+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : فك mpress (/thread-1777.html)
فك mpress - mohamad - 05-06-2020
السلام عليكم
هل يوجد اداة محددة لفك ملف dll مضغوط mpress
جرب عمل دامب و عدة ادوات ولم ينجح الامر معي , من عنده اداة او سكربت او طريقة معينة مجربة يفيدني رجاء
هل يوجد اداة محددة لفك ملف dll مضغوط mpress
جرب عمل دامب و عدة ادوات ولم ينجح الامر معي , من عنده اداة او سكربت او طريقة معينة مجربة يفيدني رجاء
RE: فك mpress - the9am3 - 05-06-2020
جرب هذا الفيديو
https://www.youtube.com/watch?v=XDui4cH4L7oاو اعمل نقطة توقف على dll و بعدها f8 واعمل follow in dump للــ esp الى ان تصل الى jmp الي تاخذك للـ Entry point
RE: فك mpress - mohamad - 05-06-2020
(05-06-2020, 07:23 PM)the9am3 كتب : جرب هذا الفيديولا فائدة , لم بنجح الامر
https://www.youtube.com/watch?v=XDui4cH4L7o
او اعمل نقطة توقف على dll و بعدها f8 واعمل follow in dump للــ esp الى ان تصل الى jmp الي تاخذك للـ Entry point
RE: فك mpress - the9am3 - 05-06-2020
انتظر باقي الشباب وراح احاول معاه واقولك
RE: فك mpress - Gu-sung18 - 05-06-2020
انا لست خبير فالـ unpacking ولكن ما هي الادوات والسكربتات التي استخدمتها؟ لعلي اجد لك شيء لم تستخدمة من قبل.
كذلك نحن في قسم الاسئلة وتبادل الخبرات لذلك اي معلومات تضيفها ستكون مفيدة جدا خاصة لمن يواجه نفس مشكلتك مستقبلاً
وايظا صورة من برنامج الفحص
RE: فك mpress - the9am3 - 05-06-2020
الضاغط ليس mpress
هو PECompact(1965618101)[-]
يوجد شرح للاخ ابو البراء لكيفه فك ضغط بعمل نقطة توقف على VirtualAlloc وبعدها f8 على ret
انزل تحت شوي تلاقي jmp هذه القفزة تاخذك لنقطة الانطلاق لكن المشكلة التي واجهتني IAT يوجد واحدة منهم لم استطع اصلاحها
RE: فك mpress - mohamad - 05-06-2020
(05-06-2020, 09:56 PM)the9am3 كتب : الضاغط ليس mpressعند فحص ملف dll يوجد قسمين باسم mpress ???
(05-06-2020, 09:52 PM)Gu-sung18 كتب : الادوات والسكربتات التي استخدمتهاqunpack + vmUnpack + سكربت olly باسم Mpress وجدته عندي بمجموعة سكربتات olyy
ملف dll يخص برنامج
ElectraX2 x64
RE: فك mpress - Gu-sung18 - 05-06-2020
ربما يفيدك اذا كنت تستخدم Ida pro
Unpacking mpress’ed PE+ DLLs with the Bochs plugin
https://www.hex-rays.com/blog/unpacking-mpressed-pe-dlls-with-the-bochs-plugin/
RE: فك mpress - the9am3 - 06-06-2020
(05-06-2020, 10:55 PM)mohamad كتب : عند فحص ملف dll يوجد قسمين باسم mpress ???
إقتباس :
العفو انا حملت نسخة 32 بت وليس 64 بت اعتقد ال64 هو mpress