Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку...


Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку (похоже при CreateProcess)
а DZA патчит на ура...
-= ALEX =- :: это ты наверное про memory patcher, да ?

Purple :: Да именно про статью

Purple :: ошибка при инициализации приложения 0хс0000142. (в заголовке имя проги которая должна быть пропатчена)=›
ошибка в createprocess?

Python_Max :: Сдается мне, что там первые два параметра местами перепутаны

Purple :: да ошибок там хватает но по идее патч должен пропатчить прогу но вместо этого ...

Python_Max :: › Сдается мне, что там первые два параметра местами перепутаны

А в принципе и так, и так запускается, как ни странно...

Вопросик в тему:
Если я описанным в статье способом хочу убрать наг, то как мне остановить выполнение программы после того как она распакуется? Дело в том, что сразу после распаковки вываливается наг, а байтики, которые патчер должен заменить, замениться не успевают. А если заменять сразу, то, как и обещалось в статье, - Protection Error 15 :(

Если это сделать нереально, то как мне найти то место, где происходит jump на OEP после распаковки (ASProtect 1.2 / 1.2c), чтобы его изменить? (pushad нашел с помошью Break&Enter, а вот соответствующий popad нет, слабоват еще - никак не могу дотрассировать :/). Может есть какие-то характерные участки кода соответствующие окончанию распаковки? А там же еще после распаковки проверка на целосность идет...

ЗЫ: ситуация аналогичная (как в статье) - просто забить два NOP’a.

-= ALEX =- :: да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

Python_Max :: Уже нашел! :)
bpm esp-4 (как все просто).

Еще вопрос:
в сайсе:
00E9A08C: jmp EAX

Как мне найти смещение этого кода в файле, чтобы его изменить?
Поиком не ищется, видать нету таких строк до запуска :/

Вот еще прикол: при повторении действий адрес jump’a другой!
00E9A2B9: jmp EAX

Че за прикол??? Как его изменить на свой???

mnalex :: Python_Max
Почитай это:
http://www.alex2kx.nm.ru/aspr123rc4unp.html

Python_Max :: В этой статье я не нашел ответа на свой вопрос, хотя почитать, как всегда, было интересно (недавно начался информационный голод, перечитываю все подряд статьи по реверсингу :) ).

Мне _не_ нужно распаковать прогу, необходимо изменить jmp ‹OEP› на jmp ‹MY_CODE›.
Переход на OEP я уже нашел благодаря «bpm esp-4 -› F5 -› F5», но:
1) у него постоянно разный адрес получается;
2) более того, этот адрес оказывается за пределами файла (т.е. Hiew мне не поможет)!

PS: вот прочитал немало статей по распаковке. Спрашивается: зачем распаковывать?
Вы что потом распакованную версию юзать собрались?
Ну понятно, чтобы дизассемблировать. А если, например, мне не нужно этого делать?

Я нашел, что мне нужно изменить два байта и все было бы круто!
Добавил свой код, который это делает. Осталось заменить переход на OEP переходом на этот код...

С помошью лоадера, как выясняется, наг убрать не удастся.
Изменить jump ‹OEP› мне тоже не судьба...
Может есть еще какие-то варианты?

-= ALEX =- :: Python_Max понял я тебя. расскажу по подробнее. короче аспр - это не простой пакер, помимо крутой защиты, там многослойная паковка, т.е. сначало некий распаковщик распаковывает в выделенное виртуальное пространство, распаковщик №2, потом этот распаковывает распаковщик №3, там происходят всякие проверки, апи аспра, короче образно говоря до фига всего, потом уже идет разборка с импортом и распаковка самой проги. но это все очень замудрено, полиморфные распаковщики, мусор, CRC и т.д.... надеюсь сейчас малость понятно стало.

Purple :: ›да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

что появилась на inline-patch? или на что?

-= ALEX =- :: Purple ты прав, щас мода на патчи ну или на cracked exe :)

Madness :: Python_Max
›Как мне найти смещение этого кода в файле, чтобы его изменить?
В чистом виде в файле его нету, он из запакованной dll.

›при повторении действий адрес jump’a другой!
Ну дык dll ведь.

›Может есть еще какие-то варианты?
Не менять OEP, есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду, скажу только что сделать патч для аспра вполне реально (до 1.3 пока не включительно, на 1.3 мне так никто и не дал ссылки).

-= ALEX =-
› щас мода на патчи ну или на cracked exe :)
Точна, лоадеры фигня.

Python_Max :: -= ALEX =-
› надеюсь сейчас малость понятно стало.
Не понял зачем его распаковывать? (Кроме дизассемблирования исходной проги и исследования самого Аспра)

Madness
› есть и другие варианты
Кинь плиз линк на туториал, если таковой есть. Только не на распаковку.

Madness :: Python_Max
›Не понял зачем его распаковывать?
Сам же говоришь, что «кроме ... исследования самого Аспра», а эта запакованная dll и есть сам аспр (нужная нам часть).

›Кинь плиз линк на туториал, если таковой есть.
Тутора нет, есть (или были) обсуждения на этом форуме.

Python_Max :: Madness

Не нашел :(

› есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду
Ну хоть назови какие... Буду копать...

Madness :: ›Ну хоть назови какие...
Мне известно пока 2 возможности пропатчить аспр (не лоадер) - изменение адреса апи аспра и хук winapi. Еще какие варианты есть?

Mario555 :: Madness пишет:
цитата:
на 1.3 мне так никто и не дал ссылки


А чем тебе GetPix не понравился ?

-= ALEX =- :: Madness забыл что ли я тебе еще один способ рассказывал ??

Madness :: -= ALEX =-
15 строк одного только описания :)
Как вариант тоже пойдет, согласен, но геморно очень, хотя мож у них тулза есть ;)

Mario555
›А чем тебе GetPix не понравился ?
О, а я думаю чего оно в очереди на скачку стоит, пасиб за напоминание. :)

GL#0M :: Madness

Слушай, вышли пожалуйста свой патч на GetPix, а то у вас на форуме запара просить... Заранее примного благодарен.

Madness :: GetPix - это аспр 1.3 со всеми наворотами?
Патчится аналогично, а вот с инитом/деинитом заниматься пока некогда, мысли есть по восстановлению, да для реализаци времени нет. (я про чистую распаковку, а не цепляние кусков аспра к проге)

GL#0M
Выслал.

-= ALEX =-
Я все жду файлы :)

-= ALEX =- :: Madness какие файлы ???

Madness :: -= ALEX =-
Второй раз напомнить? :-/
Ладно, забей.

Runtime_err0r :: -= ALEX =-

цитата:
Madness какие файлы ???


Блин, ты самый молодой в группе, а уже склероз что дальше-то будет ?

GL#0M :: Madness

Сенкс.

-= ALEX =- :: Runtime_err0r ну блин реально не помню, трудно сказать и напомнить ?

MC707 :: -= ALEX =-
Кстать щас мода уже по моему давно не на патчи с кракед.ехе, а на кейгены

Runtime_err0r :: MC707
А ты ASProtect закейгенил что-ли ???

MC707 :: Runtime_err0r
Не, я не понял. Если есть прога, в которой можно найти код генерации sn, причем не важно, пакована/запротекчена она или нет, причем пакована/запротекчена неважно чем, то почему бы ее не закейгенить?
Или я чего-то не понял?

Andrey ::
цитата:
Патчится аналогично, а вот с инитом/деинитом заниматься пока некогда, мысли есть по восстановлению, да для реализаци времени нет. (я про чистую распаковку, а не цепляние кусков аспра к проге)


Ты сказал хоть можно ли это вручную сделать и если можно то куда копать, а то есть прога, а без правильно инита
не пашет :(

Runtime_err0r :: MC707
Щаз 80% прог запакованы ASPR’ом, причём 95% из них используют для регистрации API ASPR’а потому что использовать для регистрации TRegWareII или TmxProtector, а сверху навешивать ASProtect - это маразм. Я думаю, что ты в курсе

MC707 :: Runtime_err0r
Позволь с тобой несогласиться насчет 80%. Качаю не первый день проги и с даунлоас.ком и симтел.нет и тп. Все новые. Так вот моя статистика такова - около 45-50% - аспр (причем мне попадались даже 1.1), 40% - старый добрый упх, 5% - арма.
А с остальным согласен.
Просто я такой разговор затеял, потому что один раз аспровскую прогу закейгенить умудрился. Не помню правда какую, давно было. Неправильно мысль я свою наверно высказал .

Runtime_err0r :: MC707

цитата:
Просто я такой разговор затеял, потому что один раз аспровскую прогу закейгенить умудрился.


Один раз не ... [считается]

MC707 :: Runtime_err0r
Сам такой

Madness :: Andrey
›Ты сказал хоть можно ли это вручную сделать
Теоретически - да, практически - не пробовал.

-= ALEX =-
Здесь тему уже похоже снесли, напоминание есть на нашем форуме, я спрашивал файл с аспром 1.3 со всеми фишками + 2 файла минимального размера без всех фишек, но 1 с аспровой проверкой на время триала (чтоб сам аспр окно выдавал, а не подсовывал проге адрес TrialExpired-процедуры).

MC707
›Или я чего-то не понял?
Он имел ввиду уж не аспровую ли регистрацию ты закейгенил? :) Очень редкий автор не использует аспровые ключи (фото на документы, например).

-= ALEX =- :: ok сделаю все в свободное время...






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS