Что за Upx???
 

Привет всем, народ подскажите что за упх такой странный в проге iPhoneRingToneMaker 2.1.3...
запакована upx нахожу popad смотрю на jmp а у него адресс какой-то странный)должен начинаться на 100ххх и т.д. а он какой то непонятный...
POPAD
LEA EAX, SS:[ESP-080h]
PUSH 0
CMP ESP, EAX
JNZ @iPhoneRi_00BA9602
SUB ESP, -080h
JMP @iPhoneRi_00549D10 ;<= вот такой адрес и секции странные хотя может это девеловеров проделки..копаю прогу ради интереса так как начинающий реверсер и крякмисы надоели немного....другими словами...что это и в каком направлении дольше двигаться с целью найти OEP
вот хомпага проги откуда можно скачать -прога-

upx.exe -d iPhoneRingToneMaker.exe

если все так просто было...я привык через олю вручную снимать пакеры, я распаковывал через ключ -d, запускается...когда закидываю в олю распакованый через упх екзешник то самое интересное что оля продолжает мне говорить о странных секциях и прочие варнинги и становится как точка входа на 549D10 тот же, что и в вышеуказанном джампе...когда снимаю с запакованой версии дамп открываю imprec и в поле ЕОР ввожу 549D10 и autosearch, импрек выдает Could not find anything good at this OEP!:-(....чо за фокусы

как разница, если распаковал и работаат что тебе еще надо? Как устроен космос, в чем смысл жизни? =\

Вот и ошибка в ваших рассуждениях! В поле OEP надо вводить адрес за вычетом ImageBase. В данном случае это будет 149D10h Так что слабо верится в Рекомендую использовать Quickunpack и upx -d и не морочить людям голову

точно, думаю что то не то...400000 нужно отнять...просто раньше я снимал(люди были рядом могущие подсказать) через олю, а сейчас сам все делаю, подзабыл некоторые моменты.квик пакеры не всегда коректно работаю, да пусть ими америкосы пользуются..спасибо Друг за помощь

набить руку на ручной распаковке, тебе не интересно как распаковывает пакер, твои проблемы...мне интересно

тема закрыта

На вопрос ТС отвечено
Closed