Незапакованный файл ресурсов SWiSH Max3 Application. версия 2009.11.30  тык.

Этот файлик я на ихнем форуме нашел. Думал его мона просто в папку с прогой  кинуть и все. А сегодня попробовал, да не тут-то было..

Короче, посмотрел я этот файл ни ASProtect'а, ни Themida там нет, все оказалось гораздо проще.
Вот распакованный:

Solenij, а можно подробней? В образовательных целях. А то что-то не получается распаковать. 

Файл легко распаковывается с помощью железного бряка hr esp-4. Т.е. выставляем этот бряк в командной строке OllyDbg и по F9 доходим до прыжка на OEP. Ну а дальше все стандартно - дампим и восстанавливаем импорт.

Ошибка у меня была в восстановлении импорта. Там есть 2 функции, которые не может восстановить импрек и поэтолму их надо восстанавливать вручную. Короче, после тщательного анализа я этот файл все таки нормально распаковал, но вам я смотрю его уже на кряклабе распаковали.

P.S. Wan, сли не получится распаковать, то напиши, я тогда, как будет время ролик сделаю по распаковке этой программы.

Здесь я остановился. Я только знаю, что если некоторые функции неопределены в Имреке, то можно еще нажать
Show Invalid , а потом на выделенной неопределившейся функции жать правой клавишей и Trace Level1 (Disasm). Но в данном случае не сработало. Так что будем с smz ждать ролик 
И еще хочу сказать насчет нахождения ОЕП. Поначалу я скачнул установочный файл SwishMax с офсайта, установил программу в Program Files, в папку SwishMax. Так вот. В данном случае ( в ехе из этой папки) я на ОЕП попасть так и не смог ( Не доходя до джампа, прыгающего на ОЕП, прога открывается). Хотя делал также, как ты - hr esp-4 и т.д. Пробовал в разных сборках OllyDbg, в другой операционке, замучал Admin@Crack*а  . Потом наконец скачнул ехе по ссылке smz и в этой ексушке джамп, который ведет на ОЕП нашелся без проблем.
Ексешки обе одинаковой версии.    Во, щас идея пришла сравнить их в Compare it.
Да.. различия есть почему то, хотя и одинаковые версии 

Отредактировано Wan (2010-10-15 22:56:08)

Так есть ролик или нет?! Кто нибудь разъяснит как его все таки распаковать

Вообще конечно для начала надо иметь хоть какой-нибудь опыт в распаковке, а иначе вы просто не поймете ничего. Ну да ладно. Сейчас уже не помню, как я распаковывал, но сейчас после распаковки файл работает только на XP. Как сделать, чтобы он работал на Windows 7 я не понял, хотя запакованный файл на семерке работает. Скорее всего там что-то очень простое, но нужна подсказка от более опытных людей. Короче принцип распаковки такой:
1. Загружаем файл в ольку и видим такую картину:

2. В командной строке отладчика пишем команду hr esp-4, нажимаем Enter на клавиатуре (для командной строки нужен плагин CommandBar):

3. Далее запускаем прогу из под отладчика несколько раз по кнопке F9 до тех пор, пока не увидите прыжка на OEP:

4. Далее нажимаете F7 или F8 и вы попадете на OEP:

5. Далее снимаете дамп, например с помощью PETools или LordPE:

6. Открываете ImpREC, выбираете в нем нужный нам процесс SWiSHMax:

7. В логе ImpREC указана Image Base она равна 00400000. Берем найденное OEP и из него вычитаем Image Base, т.е. OEP=EP-Image Base или OEP=00B2C4BE-00400000=0072C4BE. Вписываем найденное OEP в соответсвующее поле ImpREC и нажимаем кнопку IAT AutoSearch. Если все сделали правильно, то ImpREC выдаст вот такое сообщение

и укажет адрес RVA и его размер.

8. После этого нажимаете кнопку Get Imports для показа найденных функций и нажимаем кнопку Show Invalid для определения неопознанных (ошибочных) функций. Если такие функции присутствуют, то ImpREC их выделит. На этих ошибочных функция кликаете правой кнопкой мыши и выбираете пункт Cut thunk(s):

9. После этого нажимаете кнопку Fix Dump и указываете расположение сделанного дампа. Если все пройдет успешно ImpREC выдаст в логе вот такое сообщение:

10. На этом файл считается распакованным. Останется только избавиться от ошибки R6002, которая может появится при запуске программы, для этого используют специальный патч (скачать можно ЗДЕСЬ) ну и конечно надо восстановить секцию ресурсов с помощью Resource Binder.

Velius, но это сами понимаете, что раз на Windows 7 x64 не работает, то значит что-то не так! Ведь если упакованный файл работает, то значит мы где-то совершили ошибку при распаковке или при восстановлении импорта. PEBundle вообще хитрая и интересная вещь - она вшивает DLL в EXE. Например в SwishMax в екзешнике вшито толи 3, толи 4 DLL. Смысл самой правильной распаковки PEBundle это распаковать екзешник и вытащить из него все DLL. Но можно их оставить и в екзешнике они все равно в памяти будут подгружаться, но для этого надо граммотно выполнить распаковку и восстановление импорта. Я с PEBundle сталкивался всего два раза в своей практике в программе OverNimble Localize Plus и SwishMax. Пакер редкий, им мало кто из разрабов пакует свои программы, поэтому и инфы так мало по этой программе. Хотя в её распаковке ничего сложного нет, раз мы нашли OEP, то значит мы правильно распаковали, тем более, что импорт восстановился, хоть и с двумя невалидными функциями. Ищите, копайте - я вам направление дал, дальше уже сами. Если разберетесь, то не забудьте здесь отписаться, как и чего делали, чтобы информация сохранилась для потомков, а не пропала.

OEP абсолютно такой же, а иначе импорт не восстановился бы. Скорее всего нужно правильно восстановить 2 невалидные функции в импорте.

Сейчас гляну.