АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/
SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...
SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.
MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.
[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....
nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar
Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.
Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).
MC707 пишет:
цитата:
Есть еще и мой собственный способ
Гм... Интересно, это действительно какой-то новый способ или...
MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)
Ага. Это точно. Но речь щла только о снятии аспра...
Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...
Да скорее всего нет, но я сам его нашел.
WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...
Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).
SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?
MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.
Буду признателен, если кинешь в мыло.
nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.
MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt
WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть
nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.
SeDoYHg :: MC707
Уже нашел ;-).
vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь
SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?
Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?
P.S. Может, с Олли что-то не в порядке, или у меня с руками
[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...
Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!
WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?
MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется
WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.
MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.
CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))
nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru
MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.
WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))
Даешь ещё один видео-тутор
WELL :: nice пишет:
цитата:
со скриптом быстрее получается
Скрипт не всегда верно показывает OEP.
Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться
тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно
SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?
А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?
SeDoYHg :: MC707
А как после такого нахождения OEP, ты на ходишь спертые байты?
А тутор прикольный
nice :: SeDoYHg пишет:
цитата:
А на какую надо?
Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.
SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?
Во время трейса.
Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано
SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.
Сейчас поробую еще раз перечитать, может что-то упистил ;-).
nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.
привожу отрывок из твоего тутора
++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++
Или я тебя не совсем правильно понял
nice :: SeDoYHg
Что за программа?
Пришли скриншот, посмотреть, что ты перед трейсом делаешь...
DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).
SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.
nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный
nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.
прогграмма то как называется?
XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)
nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...
SeDoYHg :: nice
Вот все мои шаги:
- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки
00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк
››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++
Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.
P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)
SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать
Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится
nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN
Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.
Это чем же удобнее ?
MC707 :: nice пишет:
цитата:
надписи можно добавлять
во первых неохота возиться было, а во вторых не наглядно имхо
Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.
А с краденными байтами можно уже отдельно, трейсом.
ЗЫ. Я рад хоть что не запинали меня после такого тутора :)
SeDoYHg :: nice
Уже кинул.
[offtop]
Почему теги не работают ?
[/offtop]
nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar
Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440
SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:
цитата:
OEP=00401440
Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP
P.S. Может мне Олли поменять ?
nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.
Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)
А бряк ставить на ОЕР бесполезно, это же аспр...
SeDoYHg :: nice
Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .
Прога действительно рабочая.
Сейчас буду Оллю качать...
Я дампил чуть раньше - 00401410
nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?
SeDoYHg :: nice пишет:
цитата:
Это не ты рассулку по асму поддерживаешь?
Ага. Только это секрет
SeDoYHg :: nice
Кстати, Олли , и вправду, у меня другой версии стоял (step 4).
Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...
Бой продолжается
Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?
SeDoYHg :: Mario555
Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m
sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto
lab3:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3
lab4:
eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto
lab5:
eob loop6
esto
loop6:
sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4
loop4:
cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4
test:
cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret
end:
MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================
Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize
var k
var l
eoe lab1
eob lab1
run
lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto
lab2:
bprm cbase, csize
eob end
eoe end
esto
end:
cmt eip,«tempOEP»
bpmc
ret
Форум может покаверкать »» так что вручную подправишь.
nice :: SeDoYHg
У меня работает :)
SeDoYHg :: nice
А как ты меня вычислил (я про рассылку) ?
Mario555
Спасибо, сейчас попробую.
Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.
SeDoYHg :: Mario555
Работает!!! Но когда останавливается выводит MessageBox с такой надписью:
error on line 27
Text: cmt eip, «tempOEP»
Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?
MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7
SeDoYHg :: MC707
Так и есть - 0.51. Сейчас посвежей закачаю.
SeDoYHg :: MC707
Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?
MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»
Дык в этом «tempOEP» и ошибка
SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка
Что так и должно быть? Извини, я со скриптами первый раз работаю
ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.
SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.
SeDoYHg :: ZX пишет:
цитата:
Э в английской раскладке в верхнем регистре.
SeDoYHg :: ZX
Сенькс тебе!!! МессажБокс больше не вылазет.
