Как рапаковать UPX :) - шутка.

А вопрос следующий, вот начало процедуры распаковки UPX
PUSHAD
MOV ESI,LoadDLL.00443000
LEA EDI,DWORD PTR DS:[ESI+FFFBE000]
MOV DWORD PTR DS:[EDI+5670C],DFAB540E // ЧТО ЭТО!
PUSH EDI

В UPX v1_00 вот такое начало, я посмотред в файле по
адресу EDI+5670C лежит как раз DFAB540E, подумал, что это
проделки "защиты", но когда в Olly загрузил, то моему
удивлению не было предела, по этому адресу 00000000
и команда MOV не лишняя, почему так происходит, получается
загрузчик пишит туда нули, но зачем???

Вот файл выслал и UPX 1_00 (пропатченный по статье)

Файл, про который идет разговор, в ходе экспирементов
выяснил, что процедура входа изменилясь, на вот такую, после
добавления модуля, для работы с jpeg, и на Delphi > 200kb
стандартных, UPX тоже использует извращеный вход.


1670444376__Form.exe

Upx_part1

_2004789547__upx_100.part1.rar

Upx_part2

2062085633__upx_100.part2.rar

volodya
Да нет не UPX, а exe файл!
UPX я просто кинул, что бы люди время не тратили, скачал-пользуйся
Для данного EXE:
PUSHAD
MOV ESI,Form.00412000
LEA EDI,DWORD PTR DS:[ESI+FFFEF000]
MOV DWORD PTR DS:[EDI+146FC],512C760
PUSH EDI

nice

Блин, для кого я столько писал с Квантом об UPX? Для чего тебе статью на 40 страниц написали. Я тебе, старый, говорил, что завязал? Говорил. Говорил, придешь, с лестницы спущу? Говорил. Ну так не обижайся теперь.
Нечего тут удивляться. Это указатель на TLS. TLS обнуляется лоадером. Код стаба смотреть надо! Читать надо! А не в форум свое горе вываливать!

volodya
Спасибо за ответ!
Я читал, только в моём случае видимо: читаю книгу-вижу фигу
Эх...

Блин, для кого я столько писал с Квантом об UPX?
А у нас так всегда:)) Смотрим в книгу видим фигу:))
P.S. Писалово большое и лень читать...