Всем привет. Сталкнулся с такой проблемой: есть прога, пакованная UPX, я распаковываю одним из автоматических распаковщиков UPX, потом изменяню при помощи связки IDA+HIEW изменяю там одну строку, а потом опять запаковываю UPX, и после запуска выдаётся сообщение об ошибке, что такой-то процесс совершил не допустимую ошибку и т.д. и т.п. Я так понимаю, что проблема в неправельной разпаковке, но ограниченость времени не позволяет мне досконально изучить этот процесс, может ли мне кто-то помочь в этом деле? Заранее благодарен.
Строку ту правил (проверял в IDA), upx -d говорит одно и тоже на файл до моих корекций (распаковка, изменение, запаковка), сейчас проверю запускается распакованный файл
Иногда ещё бывает что файл собирают с ImageBase<0x400000, потом пакуют UPX, навешивают скрамблер, и распаковка многих ставит в тупик, выход из ситуации - ручная распаковка под win98 например
Какое, твою налево, восстановление таблицы импорта? UPX сам собой снимается. А если нет - надо хедер восстановить. Давно обо всем я с Квантом написал. Статья на васме лежит. Какого икса опять изобретать велосипед? Впрочем, нет ума - вставай на лыжи и вместо рака будет грыжа.
APsyL там что то происходит с релокешинами, точно не помню, давно капался. Штатные упаковщики действительно всё портят, а вот XPack Соболева работу делает корректно, хотя и не может похвастаться высокой степенью сжатия.
ничего проще в жизни не распаковывал, никаких антидебугов или антитрейсов, полиморфов и прочей ерунды, через OllyDBG распаковывается за считанные секунды
не знаю, я для этого в первый раз icedump использовал и ещё какуюто хрень замутную, токма для поправки oep. Всё заработало с первого раза. Ничего проще действительно нет.
Av0id > через OllyDBG распаковывается за считанные секунды Хотел бы я замерить секундомером за сколько ты распакуешь dll'ку при помощи OllyDbg и только так чтоб и релоки восстановить и ресурсы пересобрать ... гы, в считанные секунды явно не уложишься, так что не нужно понтов...
гы, в считанные секунды явно не уложишься Я сниму UPX за 20 секунд Слава богу, С Квантом в свое время хорошо поработали
volodya > Я сниму UPX за 20 секунд Ещё один быстрый съемщик.. Эх жалко я файл удалил, был тут у мя один для эксперимента Может я в самом деле такой медлительный %)
А вот еще хитрая штука, PeiD утверждает, что это UPX сжато, а распаковать ну вообще никак не получается =) Хотя.... может есть идеи? Програмка очень старая, года 2 ей уже точно и совсем не актуальная сейчас, а вот разобраться интересно =) _756753767__121.rar
Что есть распаковать? Получить рабочий дамп? Если ты имел ввиду заставить upx распаковать с ключем -d то я пасс, нет времени херней страдать %)
