Автор Тема: Проблема с распаковкой DLL  (Прочитано 15660 раз)

Оффлайн n199a

  • Новичок
  • *
  • Сообщений: 2
Проблема с распаковкой DLL
« : 07 Февраля 2013, 03:18:15 »
Скачать:
http://rghost.ru/private/43607317/c4166ae9201acd6e575c782b29fe6cefname.dll
Запакован был в Armadillo.
PEiD показал Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks.
Через DilloDIE распаковал (лог действий ниже), в той же папке появилась новая dll с названием name.dll.dDIE.dll.
Лог действий:
LoadLibrary...
--> Filename: particleman.dll
--> Process ID: 00000320
Call OEP hooked...
--> 10042DAB
New Thread created. ID: 00001504
IAT Initialization hooked...
--> 00B4C6BB
Rebuilding Import Table...
--> Thunk @ 1001903C = KERNEL32.DLL!LoadLibraryA
--> Thunk @ 10019040 = KERNEL32.DLL!GetProcAddress
--> Thunk @ 10019044 = KERNEL32.DLL!VirtualProtect
--> Thunk @ 10019048 = KERNEL32.DLL!VirtualAlloc
--> Thunk @ 1001904C = KERNEL32.DLL!VirtualFree
--> Thunk @ 10019054 = USER32.dll!SetCursorPos
New Thread created. ID: 0000081C
OEP resolved to: 10018930
Dumping PE Sections...
Done. I did all of this in 6 seconds!
Через PEiD смотрю, чем запакована -> UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Через QuickUnpack 2.2 делаю следующее:
1) Открываю QUnpack
2) В окне "Открыть файл" выбираю распакованный от Armadillo name.dll
3) В окне поиска OEP выбираю: ForceOEP by Feuerrader & Archer [OEP: 00004E03]
4) Жму "Распаковать"
Вот лог:
Quick Unpack 2.2 для Windows 2000/XP/2003/Vista
(c) отладочное ядро stripper от syd
основано FEUERRADER [AHTeam]
(c) закодил Archer

01:03:07 - Открыт particleman.dll
     Встроенный анализ... unknown
     Сканирование PESniffer: UPX v0.89.6 - v1.02 / v1.05 - v1.22 DLL
     Сканирование PEiD... UPX 0.80 - 1.24 DLL -> Markus & Laszlo
01:03:53 - Нашлось кое-какое OEP...00004E03

01:04:35 - PID: 00000758
0x7C9B0000 - модуль ntdll.dll экспорт перехвачен...
0x7C8F8000 - модуль kernel32.dll экспорт перехвачен...
0x7E3F1000 - модуль user32.dll экспорт перехвачен...
0x77F59000 - модуль gdi32.dll экспорт перехвачен...
01:04:35 - Импорт перехвачен...
01:04:35 - Файл загружен по 0x10000000
01:04:35 - 0x7C800000 - модуль kernel32.dll загружен
01:04:35 - 0x7E360000 - модуль user32.dll загружен
01:04:35 - PID: 00000EB8
0x7C9B0000 - модуль ntdll.dll экспорт перехвачен...
0x7C8F8000 - модуль kernel32.dll экспорт перехвачен...
0x7E3F1000 - модуль user32.dll экспорт перехвачен...
0x77F59000 - модуль gdi32.dll экспорт перехвачен...
01:04:36 - Импорт перехвачен...

01:04:36 - Файл загружен по 0x00840000
01:04:36 - EP: 00858930
01:04:36 - OEP: 00844E03
01:04:36 - Распакованный файл не был создан
01:04:36 - Распаковка завершена

Пишет, что 01:04:36 - Распакованный файл не был создан, но в папке появилось 2 новых файла:
_ghost.dll
_loader.exe
Через PEiD решил проверить:
_ghost.dll: Nothing found *
_loader.exe:Nothing found *

Т.е. всё распаковано?Но!
Этот dll использовался так: Запускается программа и сразу появляется Изображение поверх окна программы.
Я думаю, что, если запустить этот Exe (_loader.exe), то должна показаться картинка, но ничего не происходит.
Я думаю, что Изображение находится в exe'шнике. Решил открыть через Restorator, а там пустое окно. Попробовал через ResHacker - тоже пустое окно.
Получается, что, где-то было плохо распаковано?

