Author Topic: Unpack 02 - FSG v2.0->[SOLVED] (Read 1350 times)

eraser · « **Reply #15 on:** May 08, 2007, 10:35:03 AM »

Jo, u? mi to je jasné. Tento postup sa mi zdá tro?ku zlo?itej?í, hlavne, čo sa týka výpočtov. V mojom prípade mi stačí zistiť začiatok, koniec, vzájomným odčítaním zistiť veľkosť v?etkých thunkov a ručne upraviť terminátory. Zbytok zabezpečí ImportREC.

Huh, tak Save Tree tlačítko som si nev?imol, asi budem musieť nav?tíviť očného. Díkes.

llAmElliK · « **Reply #16 on:** May 08, 2007, 12:09:35 PM »

Quote from: eraser

Huh, tak Save Tree tlačítko som si nev?imol, asi budem musieť nav?tíviť očného. Díkes.

..tlacitko SAVE a LOAD Tree je dost dulezite - protoze krom jineho ti umoznuji ulozit IAT do .txt souboru - jeho naslednou editaci a nacteni do targetu.

Jinak takto nastaveny impREC by mel postacit k 99% uspesne oprave importu.

Arab3h · « **Reply #17 on:** May 08, 2007, 12:59:09 PM »

Prisel jsem na to, jde to uplne primitivne, v ImpRec staci zadat RVA 1000 a size 348 a samozrejme opravit OEP na 739D pak GetImport pak rozbalime nalezene improty a pokazde na hodnote 7FFFFFFF kliknout pravym tlacitkem na Cut Thunks a importy se rozdeli jak maji, pak uz jen FixDump a mame vyhrano. Je to bez jakehokoliv zasahu v olly, krome dumpu

llAmElliK · « **Reply #18 on:** May 08, 2007, 01:45:23 PM »

Pouziti CUT Thunk je diskutabilni - tohle se dost casto pouziva kdyz nedojde k automaticke oprave importu - ovsem ne vzdy je to na miste!!!
Postup v impREC by mel byt nasledovny:
....
....
- Get Imports
- Show Invalid (ukazi se spatne importy)
- Trace Level1 (disasm) - mozna oprava
- Pokud ani to nepomuze pouzijeme nejaky plugin daneho packeru
- pak uz zbejva manualni uprava ulozeneho .txt dle vypoctu (nebo zminovany CUT spatnych importu)

SIZE RVA neni podle mne treba nastavovat zvlast u techto packeru - dulezite je aby hodnota RVA byla alespon 1000 - pokud budete mit nizsi zrejmne se nenactou vsechny knihovny a jejich API.

eraser · « **Reply #19 on:** May 08, 2007, 03:26:00 PM »

Video mám hotové, uploadnem ho cez víkend, preto?e z práce sa nedostanem na FTP.

S trochou ručných zásahov som zredukoval unpacknutý súbor presne na 81.413 bajtov. Tro?ku mám obavy s resources, resp. string tables. U mňa to v?ak funguje, tak?e pokiaľ by to z vás niekto otestoval, tak mi dajte vedieť, či je to 100% funkčné. Najmä by som uvítal niekoho s iným OS ne? Windows XP SP2. Av?ak si nie som istý, či sa tam dá normálne spustiť notepad z WinXP.

Arab3h · « **Reply #20 on:** May 08, 2007, 06:23:57 PM »

Quote from: llAmElliK

Pouziti CUT Thunk je diskutabilni - tohle se dost casto pouziva kdyz nedojde k automaticke oprave importu - ovsem ne vzdy je to na miste!!!

Ale proc je ten postup spatne??? Vzdyt sem jen odstranil oddelovace, ktere ImpRecu znemoznovali automatickou opravu importu.

llAmElliK · « **Reply #21 on:** May 08, 2007, 06:28:30 PM »

Duvod je jednoduchy - takto opravis kazdy import u kazdeho targetu resp jeho IAT - ale je treba vedet zda mas importy vsechny, ktere tam maji byt.Cili nerikam ze to je primarne spatne ale pouzivat az kdyz vse selze a s rozvahou..

Master · « **Reply #22 on:** May 09, 2007, 09:46:58 AM »

Tak sem dokoncil muj tutorial na tento packer.Pouzil sem pro nahrani propaganduv InstantDemo,cimz ho odted schvaluji jako moznost pro zaznam.

Code: [Select]


unpackschool.free-site-host.com/UnpackingSchool/FSG_2_0/solutions/Master/FSG2_0rar

Edit: Pridan script pro dump.Pak staci opravit akorat importy.

RE FORUM

News:

Author Topic: Unpack 02 - FSG v2.0->[SOLVED] (Read 1350 times)

eraser

Re: Unpack 02 - FSG v2.0

llAmElliK

Re: Unpack 02 - FSG v2.0

Arab3h

Re: Unpack 02 - FSG v2.0

llAmElliK

Re: Unpack 02 - FSG v2.0

eraser

Re: Unpack 02 - FSG v2.0

Arab3h

Re: Unpack 02 - FSG v2.0

llAmElliK

Re: Unpack 02 - FSG v2.0

Master

Re: Unpack 02 - FSG v2.0