Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Распаковка ASProtect 1.23 RC1 на примере SpyCQ 1.5с

Обсудить статью на форуме

Хорошая подборка видеоуроков, инструментов крэкера, книг и статей - здесь.

Автор: PlainTeXT <fat@ok.kz>


Инструменты:
PEiD 0.92
Loader by syd ( входит в комплект stripper’a 2.07f )
PE-tools 1.5 by NEOx
SoftIce 4.x
HIEW 6.81
ImpREC 1.6f & plugins

Предисловие:

Скажу сразу эта статья предназначена для новичков в реверсе, таких как я.
Существуют много туториалов по распаковке аспротекта, но в них мало что понятно неопытному челу.
Я специально взял прогу SpyCQ, потому как распачить её не составляет труда.
Прожка предназначена для просмотра UIN’a юзира, который прочитал ваше сообщение,
при установке N/A режима в асе, как утверждает автор. ( Кстати он из Израиля -) ..)
Качнуть отсюда: http://www.hmemcpy.com/spycq/spycq15c-setup.exe

Распаковка:

Сканим файл peid’oм, показывает ASProtect 1.23 RC1 -> Alexey Solodovnikov.
Для нахождения OEP не будем заниматься фигнёй, просто тыкнем plugins > Generic OEP finder. так легче ;)
OEP = 546090 - Image base = 146090. Пока что доверимся peid’y т.к обманывает, как я заметил не очень часто.
Итак сначала нам нужно прерваться на EP проги. Тут можно взять PE-tools залезть на EP
под Break & Enter, поставив сначала бряк в SI’e bpint 3. Далее прервавшись, восстановить байты коммандой > e eip YY
Где YY заменённые байты.
Или монa так: прост загрузить прогу Loader’oм от syd ( это намного удобнее ).
В сайсе ввести команду I3HERE ON , > F5.
Потом тыкнуть "break on OEP".
Теперь нам нужно прыгнуть на OEP нашей проги. В сайсе вводим g 546090, [enter].
Мы здесь...

:00546090 55 push ebp < OEP
:00546091 8BEC mov ebp, esp
:00546093 83C4F0 add esp, FFFFFFF0
:00546096 53 push ebx
:00546097 B8805B5400 mov eax, 00545B80
:0054609C E85F0FECF call 00407000

Запишем или запомним первые две инструкции, они нам потом понадобятся ;).
Зацикливаем прогу.. вводим “a”, затем “jmp eip”, и два раза [enter] ..> F5
Дампим процесс. Затем убиваем его, в PE-tools > kill task.

Ипорт:

Запускаем запакованную прогу, затем impREC.
Выбираем наш процесс. В поле OEP вводим: 00146090, RVA: 00164218.
Тыкаем IAT AutoSearch, пишет "Found address which may ... bla, bla, bla ..."
Затем Get Imports. Хмм.. что-то есть -). Но не всё -(. Жмём Show Invalid.
Вылезает большой списочек. Выбираем Trace level1 (Disasm). Затем опять Show Invalid,
Plugin tracers > ASProtect 1.22. Затем опять Show invalid и ... всё оказалось валидным -).
Фиксим наш дамп, он сохранился под именем dump_.exe. Импорт восстановлен.

Запускать пока что рано т.к. мы испортили пару байт, нужно их восстановить.
Кидаем наш dump_.exe в HIEW 6.81. Версия может быть другой, но у мя под 2k нормал пашет тока эта.
Жмём два раза [enter] и мы в hex режиме. Идём на EP .. F8 > F5.
Наши заменённые инструкции:

:00546090 EBFE jmp 00546090
:00546092 EC in al, dx
:00546093 83C4F0 add esp, FFFFFFF0
.....

Теперь вспоминаем то, что мы записывали.
Становимся на 00546090, F3 > F2. Вводим: push ebp, [enter], mov ebp,esp и [enter].
Затем Esc > F9 сохраняем и выходим. Кладём распакованную прогу в директорию,
куда мы её поставили, запускаем .. и .. о фак.. она работает.. -)

Даже если вы не записали те самые байты, вы можете просканить dump.exe
с помощью peid выбрав Hardscore scan, > наша прожка написана на Borland Delphi 7.0
Как известно характерные сигны для него: 558BEC83C4F0B8 ...
Основываясь на этом принципе можно, узнав на чём накодена прога, восстанавливать потёртые нами байты таким образом.

Конец:

За сим прощаюсь. С вами был PlainTeXT. Ток не над пинать сразу. Эт была моя первая статья.. -)
Да, возможно распаковка была простой, т.к. не было использовано крутых примочек типа stolen byte, проверка контрольной суммы, и всё такое. Новые версии Аспра конечно не распаковать таким методом, но новичкам сойдёт для тренировки ...
Если что пиши: fat@ok.kz, или стучи: 1554239

Обсуждение статьи: Распаковка ASProtect 1.23 RC1 на примере SpyCQ 1.5с >>>


Комментарии к статье: Распаковка ASProtect 1.23 RC1 на примере SpyCQ 1.5с

RottingCorpse 06.07.2004 16:13:01
Эту статью нужно было называть не \"Распаковка АСПРА\", а как правильно юзать stripper от syd... Млин... никакой практической пользы.
---
PlainTeXT 07.07.2004 03:32:32
Я же сказал для новичков...
для тебя может и не было пользы, если ты это всё и так знал...
---
GL#0M 06.07.2004 07:58:09
Для новичков уже давно есть стати от -=ALEX=- (SoftIce), nice и Mario555 (OllyDbg). Там всё отлично написано. А - это полная ботва!
---
PlainTeXT 07.07.2004 15:20:17
ok.. я согласен.. -(
---
PlainTeXT 07.07.2004 16:46:51
Еси не нужна.. можно удалить статью...
---
FEUERRADER [AHTeam] 07.07.2004 21:11:12
Уже есть подобные статьи и именно по аспру 1.23 RC1. Так зачем еще про это писать?
---
Godness 09.07.2004 23:32:43
Дело не в том что статья бесполезна, хотя она вполне может быть полезна новичку... Дело в том что уже давно вышел аспирин 2.0 и конечно же статья про 1.23 смотрится просто неуклюже... PlainTeXT, да ты не расстраивайся - всяка хYйня бывает :-)
---
Stiv Jobs 12.07.2004 20:00:30
Хyли вы его обсираете? Я уверен, что у парня пропал весь энтузиазм писать статьи! А вы ведете себя как придурки. Особенно вонючий труп! Противно читать ваши комменты!
---
AntiBot 27.07.2004 00:02:15
Полностью согласен с Stiv Jobs
А автору : продолжай писать как нивчем не бывало!
---

Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS