ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
Upx.распаковка. не могу найти oep |
18.07.2009, 20:19
|
|
Новичок
Регистрация: 12.05.2009
Сообщений: 4
Провел на форуме:
19205
Репутация:
2
|
|
Upx.распаковка. не могу найти oep
Решил научиться распаковывать. Т.к. по жизни ничего с первого раза не получается - нагуглил статью Распаковка UPX для новичков (http://forum.antichat.ru/showthread.php?t=28212)
все делал по мануалу, в качестве "жертвы" использовал запакованный мной самим сапер. но вот в чем проблема - на шаге где нужно найти oep я ищу все инструкции popad и смотрю - есть ли после них jmp ..так вот, делал несколько раз с нуля (удалял сапера, опять запаковывал, открывал олей, и снова искал), но найти такого места так и не смог, при этом адресс ep такой же как и в статье и команды там первые такие же.
Подскажите что может быть не так (кроме моих рук и мозгов  ) |
|
|
18.07.2009, 20:57
|
|
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
Провел на форуме:
3370466
Репутация:
96
|
|
|
|
|
|
18.07.2009, 22:52
|
|
Новичок
Регистрация: 12.05.2009
Сообщений: 4
Провел на форуме:
19205
Репутация:
2
|
|
хм...пролистал код вниз (как делают по вашей ссылке) и нашел вот что:
01021D9D . 61 POPAD
01021D9E . 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
01021DA2 > 6A 00 PUSH 0
01021DA4 . 39C4 CMP ESP,EAX
01021DA6 .^75 FA JNZ SHORT winmine.01021DA2
01021DA8 . 83EC 80 SUB ESP,-80
01021DAB .-E9 7120FEFF JMP winmine.01003E21
а дальше нулевые байты  много...
поставил туда бп, сделал дамп, открываю импорт реконструктор, пишу туда адрес(01003E21-1001000) и о чудо - таблица импорта вроде бы найдена, сохраняю в дамп (тоже все путем, никаких неполадок) и все бы вроде хорошо..ток файл получившийся не запускается |
|
|
|
18.07.2009, 23:00
|
|
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
Провел на форуме:
3370466
Репутация:
96
|
|
|
|
|
|
18.07.2009, 23:39
|
|
Познающий
Регистрация: 21.01.2008
Сообщений: 85
Провел на форуме:
629558
Репутация:
52
|
|
del
|
|
|
|
19.07.2009, 00:41
|
|
Участник форума
Регистрация: 30.03.2007
Сообщений: 131
Провел на форуме:
1449774
Репутация:
127
|
|
дуй на cracklab.ru там полно и статей и инструментов да и форум конкретной тематики в наличии!
|
|
|
|
03.08.2009, 18:04
|
|
Новичок
Регистрация: 03.08.2009
Сообщений: 13
Провел на форуме:
22702
Репутация:
2
|
|
UPX-это до безобразия лёгкий пакер,что там может быть сложного,даже не знаю...
1.Ты уверен что ты паковал UPX?
2.Как ты и что искал?
3.Выложить сам файл можешь?
|
|
|
|
05.08.2009, 14:38
|
|
Новичок
Регистрация: 30.05.2009
Сообщений: 6
Провел на форуме:
6516
Репутация:
1
|
|
во первых: чем хачишь? если это ольга, можно поставить галочку 'trace SFX real entry point, что на вкладке debugging-options-SFX. иногда помогает, в частности с upx. во вторых, совсем не обязательно искать этот popad. можно поставить bp на вершину стека, можно поставить bpe(если используется софтайс или сайсер)на секцию .text в памяти. да вообще много-много способов
|
|
|
|
05.08.2009, 19:33
|
|
Познающий
Регистрация: 17.05.2008
Сообщений: 30
Провел на форуме:
100551
Репутация:
20
|
|
Последний джамп в листинге это переход на оеп. Далее дамп делай, открывай imprec пиши туда оеп - базу загрузки(imagebase) все
|
|
|
|
05.08.2009, 19:44
|
|
Новичок
Регистрация: 03.08.2009
Сообщений: 13
Провел на форуме:
22702
Репутация:
2
|
|
А если уж совсем не принципиально,то можно взять автоматический распаковщик,например QUnpack,он может находить OEP,попробовать с его помощью найти OEP и подумать потом почему она оказалась именно там.)
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
