Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 28 января!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....


WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS