eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: AlexKey, baff
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Вторый тип антидампа в Asprotect
Посл.ответ Сообщение

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 15 июня 2014 22:28 · Поправил: kola1357 New!
Цитата · Личное сообщение · #1

Здраствуйте, я занимаюсь изучением распаковки программа, накрытых аспротектором. Скачал с сайта tuts4you проги, пакованные разными версиями аспра. Что понравилось, то что там есть версии от A до G, по уровню сложности. Я был знаком с антидампом в аспре вида Call 01220000 по rar-статьям тут на сайте научился его снимать, даже скрипт написал сам.
Но вот в программе Unpackme_Asprotect.SKE.2.11.f.exe столкнулся с антидампами вида Call 01220004. На конце всегда цифра 4, но вот про этот вид антидампа на сайте ничего не нашел. Руками я научился его чинить, как я понял в них обычно 2-3 процедуры, а после прыжок в середину АПИ-функции. А теперь хочу научиться делать скрипты, потому что руками слишком много чинить.
Подскажите, пожалуйста, с написанием скрипта для этого. За что тут можно взяться ? Вот в первом типе антидампа используется LoadLibrary, которая возвращает имя и базу, которые мы может передать GetProcAddress и получить адрес апи. Поэтому тут все понятно как делать скрипт.
А вот что во втором типе антидампа взять за основу. Подскажите, пожалуйста.


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 15 июня 2014 23:15 · Поправил: Rainbow New!
Цитата · Личное сообщение · #2

kola1357 пишет:
Здраствуйте, я занимаюсь изучением распаковки программа, накрытых аспротектором. Скачал с сайта tuts4you проги, пакованные разными версиями аспра. Что понравилось, то что там есть версии от A до G, по уровню сложности. Я был знаком с антидампом в аспре вида Call 01220000 по rar-статьям тут на сайте научился его снимать, даже скрипт написал сам.
Но вот в программе Unpackme_Asprotect.SKE.2.11.f.exe столкнулся с антидампами вида Call 01220004. На конце всегда цифра 4, но вот про этот вид антидампа на сайте ничего не нашел. Руками я научился его чинить, как я понял в них обычно 2-3 процедуры, а после прыжок в середину АПИ-функции. А теперь хочу научиться делать скрипты, потому что руками слишком много чинить.
Подскажите, пожалуйста, с написанием скрипта для этого. За что тут можно взяться ? Вот в первом типе антидампа используется LoadLibrary, которая возвращает имя и базу, которые мы может передать GetProcAddress и получить адрес апи. Поэтому тут все понятно как делать скрипт.
А вот что во втором типе антидампа взять за основу. Подскажите, пожалуйста.



Учи физику процесса. Анализируй сам прот и не будь макакой, которая что видит - то повторяет. Иначе такие вопросы ты будешь задавать вновь и вновь. Не умея разбирать алгоритмы и обучаясь тупо по туторам - далеко не уедешь. Задавай себе вопросы вида "А почему так, а не иначе" и ищи ответы в сети и PE формате. Уловишь суть - за аспром дело не встанет, т.к. все они однотипные, только механизмы реализации разные.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 15 июня 2014 23:43 New!
Цитата · Личное сообщение · #3

Rainbow пишет:
Не умея разбирать алгоритмы и обучаясь тупо по туторам - далеко не уедешь.

Почему же ? Я же не сказал, что я все действия повторял как попугай, не понимая что делаю. Естественно всегда стараюсь разобраться и понять, почему автор в туторе делает именно так.

Вот по поводу антидампов вида Call 0122004. Там я говорил, что до выхода на апи функцию идет 2-3 процедуры, но как понять, что мы вышли на апи функцию ? У меня идея следить за регистром EIP и как только он указывает в секции длл типа kernel32, то считать, что мы уже в апи попали.

Но еще проблема с этим же видом дампа, то что он короткие апи функции полностью копирует, то есть вот функция IsDebuggerPresent состоит из 3 строк всего, и пакер ее всю скопирует в свою секцию, то есть прыжка в секцию kernel32 не будет. Поэтому вопрос как с этим быть в скрипте ? Самое примитивное, что пришло в голову, это сравнивать выполняемые команды с командами апи, которые прот эмолирует, но это не очень красиво получается. Есть ли более общее решение для этого ?


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 15 июня 2014 23:50 · Поправил: Rainbow New!
Цитата · Личное сообщение · #4

Для того что бы сэмулить/своровать - надо сперва получить ее адрес, выделить место под StolenCode, прочитать (задизасмить), заморфить/замусорить, выправить секцию кода (поставить обработчик). Выбирай любое место и отучай его так делать любым доступным для тебя способом на любом из перечисленных этапов.


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 16 июня 2014 00:18 New!
Цитата · Личное сообщение · #5

50Hz_220B_1200W пишет:
Не задавай вопросы, а разбирайся сам.Местное *censored* тебе ничем все равно не поможет, только оскорбит и потроллит.


kola1357 пишет:
Ну значит они неудачники по жизни, таким можно только посочуствовать.


Не ребят, это видимо у вас мания величия.. И неудачники это не они, а вы, потому что они научились чему хотели. А вот вы еще ничего не сделав вообразили себя сверхудачными и всезнающими, при этом задавая реально тупые вопросы, не хотя даже просто поискать.

Добавлено спустя 0 минут
P.S. Если здесь все тупые, зачем пришли ?

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 16 июня 2014 00:50 New!
Цитата · Личное сообщение · #6

Rainbow пишет:
Выбирай любое место и отучай его так делать любым доступным для тебя способом

То есть тут тоже есть вариант типа Magic Jump, который решает делать антидамп или не делать ? Я обычно стараюсь как раз находить такой прыжок, чтобы иат самому не восстанавливать, а править переход и позволить пакеру заполнить иат верными адресами. А с антидампом такая техника тоже возможна ?

Добавлено спустя 42 минуты
Rainbow пишет:
Не ребят, это видимо у вас мания величия.. И неудачники это не они, а вы

У нас ? Это у вас, вы же сказали, что вопрос тупой, а в чем его тупость, мне вот интересно разбираться и изучать что-то новое.
Неудачники это те, кто тут троллит и оскорбляет, а делают это от недостатка ума.

Добавлено спустя 45 минут
Rainbow пишет:
не хотя даже просто поискать.

А тут вы не правы, я всегда сначала ищу в гугле, если найти не получается, пробую другие варианты. А про антидамп 2 типа можете сами поискать в гугле, я кучу туторов перерыл и тут, и на tuts4you. Это самые известные сайты по крекингу, но нет про это или упоминается вскользь. Антидампы 1-ого типа, про это много туторов, а вот со 2-ыми облом.

Добавлено спустя 46 минут
kola1357 пишет:
Если здесь все тупые

А вот и не все тут тупые, есть на форуме адекватные люди, которые стараются помочь, направить в нужную сторону.


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 16 июня 2014 02:25 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #7

у меня есть ощущение, что kola1357 - твинк какого-то старожила, которому стало скучно.
С одной стороны он pe в блокноте редактирует, с другой - отчаянно борется с аспром. И это ещё не самые яркие перлы.

| Сообщение посчитали полезным: ClockMan, plutos



Ранг: 1964.9 (!!!!)
Статус: Модератор
retired

Создано: 16 июня 2014 08:51 New!
Цитата · Личное сообщение · #8

ТС уже не в первый раз замечен за постингом одного и того же по несколько раз. В следующий раз будет бан.
 eXeL@B —› Протекторы —› Вторый тип антидампа в Asprotect
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS