eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: cppasm (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Ошибка Access violation at address
Посл.ответ Сообщение


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 11:53 New!
Цитата · Личное сообщение · #1

Здравствуйте.
Имеется программа запакованая ASProtect 2.1x.
Распаковал стрипером. Программа загружается и где-то раз в секунду выдает сообщение:
Access violation at address 00AD7C98. Read of address 00AD7C98.

При запуске в Оле выдает:
Don't know how to step because memory at address 00AD7C98 is not readable. Try to change EIP or pass exception to program.

Подскажите как избавиться от этого? Как отловить это место?

Поиск юзал


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 12:02 New!
Цитата · Личное сообщение · #2

ИМХО, прога с какой-то периодичностью обращается а функциям аспра, которые были отрезаны при распаковке, поэтому и Access Violation. Может попробовать заинлайнить?


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 12:04 New!
Цитата · Личное сообщение · #3

Ну это понятно, вылечить можно как-нибуть?


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 12:07 New!
Цитата · Личное сообщение · #4

ну либо нопить эти вызовы, либо инлайн

Ранг: 42.9 (посетитель)
Статус: Участник

Создано: 29 сентября 2008 12:15 · Поправил: Konstantin New!
Цитата · Личное сообщение · #5

Довольно часто, после распаковки StriperX, прога валиться там где должно быть вписано регистарционное имя. Распакуй скриптом VolX-a посмотри куда скрипт пишет инфу о регистарции, подправь дамп страйпера соответствующим образом.

ЗЫ: Или поищи в секциях с данными адрес 00AD7C98. Потом исправь его на реальный адрес в который забей рег. имя.


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 29 сентября 2008 12:20 New!
Цитата · Личное сообщение · #6

AVE
Да это может быть всё что угодно. Начиная от рег.инфы до виртуалки... Лучше выложи сюда дамп


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 14:30 New!
Цитата · Личное сообщение · #7

Собственно дамп.

Если разберетесь, то расскажите что да как

{ Атач доступен только для участников форума } - _CssMagicV1.8.rar


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 14:48 New!
Цитата · Личное сообщение · #8

Я заморачиваться не стал - анпакнул скриптом, вроде не ругаеццо и говорит, что зарегано =)
-->Тыц<-- http://rapidshare.com/files/149354068/de_CssMagicV1.8_.rar

Ранг: 6.0 (гость)
Статус: Участник

Создано: 29 сентября 2008 15:14 New!
Цитата · Личное сообщение · #9

Восстановлен не весь импорт:
Code:
  1. 004A5C1C   $-FF25 80B94C00  jmp     near dword ptr ds:[4CB980]
  2. 004A5C22     8BC0           mov     eax, eax
  3. 004A5C24   $-FF25 7CB94C00  jmp     near dword ptr ds:[4CB97C]         ;здесь вылетаем


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 15:19 New!
Цитата · Личное сообщение · #10

А как было найдено что вылетает из за этого?
Code:
  1. 004A5C1C   $-FF25 80B94C00 jmp near dword ptr ds:[4CB980] 
  2. 004A5C22     8BC0           mov     eax, eax 
  3. 004A5C24   $-FF25 7CB94C00 jmp near dword ptr ds:[4CB97C] ;здесь вылетаем


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 15:21 New!
Цитата · Личное сообщение · #11

Кстати там в импорте три или четыре функции не определились, так я просто в импреке сказал Delete Trunk(s) а потом восстановил импорт

Ранг: 116.5 (ветеран)
Статус: Участник

Создано: 29 сентября 2008 15:43 New!
Цитата · Личное сообщение · #12

SecurAdmin, а бывает такое, чо скрипт не всегда правильно восстанавливает вирку аспра и поэтому при работе проги вылетают другие ошибки?


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 15:48 New!
Цитата · Личное сообщение · #13

Бывает такое, что прога вообще не запускается после отрезания аспровых функций, но при работе скрипта я не припомню, чтобы у меня прога не запускалась. А если импорт был восстановлен не полностью, то ошибки всегда будут именно Access Violation, ибо обращаемся к функциям, которых попросту нет. по крайней мере другого лично я не встречал.

Ранг: 6.0 (гость)
Статус: Участник

Создано: 29 сентября 2008 15:52 New!
Цитата · Личное сообщение · #14

AVE пишет:
А как было найдено что вылетает из за этого?

ручная трассировка рулед =)

Ранг: 116.5 (ветеран)
Статус: Участник

Создано: 29 сентября 2008 15:55 · Поправил: Valemox New!
Цитата · Личное сообщение · #15

А ты юзаешь скрипт VolX-a версии 1.14 или другой какой?
У мня бывало такое, чо после работы этого скрипта с последующим восстановлением импорта, прога се равно падала (подозреваю из-за вирки аспра).


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 29 сентября 2008 16:01 New!
Цитата · Личное сообщение · #16

=) а не дамп скинь .. настоящий файл.


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 16:24 New!
Цитата · Личное сообщение · #17

оригинальный файл slil.ru/26189065


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 29 сентября 2008 19:14 New!
Цитата · Личное сообщение · #18

Бывает что просто в проге используются служебные функи для регистрации и триала, поэтому после распаковки нужно их "подправить". Скрипт VolX кстати автоматически фиксит эти функи, - это GetTrialExecs, CheckKeyAndDecrypt и GetRegistrationInformation (вписать имя и код).


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 29 сентября 2008 19:24 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #19

Code:
  1. 0004a5c14 - CheckKeyAndDecrypt
  2. 0004a5c1c - GetHardwareID
  3. 0004a5c24 - GetModeInformation

как-то так


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 29 сентября 2008 19:30 New!
Цитата · Личное сообщение · #20

=) Вот те распакованный файл без ошибки.

После распаковки правил 3 места с колами во время работы проги. Они были заноплены
Code:
  1. 004AB2A7  |> \A1 B03E4C00   MOV EAX,DWORD PTR DS:[4C3EB0]
  2. 004AB2AC  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
  3. 004AB2AE  |.  E8 25660100   CALL 004C18D8

Этот кол вызывал акцес виолатион , судя по процедуре это постоянная проверка чего то =) наверно регистрации. Поэтому лучше сразу убрать колы и все.

Протестировал у себя 10 минут. Все работало.

{ Атач доступен только для участников форума } - CssMagicV1.8.rar


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 29 сентября 2008 20:35 New!
Цитата · Личное сообщение · #21

Круто канешно.
Теперь объясните как и почему

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 29 сентября 2008 21:11 · Поправил: tempread New!
Цитата · Личное сообщение · #22

AVE
Теперь объясните как и почему

Скорее всего,там нечто, подобное этому


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 29 сентября 2008 22:22 New!
Цитата · Личное сообщение · #23

AVE пишет:
Круто канешно.
Теперь объясните как и почему


Ты сам все сделал вообщем) , ищи место где вызов идет области этой. Чтобы найти место запусти анпакнутую в оле , она остановится на месте том где в неизвестную облать переход. Смотри потом Стэк. В стэке будут адреса обратных вызовов. По ним поймешь откуда колл или прыжек, ставь бряк перезапускай и бац стоп на функции до колл в неизвестность. Там смотрю параметры кола и ищи подобные колы, Нопь все колы и их параметры , все вроде все будет работать.

Выше вроде верно сказали, там ищется имя регистрационное , похоже на это.

{ Атач доступен только для участников форума } - error.osc


Ранг: 81.7 (постоянный)
Статус: Участник

Создано: 30 сентября 2008 22:39 New!
Цитата · Личное сообщение · #24

Все спасибо разобрался
 eXeL@B —› Основной форум —› Ошибка Access violation at address
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS