Русский / Russian English / Английский

Сейчас на форуме: Slinger
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› ExeShield 3.7 Unpacking
Посл.ответ Сообщение


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 17 января 2007 01:51 New!
Цитата · Личное сообщение · #1

Кто расспаковывал сабж подскажите чё делать!
Сабж: www.tuts4you.com/blogs/request.php?940
Сначала идёт код как у PEcompact 2.xx, потом ещё один слой, напоминаеи UPX, переход на ОЕР происходит так:

push xxxxxxxx
retn

Дамплю, восстанавливаю импорт, 4 неопознаных функции , находим руками, но вот в чём загвоздка - вроде дошёл до ОЕР, сдампил, восстановил импорт и при запуске он говорит:

Error 1001, unable to unpack files.

Найденный мной ОЕР выглядит так:

Начало с адреса 00475134

push ebp
mov ebp, esp
add esp, -0C
push ebx
mov eax, 00474F24
call 00406648
mov ebx, [47ADA4] ; UnPackMe.0047B7B0
mov eax, [ebx]
call 004451D4
mov eax, [ebx]
mov edx, 004751AC
call 00444DF8
mov ecx, [47ABD4] ; UnPackMe.0047BAF8
mov eax, [ebx]
mov edx, [46A404] ; UnPackMe.0046A450
call 004451EC
mov ecx, [47AC18] ; UnPackMe.0047BADC
mov eax, [ebx]
mov edx, [4692E0] ; UnPackMe.0046932C
call 004451EC
mov ecx, [47AEC8] ; UnPackMe.0047BAE8
mov eax, [ebx]
mov edx, [469EE0] ; UnPackMe.00469F2C
call 004451EC
mov eax, [ebx]
call 0044526C
pop ebx
call 00403AC4

Это код распаковщика?

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 17 января 2007 02:37 New!
Цитата · Личное сообщение · #2

Это ошибка от новой контрольной суммы. Ищи проверку


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 17 января 2007 02:42 New!
Цитата · Личное сообщение · #3

листинг, который ты привел, это стандартное начало делфи.. стало быть ищи проверки на распакованность

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 17 января 2007 02:44 New!
Цитата · Личное сообщение · #4

www.reversing.be/article.php?story=20051022184459703


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 17 января 2007 02:51 · Поправил: daFix New!
Цитата · Личное сообщение · #5

Medsft

Спасибо за ссылку, но я пока пытаюсь расспаковать UnPackMe_ExeShield3.7.a.exe, а там UnPackMe_ExeShield3.7.с.exe

To Medsft, lord_Phoenix SNX

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 17 января 2007 02:55 New!
Цитата · Личное сообщение · #6

www.nuc.cz/tutorials/index.php?PHPSESSID=513nisqbhfcuq4khg0hsp001g0&direction=0&order=&directory=UNPACKING/EXESHIELD
А это совсем новое


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 17 января 2007 02:59 New!
Цитата · Личное сообщение · #7

Medsft пишет:
www.nuc.cz/tutorials/index.php?PHPSESSID=513nisqbhfcuq4khg0hsp0 01g0&direction=0&order=&directory=UNPACKING/EXESHIELD
А это совсем новое


Офигенная ссылка! Ещё раз SNX

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 января 2007 03:42 New!
Цитата · Личное сообщение · #8

ExeShield тож самое что Йода Криптор
 eXeL@B —› Основной форум —› ExeShield 3.7 Unpacking

Видеокурс ВЗЛОМ