PDA

Просмотр полной версии : aPLIB unpaker

St1mul
16.12.2012, 20:54
Есть ли у кого aPLIB unpaker?
или хотя бы скрипт для ольки
В гугле вроде нету.
Sherman
17.12.2012, 10:34
IDA Plugin Depack APlib And LZMA (http://www.woodmann.com/collaborative/tools/index.php/IDA_Plugin_Depack_APlib_And_LZMA)
St1mul
17.12.2012, 13:04
это то я и сам нашел, но все равно спасибо.
А мне нужно изменить десяток байтов через оли.
P.S. есть ли у кого HEX редактор, который может поменять байты в ИСПОЛНЯЕМОМ коде?
P.S.S как заблокировать вызов API функции, можно ли с помощью хука?
Sherman
17.12.2012, 16:23
это то я и сам нашел, но все равно спасибо.
А мне нужно изменить десяток байтов через оли.
P.S. есть ли у кого HEX редактор, который может поменять байты в ИСПОЛНЯЕМОМ коде?
P.S.S как заблокировать вызов API функции, можно ли с помощью хука?

Если в через редактор, то занопать... инструкция NOP (размер 1 байт), повторять столько раз сколько байт занимает вызов исходных инструкций. ну и дополнительно если ф-ция что то возвращает, надо проконтролировать что бы эти данные больше нигде не использовались. ибо могут быть AV и прочие прелести.

Если хукать, то хукай. В теле своей функции можешь ничего не реализовывать вообще :) но скорее всего что то надо возвращать, значит добейся что бы твоя ф-ция возвращала нужные тебе значения.

В аттаче HEX-редакторы,
Второй мне нравится тем что показывает примитивный ассемблер так же как и Hiew. Но Hiew на Win7 у меня не работает.
St1mul
17.12.2012, 17:19
Sherman, Спасибо огромное.
Дело в том, что с помощью IDA я то нашел место где нужно занопать, а чтобы там что исправить там вроде бы плагин нужно писать, зато там есть это место в XEH. Занопать эти места на 90 и все проблемы решены надеюсь. А против там стоит защита, которая крашит ее при исполнении.
А как HxD или QVIEW открыть кодовую часть, у меня открывает только дату?
Нашел сорцы aPLIB (http://www.ibsensoftware.com/files/aPLib-1.01.zip) - но скомпилить не могу, нету масма старого=(
Sherman
17.12.2012, 21:47
Как я понял aPLIB снимается по принципу - дождался пока пакер распакует код в память, нашел оригинальную ОЕП, сдампил, востановил импорт и у тебя готовый экзешник неупакованный, его уже можешь править.
UPD. Посмотрел исходник aPLIB... Бредятина какая то.
Мммм.. по поводу битхака.... в Ольге запиши смещение, потом открой в HEX редакторе, перейти по смещению, и правишь что ты там хотел. Но это надо делать на распакованном экзешнике, в оригинальном у тебя там бред будет. Набор байт. Но про это лучше читать на профильных форумах типа васм и екзелаб :) Тут как бе не тот форум.
St1mul
18.12.2012, 00:04
все разобрался