Русский / Russian English / Английский

Сейчас на форуме: Lambda, morgot, korsaring (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Распаковка вручную .dll упакованной ASPack-ом .
Посл.ответ Сообщение

Ранг: 9.0 (гость)
Статус: Участник

Создано: 19 ноября 2005 16:58 New!
Цитата · Личное сообщение · #1

При помощи мануалов старших товарищей разобрался, как распаковывать вручную, с помощью Olly exe-шников, упакованных ASPack-ом. Спасибо. А как распаковать упакованную .dll ? Также открываю в Olly, нахожу POPAD и сразу ниже JNZ, тут я понимаю и будет OEP а дальше как? Как дампить?

Ранг: 516.1 (!)
Статус: Участник

Создано: 19 ноября 2005 18:02 New!
Цитата · Личное сообщение · #2

в ret заходишь и дампишь с помощью lordpe, когда будешь фиксить iat с помощью imprec'a смотри imagebase именно в imprec'e, oep=imagebase-eip, адрес iat скорее всего придётся определять вручную

Ранг: 9.0 (гость)
Статус: Участник

Создано: 19 ноября 2005 18:23 New!
Цитата · Личное сообщение · #3

Я когда открываю .dll в Olly она говорит что из .dll сделает .exe . И когда выбираешь наш процесс в PEditor-е то видишь второй ексешник от оли, только зелёный. Если ему делать полный дамп то он и сохраняется ексешником а не .dll, я до востановления импорта ещё не дошёл, я тут забуксовал javascript:di('','');


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 19 ноября 2005 18:55 New!
Цитата · Личное сообщение · #4

Av0id пишет:
ret заходишь и дампишь с помощью lordpe


Да зачем такие сложности?

trabs
Когда доходишь до ret прога уже распакована в памяти - дампь плагином для олли OllyDump ничего там не меняя, после этого восстановишь таблицу импортов ImpRec'ом.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 19 ноября 2005 19:06 New!
Цитата · Личное сообщение · #5

НО, проще всего обойтись без импрека, сдампить в нужном месте
и пофиксить в заголовке базу, релоки и таблицу импорта, вбив правильные
значения в соответствующие поля в заголовке файла


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 19 ноября 2005 20:12 New!
Цитата · Личное сообщение · #6

trabs Грузи в ольку DLL потом ищи это

PUSH 0
RETN

после подымешся чуть выше увидишь JMP на OEP ... ставишь бряк на него и ты на OEP


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 19 ноября 2005 20:20 New!
Цитата · Личное сообщение · #7

Z0oMiK
Чего - то ты опаздал немного
Речь не о нахождении оеп, а о дампе

Asterix
Не всем это легче

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 19 ноября 2005 20:25 New!
Цитата · Личное сообщение · #8

всем легче, инструментов меньше юзать к тому же


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 19 ноября 2005 21:45 · Поправил: Z0oMiK New!
Цитата · Личное сообщение · #9

4kusNick Да я понял уже
trabs чего за DLL то ? мож помочь ? заодно и видео накатаю ;)


Ранг: 500.6 (!)
Статус: Участник

Создано: 19 ноября 2005 22:22 New!
Цитата · Личное сообщение · #10

Z0oMiK пишет:
заодно и видео накатаю ;)


У тебя что, "Z0oMiK Production"

Ранг: 9.0 (гость)
Статус: Участник

Создано: 19 ноября 2005 23:05 New!
Цитата · Личное сообщение · #11

Asterix я собственно все эти инструменты увидел позавчера, это к вопросу о лёгкости. Мне нужно не легко а наглядно и понятно. Начну сначала:
Дошли до сюда
009F70B7 61 POPAD
009F70B8 75 06 JNZ SHORT AudioShe.009F70C0 <<-- Это надо пологать и есть OEP
009F70BA 6A 01 PUSH 1
009F70BC 58 POP EAX
009F70BD C2 0C00 RETN 0C

Выделяем строку с ОЕП давим F2, потом F9 и перелетаем сюда

00A3B530 C700 7FECC512 MOV DWORD PTR DS:[EAX],12C5EC7F
00A3B536 18A4B5 A31F4265 SBB BYTE PTR SS:[EBP+ESI*4+65421FA3],AH
00A3B53D 20C6 AND DH,AL
00A3B53F 5F POP EDI
00A3B540 67:64:8F06 0000 POP DWORD PTR FS:[0]
00A3B546 83C4 04 ADD ESP,4

потом F8, видим Registere (FPU) справа, были красные стали белые больше ничего не происходит
Выбираем в меню Plugins - OllyDump - Dump debugged process
Где то ошибся? Что дальше? С этого места поподробнее пожалуйста.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 19 ноября 2005 23:12 New!
Цитата · Личное сообщение · #12

trabs пишет:
я собственно все эти инструменты увидел позавчера, это к вопросу о лёгкости.


