eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Nihil enim (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› QuickUnpack F.A.Q
Посл.ответ Сообщение

Ранг: 0.6 (гость)
Статус: Участник

Создано: 1 сентября 2013 08:58 New!
Цитата · Личное сообщение · #1

Всем доброе утро!
Вот такой крекми "d2k2_crkme02"
Пройдя через "PEiD" он показал не ассемблер или другой язык а "yoda's cryptor 1.2"
И это значит что мой крекми упакован. Его надо распаковать. На сайте я наткнулся на интересный ресурс на котором обнаружил что есть 2 вида распаковки, 1-Автоматический 2-Ручной.
Так как я первые дни в этом всём деле, и очень даже заинтересован я всё же не обрёл навыков для ручной распаковки, я выбрал автоматическую.
Ресурс, без лишних слов предоставил мне программу "QuickUnpack". Я сломя голову понёсся в .exe увидем там кучу батончиков я решил найти FAQ. На форуме нашёл тему где у паренька была проблемма но он там уже весь процесс сделал только не дождался результата.
Это было лирическое отступление,
Вобщем к теме:

Те кто это читают безусловно знакомы с интерфейсом и с батонами.
Я загружаю файл .exe далее в меню Настройки
Есть edit где можно что то выбрать. Так как по умолчанию выделена была 2-яя строка я выбрал её

А вот собственно сабж:

Что нажать дальше? Если жму Full unpack то ловлю какие то ошибки типо:

"Fatal ERROR"

"can not open service" и так далее... В чём дело?

Большое спасибо за внимание!


Ранг: 1982.2 (!!!!)
Статус: Модератор
retired

Создано: 1 сентября 2013 10:31 New!
Цитата · Личное сообщение · #2

Во-первых, неплохо линк дать на файл, эти крякмисы не все помнят на память. Но если на асме OEP скорее всего 1000.

Порядок нажатия клавиш:
1. открыть файл
2. > рядом с OEP для автоматического его определения (автоматических файндеров несколько, выбирать любой), либо вбить его руками (что более предпочтительно, ибо автоматические косячить могут)
3. восстановление импорта smart или smart+tracer предпочтительнее
4. остальные галки по вкусу
5. full unpack

Если ошибки с сервисом, основных варианта 3:
1. ос х64
2. запущен не из-под админа
3. какой-то внутренний косяк

Ранг: 7.5 (гость)
Статус: Участник

Создано: 1 сентября 2013 10:43 New!
Цитата · Личное сообщение · #3

Archer подскажите у меня Windows 7 x64 и прога вызывает ошибку сервиса, есть ли какой то аналог, где все в одном

Ранг: 376.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 1 сентября 2013 11:59 New!
Цитата · Личное сообщение · #4

Самый бородатый способ - докачиваем PeTools и ImportRec. Archer таки прав - OEP вверху самом(00401000)
Code:
  1. 00401000    6A 00           PUSH 0
  2. 00401002    E8 71020000     CALL <JMP.&kernel32.GetModuleHandleA>    ; Jump to kernel32.GetModuleHandleA
  3. 00401007    A3 40314000     MOV DWORD PTR DS:[403140],EAX
  4. 0040100C    6A 00           PUSH 0
  5. 0040100E    68 28104000     PUSH 00401028
  6. 00401013    6A 00           PUSH 0
  7. 00401015    6A 01           PUSH 1
  8. 00401017    FF35 40314000   PUSH DWORD PTR DS:[403140]
  9. 0040101D    E8 62020000     CALL <JMP.&user32.DialogBoxParamA>       ; Jump to user32.DialogBoxParamA

ставим туда Hadware Breakpoint, затем PETools - дамп, правим точку входа, ImportRec - вытаскиваем импорт и фиксим дамп.
У меня чуть больше минуты ушло

{ Атач доступен только для участников форума } - Dumped_ .exe

Ранг: 508.6 (!)
Статус: Модератор

Создано: 1 сентября 2013 12:27 New!
Цитата · Личное сообщение · #5

ELF_7719116
отлично

запишите за еще одну минуту видео и вопросов у юных умов будет на порядок меньше !

| Сообщение посчитали полезным: sivorog


Ранг: 617.3 (!)
Статус: Участник

Создано: 1 сентября 2013 12:31 New!
Цитата · Личное сообщение · #6

для йода криптора на тутсях, на форуме в исходниках вроде был статический анпаккер.

Ранг: 376.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 1 сентября 2013 14:26 New!
Цитата · Личное сообщение · #7

sendersu пишет:
запишите за еще одну минуту видео

"Мы работаем над этим!"

Ранг: 0.6 (гость)
Статус: Участник

Создано: 1 сентября 2013 16:24 New!
Цитата · Личное сообщение · #8

Большое спасибо!) Как бы понятно что объяснили но видео записать было бы просто шикарно так как программа по сути своей не имеет вобщем то аналогов, а в ручную это просто блеск. Хотелось бы увидеть как это всё делается, к себе на сайтик закинуть, что бы не потерять)

Вобщем надеюсь на видео!))

Ранг: 111.9 (ветеран)
Статус: Участник

Создано: 1 сентября 2013 17:01 · Поправил: vden New!
Цитата · Личное сообщение · #9

ELF_7719116
А я делал так: останавливался на оеп, затем в QU Attach to Process и Unpack. Обычно работает, иногда виснет на импортах. Даже адрес оеп подхватывается (видимо из контекста)

А что делать если OEP = EP, где-то можно указать на каком по счету бряке дампить или еще как-то?


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 1 сентября 2013 17:24 New!
Цитата · Личное сообщение · #10

vden пишет:
А что делать если OEP = EP, где-то можно указать на каком по счету бряке дампить или еще как-то?

Кажется нужно поставить галочку под полем OEP (force)

| Сообщение посчитали полезным: vden



Ранг: 1982.2 (!!!!)
Статус: Модератор
retired

Создано: 1 сентября 2013 17:36 New!
Цитата · Личное сообщение · #11

ОЕП при аттаче подхватывается из контекста основного потока.

Из описания force-галки рядом с ОЕП в ридми
Галка Use force unpacking. Когда программа запускается, ожидается срабатывание бряка на OEP. Но может быть так, что адрес OEP исполняется несколько раз, а лишь затем уже происходит нужное нам выполнение. С использованием ForceMode данная проблема решается путём запуска программы, подсчёта числа исполнений кода на OEP и последующего бряка на последнем исполнении.

| Сообщение посчитали полезным: vden

 eXeL@B —› Вопросы новичков —› QuickUnpack F.A.Q

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS