Привет всем, народ подскажите что за упх такой странный в проге iPhoneRingToneMaker 2.1.3... запакована upx нахожу popad смотрю на jmp а у него адресс какой-то странный)должен начинаться на 100ххх и т.д. а он какой то непонятный... POPAD LEA EAX, SS:[ESP-080h] PUSH 0 CMP ESP, EAX JNZ @iPhoneRi_00BA9602 SUB ESP, -080h JMP @iPhoneRi_00549D10 ;<= вот такой адрес и секции странные хотя может это девеловеров проделки..копаю прогу ради интереса так как начинающий реверсер и крякмисы надоели немного....другими словами...что это и в каком направлении дольше двигаться с целью найти OEP вот хомпага проги откуда можно скачать -прога-
если все так просто было...я привык через олю вручную снимать пакеры, я распаковывал через ключ -d, запускается...когда закидываю в олю распакованый через упх екзешник то самое интересное что оля продолжает мне говорить о странных секциях и прочие варнинги и становится как точка входа на 549D10 тот же, что и в вышеуказанном джампе...когда снимаю с запакованой версии дамп открываю imprec и в поле ЕОР ввожу 549D10 и autosearch, импрек выдает Could not find anything good at this OEP!:-(....чо за фокусы
Вот и ошибка в ваших рассуждениях! В поле OEP надо вводить адрес за вычетом ImageBase. В данном случае это будет 149D10h Так что слабо верится в Рекомендую использовать Quickunpack и upx -d и не морочить людям голову
точно, думаю что то не то...400000 нужно отнять...просто раньше я снимал(люди были рядом могущие подсказать) через олю, а сейчас сам все делаю, подзабыл некоторые моменты.квик пакеры не всегда коректно работаю, да пусть ими америкосы пользуются..спасибо Друг за помощь набить руку на ручной распаковке, тебе не интересно как распаковывает пакер, твои проблемы...мне интересно тема закрыта