|
|
| Правила Форума редакция от 22.06.2020 |
|
|||||||
|
|
Окажите посильную поддержку, мы очень надеемся на вас. Реквизиты для переводов ниже.   WMZ: Z021474945171 WME: E159284508897 WMUSDT: T206853643180 4100117770549562 Спасибо за поддержку!
|
|
 |
|
|
Опции темы | Опции просмотра |
Language
|
01.08.2006, 16:03
|
#1
|
|
Постоялец
 Пол: 
Регистрация: 19.11.2005
Адрес: Арзамас
Сообщений: 416
Репутация: 122
|
FSG/UPX..and Over
Вот попробовал прикалоться, сам запаковал, сам распаковывал...
Для себя шпаргалку написал... гы, вообще-то актуально... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Applications: PEiD, OllyDebug, PETools, ImpRec. Открываем в PEiD filename.dll видим - упакован UPX, закрываем PEiD. Открываем в OllyDebug filename.dll - соглашаемся, Launch с помощю Loaddll.exe. Ищем в загруженном filename.dll комманду POPAD, собственно её я не нашёл, а выбрал JMP filename.10028540, так как обычно JMP должен следовать. Ставим тут "бряк", далее Run, приходим сюда же. Надо ли это сделать неясно? Снимаем "бряк", жмём Step Over - видимо предыдущий шаг подготавливал это, теперь если нет ошибок мы стоим на адресе OEP. Открываем PETools, в верхнем окне выбираем загрузчик Loaddll.exe, после чего в нижнем увидим filename.dll. Сохраним его образец в памяти в файл - Dump Full... Открываем ImpRec, в верхнем окне выбираем загрузчик Loaddll.exe, после чего в нижнем увидим filename.dll, выбираем его и жмём IAT AutoSearch... Теперь в поле OEP пишем наш адрес - четыре цыфры которые справа, слева ставим четыре нуля. После чего жмём Get Imports и видим в среднем окне строки с valid:YES ! Теперь Fix Dump - исправим наш новый файл снятый с памяти. Проверим его - в PEiD, "Microsoft Visual C++ 7.0 DLL Method 3" - значит получилось! Запускаем, приложение - не работает... Сжато: UPX 0.80 - 1.24 DLL -> Markus & Laszlo Приложение: Trilogy.dll (VSTi) Что не ясно, как собственно OEP искать?... Последний раз редактировалось semiono; 01.08.2006 в 16:07.. |
|
|
|
|
| Реклама: | аренда стульев на мероприятие | Мебельный магазин: стол письменный ширина 60 см - Переходи на сайт! | руки вверх концерт 2026 город великие луки - redkassa.ru | зубы имплант | Мебельный магазин: тумбочка под телевизор напольная - Переходи на сайт! |
|
02.08.2006, 15:54
|
#2
|
|
Постоялец
Пол:
Регистрация: 19.11.2005
Адрес: Арзамас
Сообщений: 416
Репутация: 122
|
Re: FSG/UPX..and Over
1. У меня вопрос по Olly и Hiew...
А нету в них функции поиска ASM комманд? Например, search POPAD или search JMP xxxx? - было бы неплохо, но чё-то я не нахожу... 2. Есть такой плаг для ольки HideDebugger101.zip, чё-то он в меню только About показывает, нажать негде... Открываю ASProtect-приложение, оно ольку обнаружает... и чё делать?... Последний раз редактировалось semiono; 02.08.2006 в 15:58.. |
|
|
|
|
05.08.2006, 10:16
|
#3
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Неактивный пользователь
Пол:
Регистрация: 09.11.2005
Сообщений: 80
Репутация: 1092
|
Re: FSG/UPX..and Over
Ошибка, видимо в том, что Вы неправильно определили относительный виртуальный адрес смещения к Image Base.
К сожалению, не все так просто: снятый дамп еще не говорит о том, что программа будет работать, - это, как правило, происходит из-за неправильного примонтирования таблицы импорта, что в свою очередь может являться следствием неправильного определения OEP. В целом, распаковка таких простых пакеров обычно не вызывает сложностей, если нет защиты скремблерами или других приемов. Если есть желание узнать про разные аспекты распаковки, могу порекомендовать туториалы на этом портале исследования программ http://www.cracklab.ru/. Также можете зайти сюда http://zonelunatics.narod.ru/Link/URL.html - там ОЧЕНЬ МНОГО ссылок на крупнейшие крек-ресурсы в интернете.
Дело в том, что плагин HideDebugger 1.01 (by Asterix) работает в автоматическом режиме и никаких дополнительных настроек не имеет, поэтому там только одна кнопка About. Попробуйте другой плагин SV_IsDebug14. Плагин надо скопировать в папку с OllyDbg (для активации этого плагина надо зайти в настройки Меню – Plugin – IsDebugPresent - Hide). 
