Русский / Russian English / Английский

Сейчас на форуме: johnniewalker, Adler, sss123, r0lka (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Unpackme "New Generation"
Посл.ответ Сообщение


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 6 января 2007 23:11 · Поправил: Spirit New!
Цитата · Личное сообщение · #1

У меня такая проблема:
Есть анпакми, писан на дельфях, накрыт неизвестной,
но легкой защитой. В нем нет никакой антиотладки, но
там какая-то фигня с импортом... ну и еще антидамп...
В общем я нашел ОЕР [00403414], снял дамп, а вот импорт,
ка я уже и сказал побитый, и как его восстановить,
я понятия не имею. Кто знает как распаковать данную хрень?

З.Ы.: Или мне обращаться в запросы на взлом?

[EDITED]
Ну так что, мне вообще никто не может/хочет помочь?
Ну хоть кто нибудь бы...
[/EDITED]

{ Атач доступен только для участников форума } - NewGenerationUnpackMe.rar

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 7 января 2007 00:49 New!
Цитата · Личное сообщение · #2

Spirit пишет:
накрыт неизвестной, но легкой защитой

а почему неизвестной? вроде там NsPacK V3.7 -> LiuXingPing *, а импорт в нем криво и восстанавливается.


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 7 января 2007 00:51 New!
Цитата · Личное сообщение · #3

Там NsPacK навешан, распаковывается и дампится легко. А ОПЕ ты нашол не правильно! Это тебе PEiD так показал? Не надейся на него, только ручками анпач!

Дамп прилипил...

{ Атач доступен только для участников форума } - damp.exe


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 7 января 2007 00:52 New!
Цитата · Личное сообщение · #4

gegter пишет:
почему неизвестной? вроде там NsPacK V3.7 -> LiuXingPing

Не, нспак там конечно есть, на за ним еще какая-то хрень, типа прот...
Или где ты видел, чтоб на нспаке была защита импорта и антидамп?


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 7 января 2007 00:55 New!
Цитата · Личное сообщение · #5

KingSise пишет:
Там NsPacK навешан, распаковывается и дампится легко. А ОПЕ ты нашол не правильно! Это тебе PEiD так показал? Не надейся на него, только ручками анпач!

Дамп прилипил...

Все это лажа! дамп и у меня есть...
Он 100% написан на дельфях (PEiD в этом деле почти не обманешь на харде). А где ты видел, чтоб ОЕП у дельфи начинался с такого кода:

004114A6: E9 55 DB FF FF JMP 0040F000
004114AB: 8B B5 D4 FD FF FF MOV ESI,[EBP+FFFFFDD4]
004114B1: 0B F6 OR ESI,ESI
004114B3: 0F 84 97 00 00 00 JZ 00411550
004114B9: 8B 95 DC FD FF FF MOV EDX,[EBP+FFFFFDDC]
004114BF: 03 F2 ADD ESI,EDX
004114C1: 83 3E 00 CMP DWORD PTR [ESI],00
004114C4: 75 0E JNZ 004114D4
004114C6: 83 7E 04 00 CMP DWORD PTR [ESI+04],00
004114CA: 75 08 JNZ 004114D4
004114CC: 83 7E 08 00 CMP DWORD PTR [ESI+08],00
004114D0: 75 02 JNZ 004114D4
004114D2: EB 7A JMP 0041154E
004114D4: 8B 5E 08 MOV EBX,[ESI+08]
004114D7: 03 DA ADD EBX,EDX
004114D9: 53 PUSH EBX
004114DA: 52 PUSH EDX
004114DB: 56 PUSH ESI
004114DC: 8D BD 1C FF FF FF LEA EDI,[EBP+FFFFFF1C]
004114E2: 03 7E 04 ADD EDI,[ESI+04]
004114E5: 83 C6 0C ADD ESI,0C
004114E8: 57 PUSH EDI
004114E9: FF 95 68 FE FF FF CALL DWORD PTR [EBP+FFFFFE68]
004114EF: 5F POP EDI
004114F0: 5A POP EDX
004114F1: 5B POP EBX
004114F2: 83 F8 00 CMP EAX,00
004114F5: 74 59 JZ 00411550
004114F7: 89 85 E4 FD FF FF MOV [EBP+FFFFFDE4],EAX
004114FD: 03 3E ADD EDI,[ESI]


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 7 января 2007 01:01 New!
Цитата · Личное сообщение · #6

Spirit пишет:
Все это лажа! дамп и у меня есть...

