eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Antongo92 (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Помогите распаковать UPX!!!
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 17 августа 2004 11:13 New!
Цитата · Личное сообщение · #1

Решил научиться распаковывать UPX. Нашел OEP, но когда загружаю прогу в SICE при старте она не прерывается. Поэтому не могу её зациклить и снять дамп Может кто подскажет что делать?...

Ранг: 40.0 (посетитель)
Статус: Участник

Создано: 17 августа 2004 11:40 New!
Цитата · Личное сообщение · #2

upx -d ...

Ранг: 389.6 (мудрец)
Статус: Участник

Создано: 17 августа 2004 12:40 New!
Цитата · Личное сообщение · #3

PE Tools -> Break&Enter bpint3 потом не забудь восстановить eb eip 60 -> bc * -> bpm esp-4 -> F5 -> bc * -> a -> Enter -> jmp eip -> Enter -> Enter -> F5 -> в PE Tools или Lord PE правый клик мышей по процессу -> Dump full -> потом не этом-же процессе -> Kill task -> и восстанавливай импорт!!!
Не, ну а как еще? ;))


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 17 августа 2004 22:43 New!
Цитата · Личное сообщение · #4

А еще можно олькой =)


Статус: Пришелец

Создано: 17 августа 2004 23:20 New!
Цитата #5

мля народ до сих пор долбается с break'n'enter

Ранг: 2.0 (гость)
Статус: Участник

Создано: 18 августа 2004 00:44 · Поправил: DFC New!
Цитата · Личное сообщение · #6

ALEX, не, мне понравилось, то что ты предложил, так что юзаю Loader by syd, рульно
AlexeY, Grey тебе все подробно описал, можно еще вместо bpint3 использовать I3Here on, об этом уже писали, а при использовании Loader'a by syd байт не затирается и восстанавливать потом его не надо.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 27 августа 2004 07:36 New!
Цитата · Личное сообщение · #7

WELL пишет:
А еще можно олькой =)


Olly проще всего:
1. Грузим прогу в Olly.
2. Ищем первый же POPAD ниже EP
3. Ставим бряк на JMP сразу после него, который будет прыжком на OEP.
4. После остановкки на OEP дампим LordPE, PETools (да хоть плагином-дампером для Olly, им можно и импорт восстановить). Заметьте - никаких трепыханий с JMP eip.
5. Ну а дальше без проблем в ImpRec =)


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 27 августа 2004 08:33 New!
Цитата · Личное сообщение · #8

XaErO пишет:
Заметьте - никаких трепыханий с JMP eip.

удивил

Ранг: 0.0 (гость)
Статус: Участник

Создано: 6 сентября 2004 23:51 New!
Цитата · Личное сообщение · #9

Открываем файл запакованый UPX-ом в HEX редакторе, ищем там в начале файла строку UPX! - сразу после этого должны быть байты:

Для версий:
v0.80- 0A 09 02 07 - Obsolute Version
v1.07-1.22 0C 09 02 08
v1.24 - 0C 09 05 0A
v1.90 - 0D 09 05 0A

После этого можно распаковать самим UPX-ом командой -d.

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 7 сентября 2004 00:14 New!
Цитата · Личное сообщение · #10

[XAHC] пишет:
Открываем файл запакованый UPX-ом в HEX редакторе, ищем там в начале файла строку UPX! - сразу после этого должны быть байты: ....


Мда... Не зря я статью собираюсь написать об исследованиипрог на запакованность....
 eXeL@B —› Основной форум —› Помогите распаковать UPX!!!

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS