040104D 8BF8 MOV EDI,EAX
0040104F E9F9FFFFFF JMP 0040104D ; НА ПРЕД. СТРОКУ

Не, на предыдущую строку должен быть короткий jmp, т.е. jmps(2 байта).

nice
Asterix

Мне, ребята, вообще не нравится, что вы ImpRec трогаете в случае UPX. Не нужен он там. Вам сорцы на что даны? Ушами хлопать? Придется, видать, мне и это в статью положить. Разберу - напишу.

Asterix
Вот пишет(imprec messagebox):
Invalid dump file! Can't match RVA to OffSet in the dump

Rva я в дампе взял: 11014
Убрал добавление секции.

Такая процедура с LordRE дает рабочий EXE

Ини файл:
[Import REConstructor]
RENORMALIZE_EXPORTS=00000000
DEBUG_PRIVILEGE=00000001
FIX_PDB=00000000
IMPORT_BY_ORDINAL=00000000
TL1_MAX_RECURSION=00000005
TL1_BUFFER_SIZE=00000100
FIX_OEP=00000001
TL2_3_TIMEOUT=00000100
USE_PE_HEADER_DISK=00000001
EXACT_CALL=00000001
NEW_IAT=00000000

Asterix
Твой Exe рабочий ;)
CrackMe - сделал :)))
А с jmp я просто пример привел, понятно, что это jmps

volodya
Согласен, что надо на более высокий уровень переходить, но всему своё время, у меня каша в голове после нескольких статей, стал сам разбиратся, надо и этому способу научится

volodya
Мне, ребята, вообще не нравится, что вы ImpRec трогаете в случае UPX. Не нужен он там. Вам сорцы на что даны? Ушами хлопать? Придется, видать, мне и это в статью положить. Разберу - напишу.

Насчет UPX не знаю, у ASPack'а таблица точно целенькая проскакивает.
Делать нужно как проще, проще ImpRec'ом - значит ImpRec'ом.
Я на распаковку потратил менее минуты, а если я буду IAT в памяти
отлавливать сколько пройдёт времени??

По поводу глючащего hiew - факт, это он просто некорректно показывает адреса которых нет в файле, а для UPX это какраз актуально - там юзается inplace декомпрессор, так штаа точка входа в зажатом файле очень часто показывет туда где файла нет, это конечно бага/фича hiew, но бодаться с SEN'ом по этому поводу я задрался - я уже его сажал за свою тачку и тыкал носом в битые файлы на которыз hiew просто вешался и выжирал гиг памяти, причем умирать не хотел никак, но Сусликов нагло заявил что это типа фича и типа нех совать битые файлы :) Кароче его это мало колышит :(
Поп поводу UPX - ImpRec тут самы простой способ, бо таблицу импорта оно переводит в свой формат, можно кончено заюзать его-же сорцы и обратно конвертнуть, но это долльше явно, да и ProcDump перкрасно справляется с таким импортом.

А вообще, о чем разговор то идет, о глючности HIEW? Я например давно привык к Qview, а в HIEW только пару раз глянул. Просто когда я начинал заниматься исследованием, то в статьях мне встречался Qview, вот поэтому и привык. Хотя не спорю, что HIEW по возможностям превосходит Qview, но Qview в связке с HEXWorkShop - рулит.
P.S. Извеняюсь за оффтоп.

Ну вы, блин, даёте. :((

Ответил в форуме, где эта тема началась, чтобы не репостить в кучу мест здесь дам ссылку:

http://www.borda.ru/re.pl?cracklab-00000445-000-0-0-0-1064329290-0

Хотя, если кого-то напрягает, могу и сюда перепостить, только свистните...

bsl_zcs

На васме тоже отличились :) Родной, вопрос был задан так - куда ведет этот джамп. Я ответил. Что до опкодов и примочек HIEW'a - спасибо, что разъяснил. Надо еще почитать :)

bsl_zcs

То что это глюк HiEW'а - факт, ты только попытался объяснить
почему так происходит, кстати сказать, такое происходит не всегда,
иногда HiEW правильно показывает.
Что до OllyDbg(кто-то там писал что Olly тоже глючит) то у меня
всё нормально, конечно же в процессе выполнения ничего на меняется
(в смысле байт), просто к моменту дохождения до этой инструкции
дебажный дизассемблер разберётся что к чему(если он сглючил на EP)
и покажет правильно.
А что касается ImpRec'а, то допустим встроенный rebuild'ер импорта,
который в дампере-тоже является тулзой, хотя и встроенной,
я предпочитаю дампить всё-таки без включения этой операции и
восстанавливать импорт на ПОРЯДОК более совершенной утилитой
Import Reconstructor и не думаю что это из пушки по воробьям.
Косвенно это подтверждает тот факт что, например, тот же ProcDump
содержит отдельную операцию по распаковке UPX'а, и соответственно
работает по специально написанному для этой цели скрипту.

Asterix

Ты прав. Проглядел только предельно быстренько исходники ИмпРека, что были. Там хороший код.