__________________
Бывший участник THETA Последний раз редактировалось Froggy; 05.08.2006 в 16:16.. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
| Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
|
11.08.2006, 00:17
|
#4
|
|
Постоялец
Пол:
Регистрация: 19.11.2005
Адрес: Арзамас
Сообщений: 416
Репутация: 122
|
Re: FSG/UPX..and Over
На удивление даже с помощью PEiD плагина удалось распаковать fsg133, я раньше думал PEiD вообще безполезная прога =)
Однако до ресурсов (Reshacker) добраться не смог, не понятно или всётаки криво распаковалось, хотя показывает Visual C+ 7 или там ещё хитрости кода, хотя зачем тогда было ещё и паковать! %) А ещё недавно попалось yoda's protector - это видимо совсем труба дело :-) Последний раз редактировалось semiono; 11.08.2006 в 00:19.. |
|
|
|
|
13.08.2006, 21:17
|
#5
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Неактивный пользователь
Пол:
Регистрация: 09.11.2005
Сообщений: 80
Репутация: 1092
|
Re: FSG/UPX..and Over
Тут я с Вами не соглашусь. PEiD - это программа номер 1 на рабочем столе исследователя! Собственно, с нее и начинается исследование. Что же касается распаковки, то в случае простых пакеров, каким и является FSG 1.33, программа имеет ряд плагинов для распаковки от известных групп. Поэтому ничего удивительного в этом нет! Скачать последнюю версию программы PEiD 0.94 Final со всеми плагинами можно здесь
Если программа запускается, то значит все в порядке. Если же была неправильно примонтирована таблица импорта, то программа запускаться и не будет и, конечно же, ResHacker ее сможет открыть, но ресурсы может и не увидеть. Советую для распаковки простых пакеров попробовать использовать Quick Unpack 1.0 Beta 5 от AHTeam. Скачать ее со всеми плагинами можно здесь
Это протектор от человека по имени Yoda (почти как из "Звездных войн":xe). В свое время считался довольно хорошим протектором, но это был 2000 год, и поэтому за давностью лет сейчас он уже практически не используется, так как его легко снять. Вот программы для его распаковки (вместе с исходными текстами на ассемблере ) залил сюдаПароль на архив: Froggy А вот здесь можно скачать видеоурок (!) по снятию этого протектора в ручном режиме от группы TLG, размер файла 940 кб (да, и чуть не забыл, в этом же архиве Вы найдете последнюю самую новую версию протектора 1.03.3 - сейчас, похоже, проект закрыт, так что ее нет даже на официальном сайте! и вдобавок, скрипт для снятия этого протектора в Olly Debug 1.1 вместе с иходниками).
__________________
Бывший участник THETA Последний раз редактировалось Froggy; 14.08.2006 в 19:23.. Причина: добавление ссылки |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
| Эти 3 пользователя(ей) сказали cпасибо за это полезное сообщение: |
|
15.08.2006, 05:49
|
#6
|
|
Постоялец
Пол:
Регистрация: 19.11.2005
Адрес: Арзамас
Сообщений: 416
Репутация: 122
|
Re: FSG/UPX..and Over
Froggy, благодарю! Сколко полезной информации!
|
|
|
|
|
23.09.2006, 03:13
|
#7
|
|||||||||||||||||||||||
|
Неактивный пользователь
Пол:
Регистрация: 23.09.2006
Сообщений: 6
Репутация: 2
|
Re: FSG/UPX..and Over
откуда вы только достаете ископаемые версии плагина, текущая версия 1.2.4 находится здесь http://www.wasm.ru/forum/viewtopic.p...118380#p118380 Последний раз редактировалось _Asterix_; 23.09.2006 в 03:16.. |
|||||||||||||||||||||||
|
|
|
| Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
|
05.11.2006, 05:14
|
#8
|
|
Постоялец
Пол:
Регистрация: 19.11.2005
Адрес: Арзамас
Сообщений: 416
Репутация: 122
|
Re: FSG/UPX..and Over
Блин, я думал у меня всё новьё, я даже PSAPI.dll обновлял )
|
|
|
|
|
21.11.2006, 08:46
|
#9
|
|||||||||||||||||||||||
|
Пользователь
Пол:
Регистрация: 20.11.2006
Сообщений: 194
Репутация: 762
|
Re: FSG/UPX..and Over
1. Ctrl+F и пиши команду ;) 2. Возьми версию последнюю (1.2.4), например на cracklab.ru/f |
|||||||||||||||||||||||
|
|
|
Линейный вид
