Проблема-дамп инвалид
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Проблема-дамп инвалид - 2011-03-24 23:50:10.366666
|
|
|
lis1pro
Сообщений: 31
Оценки: 0
Присоединился: 2008-03-19 11:57:58.833333
|
нахожу в проге oep, с помощью uif нахожу правлю iat, делаю дамп, пытаюсь пофиксить iat с помощью imprec не получается, типа дамп инвалид
эти проблемы при распаковке dotfix niceprotect 3.6
|
|
|
|
|
RE: Проблема-дамп инвалид - 2011-03-25 11:07:55.310000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Там OEP украден, минитутор и скрипты есть тут
http://forum.tuts4you.com/index.php?showtopic=18301
|
|
|
|
|
RE: Проблема-дамп инвалид - 2011-03-25 22:41:57.306666
|
|
|
lis1pro
Сообщений: 31
Оценки: 0
Присоединился: 2008-03-19 11:57:58.833333
|
iat у исходной проги под протом не верный, автоматическое определение и правка в lordpe у дампа, результатов не дает
ты сам-то проделывал процедуру которую описывает k11? я да, но смысла восстаналивать import table не вижу, так как данный протект не портит импорты
|
|
|
|
|
RE: Проблема-дамп инвалид - 2011-03-26 10:23:39.783333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Качаем UnPackMe.exe http://tuts4you.com/download.php?view.2528
Грузим в Olly, получаем сообщение: "Bad or unknown format of 32-bit executable", это происходит из-за неверного Number Of Rva and Sizes. В данном файле он равен 036A7080h, в нормальных файлах он равен 00000010h. Необходимо его исправить в PE-Tools. Теперь в Olly грузится без проблем. Нам необходим плагин ODbgScript, скачать можно тут http://odbgscript.sourceforge.net и 2 скрипта DotFix_NiceProtect_3.x_Find_stolen_OEP_v1 и DotFix_NiceProtect_3.x_Find_VM_v1, скачать можно тут http://forum.tuts4you.com/index.php?showtopic=19091
Запускаем первый скрипт DotFix NiceProtect 3.x Find VM v1.0
После выполнения скрипта остановились тут:
Запускаем второй скрипт DotFix NiceProtect 3.x Find Stolen OEP v1.0
Теперь запустилось приложение UnPackMe.exe, нажимаем Exit в нем и скрипт заканчивает свою работу: "OEP successfully rebuilded, check UnPackMe_OEP.txt". Теперь в файле UnPackMe_OEP.txt видим окресности оригинальной точки входа:
Command = MOV EAX,44FA08
--------------------Registers before 1st Call
EAX Value - 44FA08
ESP Value - 12FF5C
EBP Value - 12FF70
--------------------
CALL = PUSH 406564
Command = MOV EAX,DWORD PTR DS:[450DEC]
Command = MOV EAX,DWORD PTR DS:[EAX]
CALL = PUSH 44E2F0
Command = MOV ECX,DWORD PTR DS:[450EC0]
Command = MOV EAX,DWORD PTR DS:[450DEC]
Command = MOV EAX,DWORD PTR DS:[EAX]
Command = MOV EDX,DWORD PTR DS:[44F7DC]
CALL = PUSH 44E308
Command = MOV EAX,DWORD PTR DS:[450DEC]
Command = MOV EAX,DWORD PTR DS:[EAX]
CALL = PUSH 44E388
CALL = PUSH 404108
Можно догадатся что данное приложение написано на делфи, сл-но первые три команды будут
push ebp
mov ebp,esp
add esp,-010h
Снова запускаем скрипт DotFix NiceProtect 3.x Find VM v1.0, останавливаемся на начале VM и исправляем код на:
push ebp
mov ebp,esp
add esp,-010h
mov eax,044fa08h
call 00406564
mov eax,dword ptr ds:[0450dech]
mov eax,dword ptr ds:[eax]
call 0044e2f0
mov ecx,dword ptr ds:[0450ec0h]
mov eax,dword ptr ds:[0450dech]
mov eax,dword ptr ds:[eax]
mov edx,dword ptr ds:[044f7dch]
call 0044e308
mov eax,dword ptr ds:[0450dech]
mov eax,dword ptr ds:[eax]
call 0044e388
call 00404108
Теперь это будет новая точка входа, располагается она по адресу 00462191h. Дампим все, открываем ImpRec, в поле OEP вводим 62191, жмем GetImport. Весь импорт успешно определился:
FixDump - прикручиваем его к дампу. Проверяем - все запускается.
|
|
|
|
|
RE: Проблема-дамп инвалид - 2011-03-26 13:29:56.120000
|
|
|
lis1pro
Сообщений: 31
Оценки: 0
Присоединился: 2008-03-19 11:57:58.833333
|
Flint_ta спасибо большое! Прогу распаковал.
|
|
|
|
|
RE: Проблема-дамп инвалид - 2011-03-26 20:11:08.870000
|
|
|
lis1pro
Сообщений: 31
Оценки: 0
Присоединился: 2008-03-19 11:57:58.833333
|
Flint_ta
а ты работал с fakesigner 3.6, пытаюсь распаковать теперь программу под этим протом, тоже от dotfix, аналогично краденый oep, нашел на упк инфу, но так и не понял как они нашли краденый Oep:
http://www.unpack.cn/thread-7931-1-1.html
премного благодарен за помощь!
|
|
|
|
|
RE: DotFix NiceProtect - 2011-03-28 16:50:13.606666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Потрейси дальше код, может точка входа рядом.
|
|
|
|
|
RE: DotFix NiceProtect - 2011-03-28 19:09:24.336666
|
|
|
lis1pro
Сообщений: 31
Оценки: 0
Присоединился: 2008-03-19 11:57:58.833333
|
трейсил, в 0066c0f8 натыкаюсь на vm start, но при дампе и восстановление импорта ничего хорошего не получается, импорты определяеются, как удачные, так и нет
|
|
|
|
|
|
