eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: daFix
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Обсуждение статей —› [ PE_Kill ] Распаковка PECompact 2.xx без использования ImpREC.doc
Посл.ответ Сообщение


Ранг: 533.8 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 22 ноября 2010 00:12 New!
Цитата · Личное сообщение · #1

Обсуждение статьи Распаковка PECompact 2.xx без использования ImpREC.doc

| Сообщение посчитали полезным: sas123


Ранг: 2.5 (гость)
Статус: Участник

Создано: 10 ноября 2011 11:23 · Поправил: sas123 New!
Цитата · Личное сообщение · #2

У меня вопрос по скрипту, если нужно распаковать dll, то как корректно снять ее дамп,
с exe проблем нету, а при попытке снять дамп с dll через ollydump пишет:
unable to read memory of debugger process (10000000..105FEFFF)
и потом появляется окошко c ошибкой дампера:
Bad DOS Signature!!

Как можно это исправить?


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 10 ноября 2011 11:37 New!
Цитата · Личное сообщение · #3

Попробуй PETools. Может еще скрипт поломал заголовок, нужен бы сам пациент.


Ранг: 1986.7 (!!!!)
Статус: Модератор
retired

Создано: 10 ноября 2011 11:38 New!
Цитата · Личное сообщение · #4

Ну снимай дамп через любой другой софт, PETools, например.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 10 ноября 2011 12:11 · Поправил: sas123 New!
Цитата · Личное сообщение · #5

Пациент --> здесь <--, рабочий дамп после выполнения скрипта получается только через ollydump, через ollydumpEx уже не работает, так же как и снятый через LordPE, PETools, ImpREC 1.7e.
--------------------------
Добавлю еще один вопрос:
Вот --> здесь <-- видео ручной распаковки PECompact 3,
сделал по видео скрипт:
Code:
  1. var hwBP
  2. FIND eip, #??FF35#          // Find "PUSH DWORD PTR FS:[0]"
  3. BP $RESULT
  4. RUN
  5. BD eip
  6. STEP
  7. mov hwBP, esp
  8. bphws hwBP, "r"                 //HWBP
  9. RUN
  10. bphwc                           // Clear HWBP
  11.  
  12. FIND eip, #FFD7#                //Find CALL [REGISTER] ABOVE the JNZ
  13. BP $RESULT
  14. FIND eip, #FFE0#                //Find JMP [REGISTER] AFTER the JNZ
  15. BP $RESULT
  16. RUN
  17. STI
  18. STI
  19.  
  20. FIND eip, #E847060000#           //CALL TO IMPORT
  21. BP $RESULT
  22. RUN
  23. BD eip
  24. STI
  25.  
  26. FIND eip, #E810000000#           // CALL 000212C9
  27. BP $RESULT
  28. RUN
  29. BD eip
  30. STI
  31.  
  32. FIND eip, #FF93????00#           //CALL GetProcAddress CUSTOM
  33. BP $RESULT
  34. RUN
  35. BD eip
  36. STI
  37.  
  38. FIND eip, #7563#
  39. REPL $RESULT, #75#, #EB#, 2      //Change JNZ to JMP
  40. //RUN
  41. ret

Когда применяю этот скрипт к своему пациенту, да и к тому что на самом видео (пример в архиве с видео),
то в ImportREC некоторые заголовки с ошибками, можете помочь подправить скрипт, чтобы работал как на видео.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 10 ноября 2011 12:52 New!
Цитата · Личное сообщение · #6

sas123 про релоки слышал?

Ранг: 2.5 (гость)
Статус: Участник

Создано: 10 ноября 2011 13:20 New!
Цитата · Личное сообщение · #7

PE_Kill пишет:
sas123 про релоки слышал?

Не слышал, я ollydbg увидел первый раз в прошлую пятницу,
и то только из-за того чтобы распаковать dll, скрипт писал по readme ODbgScript.txt, что в архиве с плагином.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 10 ноября 2011 14:04 New!
Цитата · Личное сообщение · #8

Ну там надо релоки восстановить и мелочи всякие, вот держи
http://www.sendspace.com/file/92z2vh

В следующий раз иди в запросы, раз не шаришь и сам процесс распаковки не является целью.

Ранг: -0.8 (нарушитель)
Статус: Участник

Создано: 25 декабря 2011 11:38 New!
Цитата · Личное сообщение · #9

Привет всем !

Делал всё по инструкции , всяко разно пробовал . У меня не получается разжать одну библиотеку , точнее она не хочет работать после распаковки.
Вот пациент : http://uralwagon.com/soft/steamclient.dll

Есть нет у кого какие предложения ? Могу расписать пошагово что я делал..

Ранг: -0.8 (нарушитель)
Статус: Участник

Создано: 25 декабря 2011 12:12 New!
Цитата · Личное сообщение · #10

Отбой ! Уже всё сделали !!!

Ранг: 2.5 (гость)
Статус: Участник

Создано: 8 августа 2015 14:12 New!
Цитата · Личное сообщение · #11

тоже самое, этот же файл не могу распаковать, кто может помочь? распаковывал unpecompact2, после распаковки не работает файл. вот сам сжатый файл http://rghost.ru/8MLKZFHqp


Ранг: 225.8 (наставник)
Статус: Участник
radical

Создано: 8 августа 2015 14:30 New!
Цитата · Личное сообщение · #12

Ispanets
https://dropmefiles.com/yUqeF

| Сообщение посчитали полезным: Ispanets


Ранг: 2.5 (гость)
Статус: Участник

Создано: 8 августа 2015 15:01 New!
Цитата · Личное сообщение · #13

Спасибо огромное. А редактировать его можно, чтоб он работоспособность не потерял? и чем редактировать?
 eXeL@B —› Обсуждение статей —› [ PE_Kill ] Распаковка PECompact 2.xx без использования ImpREC.doc

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS