also по 2й антивирь ругаеццо,зловреда нету+сурсы. _forum.tuts4you.com/index.php?showtopic=23609&st=0&p=112515&hl=+yoda's +protector +1.02&fromsearch=1&#entry112515 вот на tutz4 мануал.
Куча ссылок в гугле по запросам типа: unpack yoda's Protector 1.02 unpack yoda's Protector Но нет, у вас видимо особый гугл, который выдает пустую страницу...
первый - для 1.03, у меня 1.02. второй: Code: Log: start unpacking trying to open file... ok reading address of entry point value: 00000034 reading imagebase: 00400000 reading size/address of SizeOfImage value: 0000005C reading address of Import Directory VA value: 0000008C reading address of Import Directory Size value: 00000090 reading section alignment: 00001000 calculating dumpsize (virtual size sum of all sections): 000F1000 reading VirtualSize value of last section: 000001AC reading SizeOfRawData value of last section: 000001B4 have all needed values, closing file creating process: 00000810 reserving memory for import table ... trying to get the IAT (where is your mojo ;) ?) ... placing bp on 'LoadLibrary' in: 7C801D7B lets fight! (runnig application, placing BP in LoadLibraryA call etc.)... ... found OEP: 00003950 entry point value corrected! got some import stuff,now writing last IMAGE_IMPORT_DESCTIPTOR... calculating new section table values Name: VSize: RawSize: VAddress: RawAddress: Flags: 000116A2 000116A2 00001000 00001000 E0000060 000032EA 000032EA 00013000 00013000 E0000060 000038F0 000038F0 00017000 00017000 E0000060 000C5800 000C5800 0001B000 0001B000 E0000060 00010000 00010000 000E1000 000E1000 E0000060 new Import Table RVA: 000F1000 new Import Table size: 00000050 new imagesize: 000F2000 extend last section to: 00001000 dumping file ... done, bytes dumped(decimal value): 991232 File unpacked! снимает, пейд показывает "Microsoft Visual C++ 8.0 *", но прога не запускается. Catbert, и толку от твоих постов? запрос составить все умеют, ты рабочий вариант распаковки покажи.
1) BP CreateToolhelp32Snapshot сделал в OllyCommandLine 2) Press F9 > Break Code: ... 004E1339 4B DEC EBX 004E133A CC INT3 004E133B C3 RETN 3) Press F9 > Second break Code: 0012FFE0 FFFF ??? ; Unknown command -- вот тут, понимаю, что то происходит не то что надо.. 4) delete breakpoint
еще при запуске вылетает алерт: Code: --------------------------- Entry Point Alert --------------------------- Module 'blablabla' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints! --------------------------- ОК ---------------------------
exeinfope: "Unknown Packer-Protector , 5 sections " RDG Packer Detector v0.6.6 2k8: PEiD: yoda's Protector 1.02 (.exe,.scr,.com) -> Ashkbiz Danehkar (h) *
вобщем по видео-мануалу тоже не получается.. пробовал 2 раза.. ( http://megaswf.com/serve/36314/) после того как нахожу pid ольки, вбиваю его в "mov eax,PID", жму Ф9, и меня вместо того чтобы кинуть на брейк, кидает на Code: 7C812AEB 5E POP ESI
