Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 28 января!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

Halt ASProtect 1.2x [New Strain] Народ помогите!!!


Halt ASProtect 1.2x [New Strain] Народ помогите!!!
Попалась на глаза прога ISO Commander 1.2 build 010 запакована ASProtect (см тему)- peid 0.8, pe editor 1.5 - показыват тоже), не могу распаковать - прочитал все FAQ на сайте - там надо найти
call xxx
call yyy
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz
Но фишка в том, что там нет такой конструкции, а есть только
call xxx ‹-выхожу от сюда после bpx getprocaddress
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz
Как получить нормальную таблицу импорта??
и 2 когда я на это забил, - просто загнал в Imgrec 1.6 - все восстанавливает кроме 1 функции в kernel32.dll - и грохает процесс
как узнать эту функцию (убить ее точно нельзя- процесс не запускается - 0x5), и почему процесс грохается.
Погодите, еще не все:)
Почему то я определяю OEP, но IMGREC на запакованом файле говорит что ничего не нашел по этому адресу. Хотя кострукция вида:
popad
call
где call:
pop edi
inc edi
push edi
ret
Я так полагаю что edi и есть адрес OEP, но PEID определяет совсем другой адрес, и по нему таблица находится. Объясните,плиз, где я облажался. Спасибо.

WELL :: Halt
А стриппер её не берёт?

SouL :: Ищи на cracklabe тутор Dragona - он для распаковки этой прожки все подробно написал.

KLAUS :: Halt

А зачем ты запакованный файл в Импренк суёшь?

SLV :: WELL пишет:
цитата:
А стриппер её не берёт?


А Caspr???

Madness :: Halt
›Но фишка в том, что там нет такой конструкции,
Смотри рядом.

›Я так полагаю что edi и есть адрес OEP
НЕТ. Там число пушится.

XoraX :: Madness пишет:
цитата:
KpTeaM.com


а где оно?

Madness :: XoraX
Переезжает.

Nav :: Распаковывал недавно прогу одну, используя тутор Alex’a.
У Alex’a тоже написано что должно быть два Call’a, но видимо прога была зажата с другими параметрами(сам AsProtect не юзал). Так вот, Alex и писал, что второй Call портит импорт и его надо занопить, в твоем же случае, скорее всего этой процедуры и нету.

И еще лучше дампить уже на OEP, иначе если следовать тутору Alex’a получим нули в импорте в некоторых местах, а если на OEP, то там уже будут сьемулированные функции. Но может это только в моем случае такое было?

Gollum :: Halt пишет:
цитата:
прочитал все FAQ на сайте - там надо найти
call xxx
call yyy
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz


Ищи эти инструкции немного выше, ставь бряк на первый, F5, потомь нопь второй call, F5, произойдёт ошибка, ничего не делай, а заходи в импрек и весь импорт будет чистый (система Win2k). Останутся тока переходники, о них читай в статье алекса...

WELL :: Импорт можно еще с помощью AsprDbgr’а восстановить






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS