Русский / Russian English / Английский

Сейчас на форуме: SSmith (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Помогите зафиксить после анпака.
Посл.ответ Сообщение


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 20:21 · Поправил: ToBad New!
Цитата · Личное сообщение · #1

У жертвы был покоцан импорт и как я понимаю (могу ошибаться) это после армы было. В общем импорт я восстановил, но программа падает с ошибкой. Это происходит в первой же подпрограмме после ОЕП. Есть старая версия по которой восстанавливал импорт. Импорт одинаков, разница в версиях не очень существенна. Старая версия проходит это место легко, а вот в распакованной мною возникает ошибка. Думаю что касается импорта сделал всё правильно, ибо уверен, что накосячил где-то в PE структуре.
Просьба указать на мою ошибку. Заранее благодарен!
Вложение 480 кб, обе версии.

p.s. И если кто кинет непогаженной версией того, что я капаю - буду очень благодарен!

{ Атач доступен только для участников форума } - file.rar


Статус: Аноним

Создано: 5 июля 2009 20:49 New!
Цитата #2

ToBad пишет:
Есть старая версия по которой восстанавливал импорт

А старую версию тоже сами распаковывали?

Это конечно очень профессионально восстанавливать импорт на основе другой версии программы. В таком случае может быть оригиналом поделитесь?

ToBad пишет:
Хочу в подполье !

Не возьмут...

Ранг: 441.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:06 New!
Цитата · Личное сообщение · #3

ToBad
падает на таблице инициализации, плохо распаковал


Статус: Аноним

Создано: 5 июля 2009 21:08 New!
Цитата #4

У меня падает и раньше. Во врем загрузки образа.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:09 New!
Цитата · Личное сообщение · #5

progopis пишет:
А старую версию тоже сами распаковывали?


Нет, не сам. Не знаю кто.

Работающей версии (для правильного восстановления импорта) у меня не было. Я понимаю, что такое восстановление не профессионально, но посмотрев оба файла я понял, что импорт не поменялся. Если Вы посмотрели файлы и видите ошибку в импорте - назовите адрес. Ткните пожалуйста меня носом.


progopis пишет:
ToBad пишет:
Хочу в подполье !
Не возьмут...


Спасибо, я уже знаю...

Ранг: 441.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:11 New!
Цитата · Личное сообщение · #6

progopis
видимо у фантома стоит "Remove EP-break"


Статус: Аноним

Создано: 5 июля 2009 21:19 New!
Цитата #7

tihiy_grom
Я под IDA WinCE реверсил.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:20 New!
Цитата · Личное сообщение · #8

Вот изначально из чего пытался сделать нормальный файл. dump.ru/file/3015376
progopis, tihiy_grom - спасибо, что посмотрели. В принципе я пофиксил только импорт и вызовы по телу программы, искал по FF25 и удалил мусорные секции. Теперь вроде как не в импорте дело, но с PE я накосячил?


Статус: Аноним

Создано: 5 июля 2009 21:21 · Поправил: Модератор New!
Цитата #9

ToBad пишет:
Если Вы посмотрели файлы и видите ошибку в импорте - назовите адрес. Ткните пожалуйста меня носом.

Я не маг и волшебник. Если я увижу ИСХОДНЫЙ вариант файла - восстановлю для него импорт и проверю с тем что в атаче. Какая мне нафиг радость проверять параметры у сотен фунок импорта? Я и сам могу восстановить импорт - это гораздо проще чем искать ошибку. А дапм кривой - нужен оригинал чтобы сделать дамп.

Добавлено:
Ок, с этим можно работать.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:28 New!
Цитата · Личное сообщение · #10

Сам код не пакован, только с импортом погажено. Всё, что было доделано к этому запускается как я понял через вызов winm0.dll вместо winmm.dll или из переходничков в ddraw.dll. Арма там точно есть.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:29 · Поправил: ToBad New!
Цитата · Личное сообщение · #11

Сорри, запутался с файлами... Накосячил..... Сейчас вышлю ЕХЕ который был в архиве...
Прошу прощения...

Вот он... dump.ru/file/3015435
Этот файл с двумя длл запускается. По крайней мере переключает видеорежим, так что проходит то место где я накосячил...
Сейчас сам попытаюсь выкинуть оттуда арму. Мне всё что нужно это ЕХЕ без армы и этих длл...


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:53 New!
Цитата · Личное сообщение · #12

Кажется теперь распаковал всё и почистил корректно! Прошу прощения, что отвлёк на свой косяк... Так тупо ошибиться....
Единственное, что хотел бы ещё сделать, это поправить что-бы при загрузке в ольку не выскакивал месседж о том, что это плохой файл. Но думаю узнаю как это поправить воспользовавшись поиском по форуму или в гугле.


{ Атач доступен только для участников форума } - last_unp.rar


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 5 июля 2009 21:59 New!
Цитата · Личное сообщение · #13

И это получилось!...
Ricardo Narvaja на одном из форумов кому-то сказал: NumberOfRvaAndSizes = 10 (16.) Change the value to 10.


Статус: Аноним

Создано: 5 июля 2009 22:59 New!
Цитата #14

Стало быть можно закрыть?
 eXeL@B —› Основной форум —› Помогите зафиксить после анпака.
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