Upx.распаковка. не могу найти oep

Discussion in 'Реверсинг' started by Theriat, 18 Jul 2009.

  1. Theriat

    Theriat New Member

    Joined:
    12 May 2009
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Решил научиться распаковывать. Т.к. по жизни ничего с первого раза не получается - нагуглил статью Распаковка UPX для новичков (http://forum.antichat.ru/showthread.php?t=28212)
    все делал по мануалу, в качестве "жертвы" использовал запакованный мной самим сапер. но вот в чем проблема - на шаге где нужно найти oep я ищу все инструкции popad и смотрю - есть ли после них jmp ..так вот, делал несколько раз с нуля (удалял сапера, опять запаковывал, открывал олей, и снова искал), но найти такого места так и не смог, при этом адресс ep такой же как и в статье и команды там первые такие же.

    Подскажите что может быть не так (кроме моих рук и мозгов ;) )
     
  2. swt1

    swt1 Elder - Старейшина

    Joined:
    16 Feb 2008
    Messages:
    306
    Likes Received:
    78
    Reputations:
    21
    2 people like this.
  3. Theriat

    Theriat New Member

    Joined:
    12 May 2009
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    хм...пролистал код вниз (как делают по вашей ссылке) и нашел вот что:
    а дальше нулевые байты:) много...
    поставил туда бп, сделал дамп, открываю импорт реконструктор, пишу туда адрес(01003E21-1001000) и о чудо - таблица импорта вроде бы найдена, сохраняю в дамп (тоже все путем, никаких неполадок) и все бы вроде хорошо..ток файл получившийся не запускается:)
     
  4. swt1

    swt1 Elder - Старейшина

    Joined:
    16 Feb 2008
    Messages:
    306
    Likes Received:
    78
    Reputations:
    21
  5. AlexGT

    AlexGT Banned

    Joined:
    21 Jan 2008
    Messages:
    1
    Likes Received:
    18
    Reputations:
    0
  6. TR0J@N

    TR0J@N Elder - Старейшина

    Joined:
    30 Mar 2007
    Messages:
    105
    Likes Received:
    58
    Reputations:
    13
    дуй на cracklab.ru там полно и статей и инструментов да и форум конкретной тематики в наличии!
     
  7. Loginator

    Loginator New Member

    Joined:
    3 Aug 2009
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    UPX-это до безобразия лёгкий пакер,что там может быть сложного,даже не знаю...

    1.Ты уверен что ты паковал UPX?
    2.Как ты и что искал?
    3.Выложить сам файл можешь?
     
  8. Mr.Andersen

    Mr.Andersen New Member

    Joined:
    30 May 2009
    Messages:
    6
    Likes Received:
    1
    Reputations:
    0
    во первых: чем хачишь? если это ольга, можно поставить галочку 'trace SFX real entry point, что на вкладке debugging-options-SFX. иногда помогает, в частности с upx. во вторых, совсем не обязательно искать этот popad. можно поставить bp на вершину стека, можно поставить bpe(если используется софтайс или сайсер)на секцию .text в памяти. да вообще много-много способов
     
    1 person likes this.
  9. Sunzer

    Sunzer Member

    Joined:
    17 May 2008
    Messages:
    29
    Likes Received:
    9
    Reputations:
    2
    Последний джамп в листинге это переход на оеп. Далее дамп делай, открывай imprec пиши туда оеп - базу загрузки(imagebase) все
     
  10. Loginator

    Loginator New Member

    Joined:
    3 Aug 2009
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    А если уж совсем не принципиально,то можно взять автоматический распаковщик,например QUnpack,он может находить OEP,попробовать с его помощью найти OEP и подумать потом почему она оказалась именно там.)
     
  11. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    274
    Reputations:
    59
    цирк какой-то, сколько можно перетирать тему распаковки upx ?
    p.s. ТС уже не отвечает, либо забил либо распаковал