|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Янв 26, 2004 18:24:09 В двух словах:) загрузил файл в Olly, проскролил вниз до прыжка на OEP, это команды: popad jmp ..... (OEP) поставил бряк в Olly на этот jmp (бряк ставить->F2), пустил прогу по F9 брякнулся, снял бряк, сдампил в PETools(с галочкой в настройках где "Dump fix") вручную нашёл таблицу импорта в имадже с помощью WinHex'а, открываю ImpRec, ввожу OEP и RVA найденой IAT, жму Get Imports, импорт появился весь отресолвенный, выбираю мой дамп и фикшу, прописываю OEP дампу или это может сделать ImpRec автоматом, если стоит такая операция в настройках. Всё :-) p.s. Файл отослал. |
|
|
Дата: Янв 26, 2004 19:27:00 Asterix Спасибо за помощь. Я когда пытался сам разжать этот файл, действовал так же. И OEP=0008F3E0 (в Olly 0048F3E0) нашел. Короче все шло хорошо до восстановления таблицы импорта. Вот там-то и возникли проблемы. OEP есть, а как RVA найти я не совсем понял. Файл я получил. В 98 вылетает с "Программа выполнила...и будет закрыта". |
|
|
Дата: Янв 26, 2004 19:34:08 Фиг его знает, у меня сейчас 98-й нет, дело в том что файл не совсем простой у него imagebase==00100000 Протрассируй в Olly и посмотри где вылетает.. |
|
|
Дата: Янв 26, 2004 19:35:56 Может 98-я пытается задействовать релоки чтоб загрузить файл по нормальному ImageBase >=400000 ?? а релоков ясно в файле нет после распаковки. |
|
|
Дата: Янв 26, 2004 19:42:03 Попробуй пришить файлу релоки, я сейчас попробовал.. короче в PETools есть такой плагин!! Может после этого загрузится в 98-й |
|
|
Дата: Янв 26, 2004 19:48:30 Asterix Потрассировал. В Olly по адресу 48F3F8, то есть 6-ю строками ниже EP стоит call адреса 407A70, далее call 40795C, а вот там: 0040795C FF25 40521900 JMP DWORD PTR DS:[195240] И это уже никуда не приводит. |
|
|
Дата: Янв 26, 2004 19:51:14 Asterix У меня PE-Tools при RelocRebuilde вылетает с Программа выполнила...и будет закрыта. :) |
|
|
Дата: Янв 26, 2004 19:55:53 Кстати я еще пробывал этот файл разжать UPX-Ripper 1.3. Результат как и в Специальные upx by Quantum/Volodya. Интересно в чем же все-таки там дело, может как раз с таблицей импорта. |
|
|
Дата: Янв 26, 2004 20:01:20 Asterix WELL12 Релоки тут не причём. Asterix Намыль мне, пожалуйста, распакованный файл для тестирования на 9x. |
|
|
Дата: Янв 26, 2004 20:17:31 WELL12 Ещё один железный вариант :-) распакуй сам файл под win98, OEP знаешь, RVA IAT=95000 , size=2000 Тогда он точно будет запускаться. |
|
|
Дата: Янв 26, 2004 20:18:28 · Поправил: Asterix WELL12 У меня на мной распакованном не вылетает.. У тя наверно PETools не последней версии ;-) |
|
|
Дата: Янв 26, 2004 20:21:12 Quantum Дык тебе нужна будет вся прога наверно, а может и не нужна.. Ты лучше распакуй ему файл под ME, там делов-то на пару минут, вот ведь я теперь без 9x =) |
|
|
Дата: Янв 26, 2004 20:34:07 Quantum гы.. гы.. проблема как раз с релоками, посмотри какие адреса WELL12 написал :-) а ImageBase файла==100000 |
|
|
Дата: Янв 26, 2004 20:37:33 Asterix У меня PE Tools v1.5.400.2003 Xmas Edition Попытался сам восстановить таблицу импорта: IMPRec пишет Can't read memory of the process! |
|
|
Дата: Янв 26, 2004 20:39:34 Asterix OK, надо будет проверить, но не сейчас... Сорри. |