Русский / Russian English / Английский

Сейчас на форуме: johnniewalker, -Sanchez-, ValdikSS, sss123 (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Как распаковать FSG 1.2
Посл.ответ Сообщение

Ранг: 5.0 (гость)
Статус: Участник

Создано: 9 ноября 2004 18:33 New!
Цитата · Личное сообщение · #1

Прочитал статью про распаковку FSG 1.2 (http://xtin.km.ru/view.shtml?id=53) А как можно все это реализовать на Оле - добрался до перехода в в первую секцию проги, смотру куда идет переход - в секцию данных. может где в настройках Оли что справить?

Ранг: 145.5 (ветеран)
Статус: Участник

Создано: 9 ноября 2004 19:03 New!
Цитата · Личное сообщение · #2

Есть скрипты для олли ollyscript.apsvans.com/
Я то по ним теперь учусь но часто они не работают зато
можно поправить немного под свою прогу и все получается!

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 10 ноября 2004 03:07 New!
Цитата · Личное сообщение · #3

Нахрен скрипты для пакеров, тем более таких незатейливых, головой нужно думать..

Ранг: 65.4 (постоянный)
Статус: Участник

Создано: 10 ноября 2004 04:42 New!
Цитата · Личное сообщение · #4

Кароче делаешь так, суешь прогу в Олю, ты на ЕР давишь Альт+М
Видишь таблицу, выбераешь секцию кода, 401000
ставишь на ней брейк (Set Memory Breakpoint on Access)
пускаешь прогу по Ф9

Видим примерно такое.

0042809F MOV DL,80
004280A1 XOR EBX,EBX
004280A3 MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] //Брякаемся здесь.
004280A4 MOV BL,2
004280A6 CALL DWORD PTR SS:[ESP]

Идешь на 2 экрана вниз. (примерно)

Это цикл восстоновления импорта
0042814E SCAS BYTE PTR ES:[EDI]
0042814F JNZ SHORT keygen.0042814E
00428151 DEC BYTE PTR DS:[EDI]
00428153 JE SHORT keygen.00428144
00428155 DEC BYTE PTR DS:[EDI]
00428157 JNZ SHORT keygen.0042815F
00428159 INC EDI
0042815A PUSH DWORD PTR DS:[EDI]
0042815C SCAS DWORD PTR ES:[EDI]
0042815D JMP SHORT keygen.00428168
0042815F DEC BYTE PTR DS:[EDI]
00428161 JE keygen.004014B2 ------------------------ !!! OEP !!!

Ставишь брейк здесь чтобы попасть в цикл, но сперва надо снять брейк с сецкции кода, Romeve memory breakpoint.
Дальше после брейка на 00428161, ставишь брейк на ОЕР и снимаешь дамп. После чего восстанавливаешь импорт с помощь ИмпРека, если прога не запускается, смотришь чтобы первый байт в OEP был неизменен на команду int 3, иначе меняешь с помощью НексЕдитора на тот который увидишь при переходе на ОЕР.
00428167 PUSH EDI
00428168 PUSH EBP
00428169 CALL DWORD PTR DS:[EBX+4]
0042816C OR DWORD PTR DS:[ESI],EAX
0042816E LODS DWORD PTR DS:[ESI]
0042816F JNZ SHORT keygen.0042814C
00428171 MOV EBP,ESP
00428173 RETN

Ранг: 5.0 (гость)
Статус: Участник

Создано: 11 ноября 2004 19:06 New!
Цитата · Личное сообщение · #5

V0ldemAr, делаю как ты говоришь, но когда я ставлю бряк на OEP, Оля говорит, что бряк будет "on the data". Я соглашаюсь, ставлю бряк и попадаю на data, а не на OEP.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 11 ноября 2004 21:51 New!
Цитата · Личное сообщение · #6

monrus
Вот ещё один мини туторчик.
Проделано под win98(поэтому три бряка)
В 2k/XP можно обойтись двумя, первый ставить на LoadLibraryA.


1549221757__fsg12.rar

Ранг: 65.4 (постоянный)
Статус: Участник

Создано: 12 ноября 2004 07:21 New!
Цитата · Личное сообщение · #7

monrus пишет:
ставлю бряк и попадаю на data, а не на OEP.


мля сделай анализ кода когда ты на ОЕР (Альт+А)

Ранг: 5.0 (гость)
Статус: Участник

Создано: 12 ноября 2004 15:23 New!
Цитата · Личное сообщение · #8

Понял почему писалась дата - у меня почему-то анализ файла идет как-то неправильно. Если вовремя анализа его отменить, то все нормально.
Восстанавливаю иморт - файл работает, но peid пишет, что он все равно запакован FSG, хотя в w32dasm - видны string'и.
Возникла другая проблема. Скачал FSG 2.0, запаковал, распаковал, не восстанавливается импорт с запакованного файла. Если же восстанавливать импорт с незапакованного - восстанавливается. Что за глюк - не понимаю?
 eXeL@B —› Основной форум —› Как распаковать FSG 1.2

Видеокурс ВЗЛОМ