P.S. Сейчас посмотрел распакованный dll после Armadillo через DiE и он выдал ACProtect 1.3x - 1.4x DLL -> Risco Software Inc.. Как быть?
« Последнее редактирование: 07 Февраля 2013, 03:23:01 от n199a »

Оффлайн Nexus

  • Новичок
  • *
  • Сообщений: 24
Проблема с распаковкой DLL
« Ответ #1 : 07 Февраля 2013, 18:09:30 »
Я так понял по картинке из файла что этот файл из игры Duke Nukem? Он защищен ASProtect, который выдает себя за упаковщик UPX и Армадило. То есть спер у этих протекторов фрагменты сигнатур. Такое я уже встречал один раз. Советую обратиться на форум Cracklab.ru - это их специфика.

Оффлайн n199a

  • Новичок
  • *
  • Сообщений: 2
Проблема с распаковкой DLL
« Ответ #2 : 07 Февраля 2013, 18:54:14 »
Цитата: Nexus
Я так понял по картинке из файла что этот файл из игры Duke Nukem? Он защищен ASProtect, который выдает себя за упаковщик UPX и Армадило. То есть спер у этих протекторов фрагменты сигнатур. Такое я уже встречал один раз. Советую обратиться на форум Cracklab.ru - это их специфика.
В том то и дело, что когда я пытался распаковать ASP, то распаковщик выдавал сообщение, что это не ASP
« Последнее редактирование: 07 Февраля 2013, 19:10:36 от n199a »

Оффлайн Nexus

  • Новичок
  • *
  • Сообщений: 24
Проблема с распаковкой DLL
« Ответ #3 : 07 Февраля 2013, 20:12:33 »
Говорю же обратись на другой сайт! Автоматические распаковщики ее не возьмут. Так как за упаковку этого файла видимо заплачены нехилые деньги, то и снятие защиты требует ручного вмешательства...

Оффлайн Solenij

  • Старожил
  • ****
  • Сообщений: 487
    • http://unpacking.narod.ru
Проблема с распаковкой DLL
« Ответ #4 : 08 Февраля 2013, 10:59:27 »
Nexus, нет там реально Armadillo и UPX. Просто распаковка Armadillo через DilloDIE проходит некорректно и файл получается неработоспособным (в отладчик по крайней мере грузится не хочет).
n199a, тебе же на ExeLab'е написали обратиться в запросы. Здесь точно не помогут, так как данная проблема (судя по тому, что эта DLL это регистрационная форма программы) не относится к тематике нашего форума.
Цитировать
Пишет, что 01:04:36 - Распакованный файл не был создан, но в папке появилось 2 новых файла:
_ghost.dll
_loader.exe
Это файлы от загрузчика QuickUnpack они иногда появляются после неудачной работы QuickUnpack.
Уважайте труд других людей - они будут уважать Ваш!!!

Оффлайн Nexus

  • Новичок
  • *
  • Сообщений: 24
Проблема с распаковкой DLL
« Ответ #5 : 08 Февраля 2013, 13:02:22 »
Цитата: Solenij
Nexus, нет там реально Armadillo и UPX.
Любой анализатор Armadillo показывает разную версию, а то и вообще показывает что это не тот упаковщик. UPX:  в секциях понатыкано значения от UPX 1 до UPX 3.08 и при этом не берет ни один распаковщик, даже со скребмлером. Все специально запутано и смешано - по мне это явно указывает, что это работа Солодовникова, он уже наглеет и тырит  части кода с других упаковщиков. Может я не прав, нужна консультация спеца, сам бы хотел узнать.

Оффлайн Solenij

  • Старожил
  • ****
  • Сообщений: 487
    • http://unpacking.narod.ru
Проблема с распаковкой DLL
« Ответ #6 : 08 Февраля 2013, 17:43:25 »
Начни распаковывать в отладчике и сам всё увидишь. Смысл спорить...
Или возьми хотя бы Armadillo Find Protected и посмотри - он четко показывает, что там Armadillo v4.40 Professional.
Хотя конечно бывает и не без чудес.  
Уважайте труд других людей - они будут уважать Ваш!!!

Оффлайн Nexus

  • Новичок
  • *
  • Сообщений: 24
Проблема с распаковкой DLL
« Ответ #7 : 08 Февраля 2013, 18:34:02 »
Цитата: Solenij
Или возьми хотя бы Armadillo Find Protected и посмотри - он четко показывает, что там Armadillo v4.40 Professional.
Ага, я видел, а как начал распаковывать автораспаковщиком, то мне сказали "Слышь, чувак, там вообще то UPX, а не Армада, ну да хрен с тобой - я тебе и UPX распакую". И распаковало мне невесть что.. Ну да я в этих делах полный нубище!  Файл-винигрет, долбайтесь сами