Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Проблемы с распаковкой Upx
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 5 декабря 2004 13:34 New!
Цитата · Личное сообщение · #1

Доброе время суток!!!

Файл запротекчен "UPX Scrambler", я его открываю через Olly Debugger, а у меня вместо кода описаного в статьях такая муть:

0051078F > $ 90 NOP
00510790 . 61 POPAD
00510791 . BE 00D04B00 MOV ESI,StatistX.004BD000
00510796 . 8DBE 0040F4FF LEA EDI,DWORD PTR DS:[ESI+FFF44000]
0051079C . C787 A4100C00 > MOV DWORD PTR DS:[EDI+C10A4],C2F7EA60
005107A6 . 57 PUSH EDI
005107A7 . 83CD FF OR EBP,FFFFFFFF
005107AA . EB 0E JMP SHORT StatistX.005107BA
005107AC 90 NOP
005107AD 90 NOP
005107AE 90 NOP
005107AF 90 NOP
005107B0 > 8A06 MOV AL,BYTE PTR DS:[ESI]
005107B2 . 46 INC ESI
005107B3 . 8807 MOV BYTE PTR DS:[EDI],AL
005107B5 . 47 INC EDI
005107B6 > 01DB ADD EBX,EBX
005107B8 . 75 07 JNZ SHORT StatistX.005107C1
005107BA > 8B1E MOV EBX,DWORD PTR DS:[ESI]
005107BC . 83EE FC SUB ESI,-4
005107BF . 11DB ADC EBX,EBX

Ну так вот!!! Где мне ставить бряк, как я понимаю переход на ОEP, в след. строке 005107AA
только вот почемуто если я ставлю бряк на этой строке и потом перехожу в строку 005107BA, и сдергиваю дамп, то выходит какая-то муть и дамп снимается неправильно... Снимаю дамп той же олли.

Заранее спасибо!


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 5 декабря 2004 13:43 New!
Цитата · Личное сообщение · #2

Technocrat пишет:
как я понимаю переход на ОEP, в след. строке 005107AA

странный у тебя переход к оеп =)

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 5 декабря 2004 15:05 New!
Цитата · Личное сообщение · #3

Technocrat
Не, судя по коду, ты ещё в самой шапке распаковщика.
Иди вниз и будет тебе счастье ;)
после JMP 0xxxxxxx должны идти 0000


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 5 декабря 2004 19:05 New!
Цитата · Личное сообщение · #4

Technocrat
Почитай статьи по распаовке
http://exelab.ru/art/art325.php
http://exelab.ru/art/pkk.php


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 6 декабря 2004 04:48 New!
Цитата · Личное сообщение · #5

Бля... я ржал до уссачки

Ранг: 28.0 (посетитель)
Статус: Участник
anarchist

Создано: 6 декабря 2004 04:54 New!
Цитата · Личное сообщение · #6

GPcH
думаю когда ты учился над тобой тоже кто "ржал до уссачки"

Ранг: 0.0 (гость)
Статус: Участник

Создано: 6 декабря 2004 05:37 New!
Цитата · Личное сообщение · #7

я когда внутринности dotfix.net смотрел - вообще обосралси

Ранг: 0.0 (гость)
Статус: Участник

Создано: 6 декабря 2004 07:03 New!
Цитата · Личное сообщение · #8

GPcH пишет:
Бля... я ржал до уссачки


Точно что бля****, а бочку потом только на ньюбисов катят, типа хамят ветеранам........................................

Ранг: 0.0 (гость)
Статус: Участник

Создано: 6 декабря 2004 07:25 New!
Цитата · Личное сообщение · #9

GPcH
А что смешного?

Ранг: 45.1 (посетитель)
Статус: Участник

Создано: 6 декабря 2004 07:46 New!
Цитата · Личное сообщение · #10

Technocrat
[/i] Ну так вот!!! Где мне ставить бряк, как я понимаю переход на ОEP, в след. строке 005107AA
[i]

дай дамп дальше !

[/i]
если я ставлю бряк на этой строке и потом перехожу в строку 005107BA
[i]

слабо верится

GPcH
Смешного тоже не вижу


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 6 декабря 2004 09:30 New!
Цитата · Личное сообщение · #11

vins пишет:
думаю когда ты учился над тобой тоже кто "ржал до уссачки"

Когда я начинал - я читал больше, чем спрашивал. А если ничего не читать и только спрашивать... тем более такую фигню, то очень тяжело учиться, да и пользы ноль

vbcrasher пишет:
я когда внутринности dotfix.net смотрел - вообще обосралси

И что ты там смешного увидел, мне интересно знать? Может ты еще и внутренности краклаба видел? Ксакепы блин


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 6 декабря 2004 19:02 New!
Цитата · Личное сообщение · #12

GPcH
Зря пальцы гнёшь.
Человек учиться. Почему бы ему не помочь?


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 7 декабря 2004 00:00 New!
Цитата · Личное сообщение · #13

WELL пишет:
Зря пальцы гнёшь.
Человек учиться. Почему бы ему не помочь?

Да я не гну, просто такой примитив почти в каждой статье описан, да и не в настроении я был, когда это писал.

Technocrat
А распаковать можно двмя способами:
1) взять любой Generic Unpacker (GUW32, PEiD Generic Unpacker Plugin, QUnpack) и не париться - это автораспаковщикию
2) пролистнуть код ниже - там будет перед горой нулей
jmp xxxxxxxx, так вот адрес, что на месте иксов увидишь - это OEP.
И совет на будущее - почитай статьи Мозга - в них Дао


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 7 декабря 2004 02:59 · Поправил: -= ALEX =- New!
Цитата · Личное сообщение · #14

Technocrat и еще совет на будущее ) почти у всех
пакеров найти OEP можно, поставив бряк bpm esp-4 в самом начале кода, бряка сработает на popad а дальше типа jmp OEP, jmp REG (REG=OEP), push OEP - ret, push REG (REG=OEP) - ret ну или еще может че

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 7 декабря 2004 03:49 · Поправил: Asterix New!
Цитата · Личное сообщение · #15

В аттаче типичный листинг для UPX'а, для понятливых всё сразу станет понятно, а именно куда какие бряки ставить ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 7 декабря 2004 03:50 New!
Цитата · Личное сообщение · #16
 eXeL@B —› Основной форум —› Проблемы с распаковкой Upx

Видеокурс ВЗЛОМ