Только твой дам не рабочий, а мой нормально запускается


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 7 января 2007 01:02 New!
Цитата · Личное сообщение · #7

JMP 0040F000 по идее это и есть Прыг на ОПЕ...


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 7 января 2007 01:05 New!
Цитата · Личное сообщение · #8

KingSise пишет:
JMP 0040F000 по идее это и есть Прыг на ОПЕ...

По твоей идее? Если это так, то переправить можешь?


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 7 января 2007 01:11 New!
Цитата · Личное сообщение · #9

Это и есть ОПЕ, унпакми действительно написан на делфи: Borland Delphi 6.0 - 7.0 [Overlay]


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 7 января 2007 01:16 New!
Цитата · Личное сообщение · #10

KingSise пишет:
Это и есть ОПЕ

Опять косяк... это не оеп, т.к. по адресу 0040F000:

0040F000: E2 08 LOOP 0040F00A
0040F002: E3 06 JECXZ 0040F00A
0040F004: 25 AA 65 AC 12 AND EAX,12AC65AA
0040F009: A0 41 MOV AL,[00000041]
0040F00B: 66 83 F4 00 XOR SP,00
0040F00F: 22 D2 AND DL,DL
0040F011: 30 C3 XOR BL,AL
0040F013: 30 C3 XOR BL,AL
0040F015: 56 PUSH ESI
0040F016: 50 PUSH EAX
0040F017: 55 PUSH EBP
0040F018: 66 C1 C8 C0 ROR AL,C0
0040F01C: 5D POP EBP
0040F01D: 58 POP EAX
0040F01E: 5E POP ESI
0040F01F: 90 NOP
0040F020: 76 07 JBE 0040F029
0040F022: 53 PUSH EBX
0040F023: 0D 00 00 00 00 OR EAX,00000000
0040F028: 5B POP EBX
0040F029: 52 PUSH EDX
0040F02A: 6A CE PUSH CE
0040F02C: 83 C4 04 ADD ESP,04
0040F02F: 5A POP EDX

А дельфовый оеп начинается с:
55
8B EC
и т.д.

Снова мимо...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 7 января 2007 01:18 New!
Цитата · Личное сообщение · #11

OEP
00403414 55 push ebp
00403415 8BEC mov ebp,esp
00403417 83C4 F0 add esp,-10
0040341A B8 E4334000 mov eax,um.004033E4
0040341F E8 A4FEFFFF call um.004032C8
00403424 6A 40 push 40
00403426 68 3C344000 push um.0040343C ; ASCII "Unpackme "New Generation""
0040342B 68 58344000 push um.00403458 ; ASCII " Try to unpack me,you jackass 2oo7 "
00403430 6A 00 push 0
00403432 E8 45FFFFFF call um.0040337C ; jmp to USER32.MessageBoxA
00403437 E8 C0F9FFFF call um.00402DFC
0040343C 55 push ebp
0040343D 6E outs dx,byte ptr es:[edi]
0040343E 70 61 jo short um.004034A1
00403440 636B 6D arpl word ptr ds:[ebx+6D],bp
00403443 65:2022 and byte ptr gs:[edx],ah
00403446 4E dec esi
00403447 65:77 20 ja short um.0040346A
и импорт
все просто



{ Атач доступен только для участников форума } - tree.txt


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 7 января 2007 01:20 New!
Цитата · Личное сообщение · #12

pavka
Вот это другое дело!
А как ты импорт нашел, если не секрет?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 7 января 2007 01:31 New!
Цитата · Личное сообщение · #13

Да там все просто ты импорт смотри не доходя до OEP и не жди пока он заголовок засерет запускай импрек!


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 7 января 2007 01:33 New!
Цитата · Личное сообщение · #14

pavka
Огомное тебе спасибо!
 eXeL@B —› Крэки, обсуждения —› Unpackme "New Generation"
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