Длл-ка считает дни до финиша. Ее бы потискать, но запакована ASPACK 2.12. Причем как-то хитро, - секция aspack отсутствует (прилагаю снимок object table). Есть Qunpack 2.2 - свеженький, только-только с форума Antichat.ru. В отличие от остальной кучи анпакеров серьезно берется за работу... И, что главное, доводит до конца, т.е. выдает "распакованный" продукт. Но вот беда - неработоспособный почему-то продукт. В том же приложенном файле - вторая таблица вообще не содержит имена секций (?!))... Распаковка выполнялась аттачем анпакера к процессу демо-программы из пакета TextGrab SDK. После указания на защищенный модуль распаковка начинается и завершается довольно шустро и мирно, разве что мышь ведет себя прикольно... Лог-файл я тоже приложу, может кому интересно. Короче, внешне благополучный случай, но на выходе - полная хрень. Товарищи, посмотрите, кто добрый Я сам не могу справиться...
Tihon А это не ты несколько дней назад этот же файл просил распаковать? Там точно не аспак, я до оеп дощел, дамп снял, а потом импорт реконстрактор много функций не восстановил, я посмотрел на некоторые -- увидел 2 типа: одни заменены на вызов кудато в дебри протектора, причем вызов разных апи заменен вызовом одной и той же функции, а некоторые тоже внутрь, но для них вызовы разные, ну я забил)) я кагбэ не шарю в пакерах-протекторах, но для простого пакера как-то слишком наворочено)) В принципе если оч надо можно протэйсить все невосстановленные места(их там примерно 30) и вручную заполнить)
Velheart Прав. Простенький пакер, ядерный дебуггер даже не нужен. После инициализации модуля(tgsdk.dll) в памяти он восстановленный, всеголишь импорт подправить. Да и реализация плохая, кроме мусора ничего нет, NtDeviceIoControlFile получающий тот самый HardwareID ловится в несколько секунд остановом на KiFastSystremCall, заюзалибы 0x2e шлюз + замер времени исполнения и гораздо труднее былобы реверсить.
Я просил. Такое было чувство, что всего-то пройтись анпакером, зная как правильно... Тем более, пакер тож вроде известен... Неужто лажа? Я, сказать прямо, в реверсинге-пакинге - даже не ноль... Но коли надо, - приходится тужиться. Так что, глухой номер, что-ль? Если так, скажи, чтоб времени не тратить... буду "идти другим путем", как сказал маме мальчик Вова...
Как я понимаю намек, беру ольку, запускаю процесс и аттачу ольку к процессу? А потом в памяти курочу? Если так, - это ж просто шоколад )) Мне фиг с ним, с пакером, мне б на деле триал похерить... Смогу я это сделать без распаковки, в памяти?
Tihon Пакеры гуан любые, эмуляторы - это проблема. Не понимаю что толку криптовать модуль, если он при старте распаковывается, а загрузчик использовать, или патчь модуля криптованного, или любой другой способ запустить свой код из модуля перед его выполнением позволит обращаться сразу к распакованному модулю в памяти.
