Един от начините за ръчно разопаковането ASPack

Сега натиснете F11, докато той ще бъде премахнат в паметта ".", Т.е. Ще чакаме, докато idata разопаковам.

Веднага след като се види, че разопаковането, направете: удара в минута "VirtualOffset_idata". т.е. удара в минута 40C000. F5. BC *. Нека да търсят с помощта на магическата екип / tracex. Но основният му недостатък - ниска скорост. Ако програмата е повече от 1Mb, работата може да бъде до 10 минути. Писане / tracex "VirtualOffset_1sektsii" "VirtualOffset_2sektsii". т.е. / Tracex 401 000 408000. И сега най-досаден, но най-важното - да се изчака за изпълнение! О, аз скочих SoftICE. Виж, когато е необходимо EIP = 403FF0.

Сега 403FF0 - това е нашата OEP. Деактивиране на сметището: / зареже 400000 14000 C: \ dump.exe.

Isprvlyaem сметище, ще се отвори сметището PEditor 1.7. EntryPoint да се определи 0003FF0. Отворени раздели. На .rsrc раздел (и това е възможно и във всички секции!) Do DumpFixer (RawOffset = VirtualOffset RawSize = VirtualSize). Сега там е икона на файл. Стартирайте сметището. Работи!

Възстановяване на внос: когато ние направихме го зареже, преди да го изчака, докато разопаковам idata секция. И това вече се съдържат нормален внос, които по-късно се сляха в сметището. Ето защо, не се изисква вноса на реставрация.

Забележка: този метод за разопаковане подходящ само за малки файлове, но можете да опитате от всичко. Но въпросът е: ще го постигнат успех? Защото / tracex се извършват определени действия, това се случва в продължение на дълъг период от време и обикновено наистина не искам просто да седи и да чака.

Благодарим ви за проявения интерес към тази статия!