R0 CREW

Дампер процессов под Win 7 x64

Доброго времени суток! Я новичек в реверсе. Сейчас прохожу 33й урок Рикардо Нарвахи. Работаю под Win 7 x64. В уроке он использует LordPE для снятия дампа процесса. У меня LordPE видит 60 работающих процессов, среди которых нет запущенyого crackme. Пробовал использовать PETools. Он видит crackme, но снимает дамп как-то неправильно. При попытке запустить последний вылетает сообщение что crackme не является win32 приложением. Наверно там просто нужно изменить пару байт в pe заголовке, но что именно не знаю. Кто-нибудь знает как заставить LordPE видеть все процессы? Или как правильно снимать дамп при помощи PETools? Или какой-то другой дампер, который нормально работает под Win 7 x64? В любом случае, спасибо за внимание)

Чтобы после снятия дампа файл запустился, нужно как минимум восстановить IAT. В уроке описано, как это делать руками, и хорошо бы этому научиться, а уже потом использовать утилиты вроде Scylla для автоматического восстановления.

Под “запустился” я имел ввиду что-бы можно было его открыть под отладчиком и восстановить руками IAT. В том же уроке после снятия дампа автор это делает. У меня никак не получается нормально снять дамп. Про автоматическое восстановление речь и не шла. P.S. Спасибо за ссылку.

Попробуйте сдампить другими программами, если ошибка останется, то скиньте дамп сюда.

Есть плагины под OllyDbg/x64dbg(который лично я бы советовал использовать), например OllyDumpEx.

https://x64dbg.com/blog/2017/06/08/kernel-driver-unpacking.html#dumping–rebuilding

CHimpREC

Понимаю что каждый сам себе злобный Буратино . Но имхо проходить Рикардо лучше на Xp .
В семерке другой код системных либ , другие исключения . Часть плагинов могут не встать или встать криво . И в сложных случаях вообще будет неясно где проблема : у Вас , у автора или это глюк системы .