Решил научиться распаковывать. Т.к. по жизни ничего с первого раза не получается - нагуглил статью Распаковка UPX для новичков (http://forum.antichat.ru/showthread.php?t=28212) все делал по мануалу, в качестве "жертвы" использовал запакованный мной самим сапер. но вот в чем проблема - на шаге где нужно найти oep я ищу все инструкции popad и смотрю - есть ли после них jmp ..так вот, делал несколько раз с нуля (удалял сапера, опять запаковывал, открывал олей, и снова искал), но найти такого места так и не смог, при этом адресс ep такой же как и в статье и команды там первые такие же. Подскажите что может быть не так (кроме моих рук и мозгов )
хм...пролистал код вниз (как делают по вашей ссылке) и нашел вот что: а дальше нулевые байты много... поставил туда бп, сделал дамп, открываю импорт реконструктор, пишу туда адрес(01003E21-1001000) и о чудо - таблица импорта вроде бы найдена, сохраняю в дамп (тоже все путем, никаких неполадок) и все бы вроде хорошо..ток файл получившийся не запускается
UPX-это до безобразия лёгкий пакер,что там может быть сложного,даже не знаю... 1.Ты уверен что ты паковал UPX? 2.Как ты и что искал? 3.Выложить сам файл можешь?
во первых: чем хачишь? если это ольга, можно поставить галочку 'trace SFX real entry point, что на вкладке debugging-options-SFX. иногда помогает, в частности с upx. во вторых, совсем не обязательно искать этот popad. можно поставить bp на вершину стека, можно поставить bpe(если используется софтайс или сайсер)на секцию .text в памяти. да вообще много-много способов
Последний джамп в листинге это переход на оеп. Далее дамп делай, открывай imprec пиши туда оеп - базу загрузки(imagebase) все
А если уж совсем не принципиально,то можно взять автоматический распаковщик,например QUnpack,он может находить OEP,попробовать с его помощью найти OEP и подумать потом почему она оказалась именно там.)
цирк какой-то, сколько можно перетирать тему распаковки upx ? p.s. ТС уже не отвечает, либо забил либо распаковал