а почему ты решил что в этом случае лучше спросить на форуме,
но не прочитать для начала все статьи что есть на сайте?
Может тогда вопросы отпадут сами собой..

Ранг: 9.0 (гость)
Статус: Участник

Создано: 19 ноября 2005 23:26 New!
Цитата · Личное сообщение · #13

[b]Asterix[/b] Статьи я читал вчера , а теперь перешёл к практике. Да и не всё находишь в статьях. Живым людям нужно живое слово и помощь наставников.

Ранг: 389.6 (мудрец)
Статус: Участник

Создано: 19 ноября 2005 23:43 New!
Цитата · Личное сообщение · #14

trabs пишет:
Это надо пологать и есть OEP

Это надо пологать прыжок на PUSH OEP
А вот там уже ОЕР.
Делаешь прыжок, потом два шага и ты на точке входа.


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 20 ноября 2005 01:50 New!
Цитата · Личное сообщение · #15

NIKOLA Ну вроде того хотя я уже делал видео
trabs Выкладывай свою DLL'ky


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 20 ноября 2005 02:28 New!
Цитата · Личное сообщение · #16

Grey пишет:
А вот там уже ОЕР.
Делаешь прыжок, потом два шага и ты на точке входа.

Как только окажешься на точе входа, дампь процесс, далее восстанавливай импорт.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 20 ноября 2005 04:30 New!
Цитата · Личное сообщение · #17

народ, не забываем при распаковке ДЛЛ про релоки, иначе в большинстве случаев ДЛЛ
работать не будет, либо будет работать только в идентичной системе ;)

Ранг: 9.0 (гость)
Статус: Участник

Создано: 20 ноября 2005 08:49 New!
Цитата · Личное сообщение · #18

Так, ни чего у меня не получается куда прыгать, куда потом шагать. Нельзя ли по доходчивей и пошагово. Z0oMiK жду твоего видео. Dll-ку выложил сюда:
www.webfile.ru\643216 На тебя последняя надежда брат.

Ранг: 45.5 (посетитель)
Статус: Участник

Создано: 20 ноября 2005 12:15 New!
Цитата · Личное сообщение · #19

trabs

ASProtect 2.1x SKE -> Alexey Solodovnikov


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 20 ноября 2005 18:22 New!
Цитата · Личное сообщение · #20

trabs Ну ты даешь читай хотя бы внимательно ...
ASPack и ASProtect разные вещи

Ранг: 9.0 (гость)
Статус: Участник

Создано: 20 ноября 2005 21:02 New!
Цитата · Личное сообщение · #21

Z0oMiK ты сам невнимательный, моя dll'ка запакована ASPack 2.12 а о чём говорит Dred это что то другое. Так подскажет кто то пошагово?

Ранг: 389.6 (мудрец)
Статус: Участник

Создано: 20 ноября 2005 21:19 · Поправил: Grey New!
Цитата · Личное сообщение · #22

trabs пишет:
ты сам невнимательный



{ Атач доступен только для участников форума }


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 20 ноября 2005 22:57 · Поправил: Z0oMiK New!
Цитата · Личное сообщение · #23

trabs Я не буду спорить но Grey сделал скрин на котором четко и ясно написано что DLL упакована ASProtect v2.1 SKE

Ранг: 9.0 (гость)
Статус: Участник

Создано: 21 ноября 2005 00:14 · Поправил: trabs New!
Цитата · Личное сообщение · #24

Не знаю как тут прикрутить скрин, но поверьте мне наслово что у меня PEiD v0.92 определяет её как ASPack 2.12. Может в этом и есть сырмяжная правда. Но всёже распаковать её можно?

{ Атач доступен только для участников форума }

Ранг: 389.6 (мудрец)
Статус: Участник

Создано: 21 ноября 2005 02:27 New!
Цитата · Личное сообщение · #25

trabs пишет:
у меня PEiD v0.92 определяет её как ASPack 2.12

А как у тебя с сигнатурками?

Ранг: 9.0 (гость)
Статус: Участник

Создано: 21 ноября 2005 08:03 New!
Цитата · Личное сообщение · #26

Grey пишет:
А как у тебя с сигнатурками?

MZP - если я правильно понял вопрос. Если это ASProtect v2.1, то тогда понятно почему проблемы с востановлением импорта. Сейчас поищу PEid v.094

Ранг: 9.0 (гость)
Статус: Участник

Создано: 22 ноября 2005 09:16 New!
Цитата · Личное сообщение · #27

Поставил PEid v.094 и он стал показывать что файл упакован ASProtect 2.1x SKE, значит вопрос перешёл на другой уровень . А с сигнатурами было всё нормально.
 eXeL@B —› Крэки, обсуждения —› Распаковка вручную .dll упакованной ASPack-ом .

Видеокурс ВЗЛОМ