Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23


vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23 RC4 DEMO или Registered над программой?
Как ето сделать, или что нужно почитать для этого.
test :: Можно. Восстановлением импорта и Stolen Bytes.

vins :: ладно, как восстанавливать импорт, ImpRec ни одной функции не находит?

-= ALEX =- :: протрассировать надо бы, тогда штук 8-12 не найдет, а дальше ручками или плагинчиками...

Kerghan :: ... или OEP правильный выставить

MozgC [TSRh] :: vins
А можно утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...

-= ALEX =- :: Для начала надо найти OEP, потом вписать в ImpRec OEP-ImageBase... Скоро, надеюсь, выйдет статья от МозГа, будем что вам почитать...

MozgC [TSRh] :: Просто такие вопросы... На них трудно да и не охото отвечать... Надо спрашивать что-то более конкретное. Типа «я прочитал статью, попробовал, но в таком-то месте не полачается то-то то-то. Что делать?» А расписывать тут тебе полностью статью по распаковке аспра никто тебе не будет. Без обид, конкретне просто надо спрашивать.

MozgC [TSRh] :: -= ALEX =-
Да пока в ближайший месяц наврятли. Может в начале февраля ченить напишу. А так я уже весь иссяк на написании статьи про распаковку для начинающих.

mnalex :: MozgC [TSRh]
Неужели так трудно писать, если знаешь как делать?

mnalex :: MozgC [TSRh]
Недавай Мозгу отдыхать!!! Энто плохо, говорят раскиснуть можно :( !!!!

Mario555 :: MozgC [TSRh] пишет:
цитата:
утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...


Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...

Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?

angel_aka_k$ :: Mario555
а че там читать то самому разве не разобратся если прога чего то хочет то почему ей это просто не дать я думаю номек понят :) посиди поковыряйся просто это насамом деле просто !!!! поэтому IMHO обьяснять тебе не кто не будет только если помочь но с нуля извени ..................

test :: Еще вопрос!А если функции экспорт по ординалу.Что в этом случае сделать чтоб прога
работала и в XP и 98 и др?

vins :: angel_aka_k$
Если бы все было просто то никто бы не спрашивал

vins :: -= ALEX =-
Можешь сказать чем отличаются программы пакованые ASP 1.23 RC4 demo и ASP 1.23 RC4 registered

-= ALEX =- Re: vins :: особо ничем ... может и вообще ничем не отличаются... тут смотреть надо, поковыряться в ней, может и найдешь отличия. Но чтобы они по разному распаковывались, такого быть не может.

MozgC [TSRh] :: Mario555 пишет:
цитата:
Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...


Ну блин как разница RC4 там или че. Если человек умеет распаковывать предыдущие, то он сможет и RC4 распаковать. Там чеисто спертые байты чуть сложнее восстановить, но Хекс в статье Новые Варианты эту процедуру нормально описал. Если же человек не умеет распаковывать предыдущие версии, то зачем ему сразу статья по RC4? Пусть учится на более ранних версиях. Что насчет статей, то много статей у Хекса, еще на крэклабе - статья про NetVampire, ISO Commander еще статья DiveSlip’a и т.д. Что вам мешает? Вы блин ленивые все просто. Возьмите прочитайте все эти статьи а там уже спрашивайте конкретно что не понятно - поможем без проблем. Но вам ведь лень найти и прочитать все статьи и поразбираться пару вечерков!

Mario555 пишет:
цитата:
Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?


Я может не прав и не поймите за хвастовство, но я распаковал примерно 40 аспров и из них примерно в 5 надо было что-то делать с апи. И знаете что было это «что-то». Простое удаление вызовов этих апи или возврат нужного значения как максимум. По себе знаю что многие наслышались умных слов типа «эмуляция и восстановления апи аспра» и все. И думают что же там делать. А ничего не делать. Удалять ссылки на эти апи либо если после этого прога не работает корректно, то попробовать возвратить значение которое возвращает апи аспра. Например было
call aspr_api которая возвращала 1. Причем после распаковки вызов этой апи например приводит к косяку т.к. внутри происходит попытка обращения к телу аспра которого уже нет. Ну так блин замените этот call aspr_api на xor eax, eax, inc eax, nop, nop например. И будет как будто функция возвратила апи. Ну подмену адреса имени зарегенного пользователя я за эмулляцию апи не считаю. Все - это максимум что мне приходилось делать на моей практике. И все всегда работало.

vins :: а это, можно ли в ollydbg bpm esp-4 поставить

-= ALEX =- :: vins ты это у Kerghan’a спроси, он спец по ollydbg :)

nice :: vins
не корректно работает, пока не разобрался в чем дело...

Kerghan :: vins
там кажется другой алгоритм распаковки, есть парочка статей(арма, аспр), но они все на иностранном.

nice :: Kerghan
Есть перевод GLOOM’a
http://gl00m.fatal.ru/art/aspr13.html

vins :: еще вопросик
из-за чего может быть ошибка когда пытаюсь в ice сдампить программу IceExt’ом, пишет чето вроде expetition occured while dump memory to disk что ли.

vins :: а, если в ImpRec’е есть одна неизвесная функция , но нету GetProcAddress можно утверждатьчто эта функция и есть GetProcAddress?

Kerghan :: походу все-таки есть аналог bpm esp-4 в Olly.
в командной строке: tc esp==esp-4
пример:
tc esp==12ffc0
на upx сработало, значит сработает и на аспре ;)

nice :: Kerghan
У меня на UPX и esp-4 сроаботало :)
1) d esp-4
2) Бряк на обращение к этому участку памяти

Но с аспаком уже этот метот не прошел, не говоря про ExeStealth :(

Но все равно спасибо попробую...

MozgC [TSRh] :: vins
Нет, нельзя.

vins :: подскажите как правильно дамп в ice’е ImpExt’ом делать

vins :: ой IceExt’ом

MozgC [TSRh] :: Ты че собрался дампить то ?

vins :: вообще, или есть разница?

MozgC [TSRh] :: есть разница

MC707 :: А если аспр?

vins :: imprec показывает одну ниеизвестную функцию

push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00
pop ebp
retn 4

она нужна или можно ее удалить. программа была запакована ASPR RC4 DEMO

Madness :: vins
По адресу 00133a00 смотри что находится.

angel_aka_k$ :: vins
мдеееее головой не как не подумать эту апи надо наизусть знать
push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00 возращаем командную строку например ( c:\myfackinprog.exe)
pop ebp
retn 4
когда прога выходит там другая кострукция
типа
call - мы вышли отсюда
mov eax,esi - а вот здесь заносится версия и командная строка не используется она просто затирается
вобщем на первый взгляд это getcomandline НО если ее так и записать то прога свалится на ret уйдет в облака поэтому это getversionexa !!

angel_aka_k$ :: Madness
ты видно с дельфи прогами не часто встречался :)

-= ALEX =- :: angel_aka_k$ да ладно тебе, научи лучше меня импорт восстанавливать !

angel_aka_k$ :: -= ALEX =-
а че там востанавливать ты про 1.3 ??
( call [aspr] заместо jmp [ IAT offset ] это не самое крутое в аспре 1.3 )

MozgC [TSRh] :: Это FreeResource а не GetCommandLineA...

angel_aka_k$ :: MozgC [TSRh]
это getversionexa я те говорю !! я уже с этим долбался

MozgC [TSRh] :: А я говорю FreeResource =)

-= ALEX =- :: давайте до посинения поспорим :)

angel_aka_k$ :: -= ALEX =-
LOL

-= ALEX =- :: angel_aka_k$
LOL






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS