Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Ручная распаковка Armadillo 1.xx-2.xx
Посл.ответ Сообщение

Ранг: 18.9 (новичок)
Статус: Участник

Создано: 18 января 2007 00:45 New!
Цитата · Личное сообщение · #1

1.Прога запакована Armadillo v.1.xx-2.xx (об этом говорит PEiD, ProtecrionID)
2.Загружаю прогу в Оллю, останавливаюсь на ЕР по адресу:
004BB433 PUSH EBP
MOV EBP, ESP
PUSH-1
3. Если ссылаться на статью автора estet'а "Распаковка Армадилло с IAT Elimination, то именно с этой ассемблерной команды (PUSH EBP; MOV EBP, ESP;PUSH-1) начинается точка входа в ОЕР?
4. О том, что ОЕР начинается именно с этого адреса подтвердил мне QUnpack (004BB433)
5. На этом адресе (004BB433) снимаю дамп (OllyDbg, даже пробовал и с PETools), далее с помощью ImpREC востанавливаю таблицу импорта. Что интересно импорт восстанавливается полностью (что подозрительно для Армы?)
6. Загружаю damped_exe. в PEiD, он мне снова показывает - Armadillo 1.xx-2.xx (т.е. прога от Армы не распаковалась)
Вопрос к участникам форума:
1. Каким образом с помощью ручной распаковке можно распаковать Armadillo 1.xx-2.xx?
2. С помощью чего это можно сделать автоматически (QUnpack пробовал - не получается)?
email: head_63@mail.ru


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 18 января 2007 02:10 New!
Цитата · Личное сообщение · #2

morg пишет:
2.Загружаю прогу в Оллю, останавливаюсь на ЕР по адресу:
004BB433 PUSH EBP


morg пишет:
4. О том, что ОЕР начинается именно с этого адреса подтвердил мне QUnpack (004BB433)


чёт я не понял =) ты разберись вначале что такое EP и что такое OEP ;)

Ранг: 71.7 (постоянный)
Статус: Участник

Создано: 18 января 2007 06:04 New!
Цитата · Личное сообщение · #3

morg
Действительно не понятно, у тебя OEP в EP

А автоматически с помощью DilloDIE, armStripper(bit-hack респект), ArmaGUI, ArmInline.

Знаю афигенный сайт, где все распаковщики всех версий, но он чето закрылся
Да нет, он переехал! unpacking.narod.ru/unpackers.html


Ранг: 133.2 (ветеран)
Статус: Участник
bbs.pediy.com

Создано: 18 января 2007 06:36 New!
Цитата · Личное сообщение · #4

unpacking.narod.ru/unpackers.html

Is Good. And TRUE.


Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 18 января 2007 07:23 New!
Цитата · Личное сообщение · #5

Наболевшая тема про Армадиллу! morg, почитай, может, про ручную распаковку армы, может поможет.


Ранг: 500.6 (!)
Статус: Участник

Создано: 18 января 2007 07:59 New!
Цитата · Личное сообщение · #6

kaiZer пишет:
Наболевшая тема про Армадиллу!


Про распаковку армы туторов уйма, в них всё разжованно до мелочечей, ленивый только не сможет в них разобраться, гугл в вруки и вперёд.

morg пишет:
2.Загружаю прогу в Оллю, останавливаюсь на ЕР по адресу:
004BB433 PUSH EBP
MOV EBP, ESP
PUSH-1


Это у тебя еп распаковщика, выглядит как стандартное начало прог на си.
 eXeL@B —› Крэки, обсуждения —› Ручная распаковка Armadillo 1.xx-2.xx

Видеокурс ВЗЛОМ