Восстановление таблицы импорта

Чем можно восстановить екзешник, который упакован каким нибудь несложным пакером, только вручную без unaspack

 

http://exelab.ru/kid.php

 

Ассемблер под win32 документирован не как php,
вот и спрашиваю.
Я уже читал инфо оттуда, можете поконкретнее

 

Хорошо, я отвечу на твой вопрос из первого поста: руками. Да-да, это возможно! Как? Читай статьи которые приведены в ссылке выше. Либо говори, что конкретно ты распаковываешь, как, что уже проделал и на чем застопорился.

p.s.: и кстати говоря, уж не знаю, как документирован пхп, но процессорные команды превосходно разжеваны в мануале интела

 

Нублю, для теста собрал простейщую консоль,которая делает
cout << "i am console app";
Есть секция с аспаком и секция с кодом, но я никак не пойму где происходит переход из секции с аспаком в секцию с консолью.

 

http://www.youtube.com/watch?v=53z_-0m1ICo

 

А не поймешь ты это потому, что ничего не читал.

http://exelab.ru/art/?action=view&id=171
http://exelab.ru/art/?action=view&id=156
http://exelab.ru/art/?action=view&id=26
http://exelab.ru/art/?action=view&id=288
http://exelab.ru/art/?action=view&id=172

И не возвращайся, пока не прочитаешь!

 

VY_CMa

Спасибо, брейк за командой retn 0c и правда привел к OEP.
Но я не нашел в моём ollydebug где снять дамп, видимо нужен либо плагин либо скачать из другого места.
#colorblind
Разве софтайс ещё актуален? Его в win7 нету, только на вирталку с xp поставить можно.

 

Я обычно память в файл сохраняю winhex'ом. Из Ollydbg только секциями можно без плагина. Right-Click\Backup\Save data to file.

 

спасибо, а чем в бин файле импорт править и сохранять в готовый экзешник?

 

Для стандартных случаев ImportREC или ChimpREC, для остальных свой придётся писать. Перед правкой импорта не забудь выровнить PE секции с LordPE или другим редактором PE заголовка.

 

LordPE ругается на bin файл, говорит что там нету PE заголовка

 

Тогда надо заголовок добавить. Или с оригинального файла или дампить из памяти вместе с кодом и данными.

 

сейчас ollydbg новый вообще с плагинами не дружит, как в нем можно это сделать?

 

Открой в data окне с Ctrl-G, Address = 400000h
А ещё лучше всё сразу Winhex'ом.
Нет одной тулзы, которая бы делала всё одинаково хорошо. Значит надо каждую работу делать своей- Ollydbg отлаживать, IdaPro дизассемблировать, Winheksom в байтах копатся.

 

Круто! Исправил OEP LORD PE, что ещё надо?

 

Теперь запускай снова прогу до OEP, запускай ImpREC, Attach to <mojaproga.exe>, введи OEP, IAT autosearch (в 90% случаев находит правильно), Get Imports, смотри, все импорты ли на месте, если да, тогда Fix Dump и укажи сдампенный и пофикшенный ехе.

 

Говорит: Could not find anything good at this oep