|
Upx.распаковка. не могу найти oep
Решил научиться распаковывать. Т.к. по жизни ничего с первого раза не получается - нагуглил статью Распаковка UPX для новичков (http://forum.antichat.ru/showthread.php?t=28212)
все делал по мануалу, в качестве "жертвы" использовал запакованный мной самим сапер. но вот в чем проблема - на шаге где нужно найти oep я ищу все инструкции popad и смотрю - есть ли после них jmp ..так вот, делал несколько раз с нуля (удалял сапера, опять запаковывал, открывал олей, и снова искал), но найти такого места так и не смог, при этом адресс ep такой же как и в статье и команды там первые такие же. Подскажите что может быть не так (кроме моих рук и мозгов ;) ) |
|
хм...пролистал код вниз (как делают по вашей ссылке) и нашел вот что:
Цитата:
поставил туда бп, сделал дамп, открываю импорт реконструктор, пишу туда адрес(01003E21-1001000) и о чудо - таблица импорта вроде бы найдена, сохраняю в дамп (тоже все путем, никаких неполадок) и все бы вроде хорошо..ток файл получившийся не запускается:) |
|
del
|
дуй на cracklab.ru там полно и статей и инструментов да и форум конкретной тематики в наличии!
|
UPX-это до безобразия лёгкий пакер,что там может быть сложного,даже не знаю...
1.Ты уверен что ты паковал UPX? 2.Как ты и что искал? 3.Выложить сам файл можешь? |
во первых: чем хачишь? если это ольга, можно поставить галочку 'trace SFX real entry point, что на вкладке debugging-options-SFX. иногда помогает, в частности с upx. во вторых, совсем не обязательно искать этот popad. можно поставить bp на вершину стека, можно поставить bpe(если используется софтайс или сайсер)на секцию .text в памяти. да вообще много-много способов
|
Последний джамп в листинге это переход на оеп. Далее дамп делай, открывай imprec пиши туда оеп - базу загрузки(imagebase) все
|
А если уж совсем не принципиально,то можно взять автоматический распаковщик,например QUnpack,он может находить OEP,попробовать с его помощью найти OEP и подумать потом почему она оказалась именно там.)
|
| Время: 23:18 |