eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: amanimm (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Распаковка Аспра
Посл.ответ Сообщение

Ранг: 8.6 (гость)
Статус: Участник

Создано: 19 марта 2018 20:21 New!
Цитата · Личное сообщение · #1

Всем привет. Прошу помощи в распаковке аспра 2.хх. Интересует именно руками.
Что было проделано:
1.С помощью метода последнего исключение был найден OEP. Выглядит следующим образом:
Code:
  1. 00401000 | EB 10                    | jmp hexcmp.401012                                        |
  2. 00401002 | 66 62 3A                 | bound di,dword ptr ds:[edx]                              |
  3. 00401005 | 43                       | inc ebx                                                  |
  4. 00401006 | 2B 2B                    | sub ebp,dword ptr ds:[ebx]                               |
  5. 00401008 | 48                       | dec eax                                                  | eax:EntryPoint
  6. 00401009 | 4F                       | dec edi                                                  |
  7. 0040100A | 4F                       | dec edi                                                  |
  8. 0040100B | 4B                       | dec ebx                                                  |
  9. 0040100C | 90                       | nop                                                      |
  10. 0040100D | E9 84 D4 4B 00           | jmp 8BE496                                               |

Возник вопрос: Здесь присутствуют краденные байты?
Была попытка восстановить iat но не очень успешно. Адресы в которых какой то мусор тип
Code:
  1. 026E13F4 | 55                       | push ebp                                                 |
  2. 026E13F5 | 8B EC                    | mov ebp,esp                                              |
  3. 026E13F7 | 5D                       | pop ebp                                                  |
  4. 026E13F8 | C2 04 00                 | ret 4                                                    |

Подскажите в каком направлении двигаться?


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 20 марта 2018 03:57 New!
Цитата · Личное сообщение · #2

https://exelab.ru/rar/ - поиск по PE_Kill и vnekrilov
https://exelab.ru/f/index.php?action=vthread&forum=13&topic=11596

Ранг: 8.6 (гость)
Статус: Участник

Создано: 20 марта 2018 12:28 New!
Цитата · Личное сообщение · #3

Спасибо огромное! Буду изучать. Всего доброго. Тему можно крыть.


Ранг: 1963.8 (!!!!)
Статус: Модератор
retired

Создано: 20 марта 2018 12:46 New!
Цитата · Личное сообщение · #4

Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".
 eXeL@B —› Вопросы новичков —› Распаковка Аспра
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS