Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

XoraX вопрос про аспротект привет усем!


XoraX вопрос про аспротект привет усем!
объясните пожалуйста принципиальную разницу между аспр 1.2 и аспр 1.2 [new strain].
почему 1.2 распаковывают унпакеры, типа каспр и stripper, а нью стрейн не могут распаковать?
Guest :: Вообще у ASProtect много модификаций , которые различаются по способу криптования.

MozgC :: [new strain] это начиная с версии 1.23 по-моему.
А 1.2 он всегда просто 1.2

1.2х не распаковывается автоматическими распаковщиками потому что там добавлены дополнительные приемы, усложняющие распаковку и делающие автоматический анализ очень сложным.

Вот отличия, которые первым делом приходят в голову:

1) Улучшенная защита от отладчика
2) Кража байт с OEP
3) Эмуляция Windows API функций, а не простая замена адресов функций адресами переходников
4) Случайная распаковка тела аспра (разные адреса) (более новые версии)
5) Разное замусоривание краденных байт в зависимости от компилятора (более новые версии)

Это наиболее яркие отличия. Еще версией отличаются =)

Может кто дополнит...

MoonShiner :: А еще, правда глубоко не копал, в некоторых аспрах - юзание в своих целях отладочных регистров, а не просто их сбрасывание.

test :: stripper 2.03 - Распаковщик аспр аспр1.2 [new strain] - в том числе.

MozgC :: новые версии нифига не распаковывает

Guest :: MozgC, красивая надпись! А новые версии точно не распаковывает!

MozgC :: Не хочу никого обидеть, но по-моему это как-то стренмо использовать автоматические распаковщики. Неужели самим не интересно распаковать? Это пойдет только на пользу, прибавит опыта.

vins :: Для MozgC: Мы и сами бы распаковывали если где нибудь, можно было бы прочитать как это делать

MozgC :: Ну например смотри статьи у Хекса на сайте, еще вроде на крэклабе ну и жди моей мегастатьи =)

vins :: Для MozgC: а долго?

MozgC :: я уже начал писать, попытаюсь разжевать просто абсолютно все, но все равно распаковка там нелегкая... А готово будет примерно через неделю или позже.

XoraX :: я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.
может ты сможешь объяснить с более понятными вещами....

MozgC :: если без апимона, то
1) остановись на EP
2) поставь бряк "bpm esp-4"
3) жми 2 раза F5
4) Там будет вроде jmp xxxxxx, вот xxxxxx - это и есть OEP. Цикли на этом jmp программу, снимай дамп и дальше по статье...

freeExec :: XoraX

цитата:
я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.


Незнаю откуда ты ее качал, но то что я выкладывал, один в один чем пользовался я.

XoraX :: 2 MozgC: отсюда вопросы:
1. Как словить EP ?
2. Я нашел OEP у проги с помощью PeInform 1.0 by FEUERRADER. Она показала 008D4C9C. почему не 004xxxxx и верна ли такая информация? Спс заранее.

XoraX :: И еще:
3. Как зациклить на OEP?

MoonShiner :: Стал на точке, в которой хочешь забабахать цикл. пишешь в айсе "a eip", затем "jmp eip". При необходимости затертые байты можешь потом вернуть на место.

MozgC :: 2XoraX
Ладно, почти все твои вопросы уже есть в FAQ’e - жди =)

XoraX :: только побыстрее, побыстрее бы.....

MoonShiner :: Скоро только кошки родятся:)






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS