Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› FSG 2.0
Посл.ответ Сообщение


Ранг: 500.6 (!)
Статус: Участник

Создано: 11 октября 2004 08:02 New!
Цитата · Личное сообщение · #1

Нужна инфа по распоковке FSG 2.0.



Ранг: 0.0 (гость)
Статус: Участник

Создано: 11 октября 2004 08:14 New!
Цитата · Личное сообщение · #2

NIKOLA

Помнится, SLV писал статейку по этому поводу. Щас у него че-то на сайт попасть не могу. Он прочитает, вышлет тебе. А вообще я не понимаю нафига она нужна. Там все достаточно просто. Ты сам ковырял? Есть какие-то вопросы?




Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 11 октября 2004 08:25 New!
Цитата · Личное сообщение · #3

/* 

//////////////////////////////////////////////////////////////
// FSG 2.0 OEP finder
// Author: hacnho/VCT2k4
// Email : hacnho[@]hotmail.com
// Website: nhandan.info/hacnho
// OS : WinXP Pro, OllyDbg 1.10 Final, OllyScript v0.85
////////////////////////////////////////////////////////////
*/

eob Break
findop eip, #FF63??# // Find the special signal, this is the JUMP
bphws $RESULT, "x" // Set a memory breakpoint on excute
run //Run the program

Break:
bphwc $RESULT //Clear memory breakpoint
sti //Step into (F7)
an eip // Ctrl+A for Analyze
log eip //Logs source to OllyDbg log window.
cmt eip, "This is the OEP! Found by hacnho/VCT2k4" //Write a comment
MSG "Dumped and fix IAT now! Thanx for using my Script...!" //Show a message

ret //Exits script




Ранг: 0.0 (гость)
Статус: Участник

Создано: 11 октября 2004 09:11 New!
Цитата · Личное сообщение · #4

На самом деле всё легко распаковывается.

Прыжок на OEP выглядит вот так:
004001CC 40 INC EAX
004001CD 78 F3 JS SHORT RCIC.004001C2
004001CF 75 03 JNZ SHORT RCIC.004001D4
004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C] <-- JMP OEP

RVA и SIZE таблицы импорта IMPREC может определить неверно, поэтому нужно руками ввести значения RVA и Size и обрезать левые функции.




Ранг: 500.6 (!)
Статус: Участник

Создано: 11 октября 2004 12:58 New!
Цитата · Личное сообщение · #5

GPcH
Скрипт для Ольки у меня есть, да и ОЕР я сам нашёл.
Проблема в востановлении импорта.ImpRec у меня не все функции определяет.Когда стоишь на ОЕР ImpRec определяет
только три модуля.После запуска программы опять запускаю ImpRec, те три модуля определённые вначале, кудато пропадают и появляеться только один модуль.Проблема только в этом.
Man1ac пишет:
RVA и SIZE таблицы импорта IMPREC может определить неверно, поэтому нужно руками ввести значения RVA и Size и обрезать левые функции.

Таблицу импорта я нашёл в дампе.Когда прописываю RVA и SIZE в ImpREC он почемуто вставляет свои данные.И нехрена у меня не получаеться.Если есть у кого какаянибуть инфа скинте на мыло плиз.
nikolaekb[dog]pochta.ru



Ранг: 0.0 (гость)
Статус: Участник

Создано: 11 октября 2004 13:08 New!
Цитата · Личное сообщение · #6

NIKOLA

Импрек вставляет свои данные, потому что ты вписываешь RVA и нажимаешь IAT AutoSearch, надо сразу - GetImports. SIZE можешь не прописывать, только правильно вычисленные, например в FLC из LordPE RVA по offset.




Ранг: 500.6 (!)
Статус: Участник

Создано: 11 октября 2004 13:56 New!
Цитата · Личное сообщение · #7

Попробую.Но всёравно инфа не помешает.




Ранг: 500.6 (!)
Статус: Участник

Создано: 11 октября 2004 14:28 New!
Цитата · Личное сообщение · #8

Если кто желает поиследовать вот урла.Размер 620 Кб.

download.kristanix.com/getfile.php?fileid=5



Ранг: 2.2 (гость)
Статус: Участник

Создано: 11 октября 2004 17:14 New!
Цитата · Личное сообщение · #9

Дайте линк на fsg 2 в приват, плз




Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 11 октября 2004 22:59 New!
Цитата · Личное сообщение · #10

protools.anticrack.de/files/packers/fsg.zip


 eXeL@B —› Основной форум —› FSG 2.0

Видеокурс ВЗЛОМ