eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: daFix (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› ASPack full reconstruct
. 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 17 марта 2006 06:15 · Поправил: PE_Kill New!
Цитата · Личное сообщение · #1

Распаковывает exe,dll файлы
Отрезает секцию пакера
Сохраняет оверлей
Делает ребилд ресурсов, релоков, TLS, импорта.
Оптимизирует заголовок
Делает реалигн секций

Проверено на версиях: 1.00b, 1.01b, 1,02b, 1.03b, 1.05b, 1.06b, 1.061b, 1.07b, 1.08, 1.08.01, 1.08.02, 1.08.03, 1.08.04, 2.000, 2.001, 2.1, 2.11, 2.11c, 2.11d, 2.12

PS На Win98 100% не работает.

New version 1.13
Fixed suspend unpacker on "Trace to OEP..."
{ Атач доступен только для участников форума } - all.versions.aspack.unpacker.1.13-pe_kill.rar
Сурсы
{ Атач доступен только для участников форума } - ASPackSRC.rar


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 17 марта 2006 06:44 · Поправил: mysterio New!
Цитата · Личное сообщение · #2

PE_Kill
Думаю для "отцов" не понадобится, а для новичков самое оно.

P.S. особенно радует глаз: "Unregistered demo version! "


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 17 марта 2006 07:35 New!
Цитата · Личное сообщение · #3

mysterio пишет:
Думаю для "отцов" не понадобится

Да я бы не сказал. Например если не инлайнишь, а полностью распаковываешь прогу, то лучше распаковать моим анпакером, чем руками перестраивать ресурсы, отрезать секции, ну т.д. , что я выше перечислил. Хоть и просто, но надоедает.


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 17 марта 2006 07:41 New!
Цитата · Личное сообщение · #4

PE_Kill
Например если не инлайнишь, а полностью распаковываешь прогу, то лучше распаковать моим анпакером, чем руками перестраивать ресурсы, отрезать секции, ну т.д. , что я выше перечислил. Хоть и просто, но надоедает.
Согласен.

А модифицированый/скрамблированый (тоесть если в запакованом файле поправить пару джампов) АСПак прога берет ? (щас нет времени проверить).


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 17 марта 2006 07:42 New!
Цитата · Личное сообщение · #5

Да, забыл сказать. Детекта ASPack'а там практически нет. Небольшая самопальная эвристика и проверка некоторых флагов. Поэтому на детектинг не полагайтесь.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 17 марта 2006 07:55 New!
Цитата · Личное сообщение · #6

mysterio, а ты попробуй ;)


Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 17 марта 2006 14:20 New!
Цитата · Личное сообщение · #7

То PE_Kill - отвечу за mysterio, пробовал, заскремблированный тоже распаковывает......
Браво, PE_Kill


Ранг: 581.6 (!)
Статус: Модератор
Research & Development

Создано: 17 марта 2006 14:53 · Поправил: Jupiter New!
Цитата · Личное сообщение · #8

несколько раз пытался скачать - всё время повреждённый архив.
выложи плиз повторно.
анпакер динамический?

EDIT:
переименовал архив в gzip, помогло ;)


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 17 марта 2006 14:59 New!
Цитата · Личное сообщение · #9

У кого не качается:
hxxp://rapidshare.de/files/15717716/ASPack_u.zip.html

Jupiter пишет:
анпакер динамический?

Естественно! Сам подеумай, сколько бы я статику писал, чтобы столько версий поддерживала. Да и тем более, что я же не конкретно анпакер ASPack'а писал, а универсальный двиг. А на ASPack'е просто тестил. Вот и получился анпакер.


Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 17 марта 2006 15:02 New!
Цитата · Личное сообщение · #10

То Jupiter - хе, сколько раз уже обжевывали
Просто переименуй архив с zip.zip на zip.gz и будет тебе счастье......
То PE_Kill еще раз БРАВО!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 17 марта 2006 15:50 New!
Цитата · Личное сообщение · #11

Johnson Finger пишет:
То Jupiter - хе, сколько раз уже обжевывали
Просто переименуй архив с zip.zip на zip.gz и будет тебе счастье......
То PE_Kill еще раз БРАВО!


не знаю, у меня ничё переименовывать не надо, всё норм распаковывается

а анпакер ничё, стока ручной работы отпало...
жаль тока под NT пашет...


Ранг: 500.5 (!)
Статус: Участник

Создано: 17 марта 2006 16:00 New!
Цитата · Личное сообщение · #12

Hellspawn пишет:
анпакер ничё, стока ручной работы отпало...

Эт да, а то лениво каждый раз ресы править и секции резать..
Хотя стриппер это тоже умеет, но не на всех версиях аспака точно


Ранг: 115.8 (ветеран)
Статус: Участник

Создано: 17 марта 2006 17:48 New!
Цитата · Личное сообщение · #13

Jupiter пишет:
переименовал архив в gzip, помогло

проще все аттачи слитые отсюда распаковывать РАРом, а не ЗИПом, в этом случае ничо переименовывать не придется.

PE_Kill пишет:
надо браться за что то более сложное

Даешь двиг анпакера для армы !!!

Ранг: 51.6 (постоянный)
Статус: Участник

Создано: 17 марта 2006 19:08 New!
Цитата · Личное сообщение · #14

PE_Kill
Спасибо.


Ранг: 108.4 (ветеран)
Статус: Участник

Создано: 17 марта 2006 19:14 · Поправил: YoriCH New!
Цитата · Личное сообщение · #15

PE_Kill
круто, корректнее ее в обработке ASPack я не видел.


Ранг: 1111.5 (!!!!)
Статус: Участник

Создано: 3 апреля 2006 03:27 New!
Цитата · Личное сообщение · #16

artmoney.exe (7,18)
PEiD: ASPack 2.x (without poly) -> Alexey Solodovnikov
RDG Packer Detector: Aspack Deteccion Heuristica / DotFix FakeSigner v3.0
DiE 0.4b: ASPack 2.12 <.DotFix FakeSigner.>

[ 33,83] Load file artmoney.exe... [ ok ]
[ ---- ] Header info: ImageBase: 00400000, EP: 00770000
[ 38,74] Start debug session... [ ok ]
[ ---- ] PID: 00000898
[150,57] Wait EP... [ ok ]
[ ---- ] Real ImageBase: 00400000
[ ---- ] Trace...
[274,57] ASPack technology detected!
[ ---- ] Find ASPack loader section... [ ok ]
[127,32] Processing import... [ ok ]
[ ---- ] Import RVA: 0020E000 Size: 000001CC
[ ---- ] Trace to OEP...


И всё. анпакер отзывается на нажатие кнопок, ничего не виснет, но и процесс распаковки дальше не идёт.


Ранг: 221.8 (наставник)
Статус: Участник

Создано: 3 апреля 2006 04:12 New!
Цитата · Личное сообщение · #17

Gideon Vi
судя по названию топика тулза не обучена снимать дотфикс. (кстати интересно зарегеная ли версия юзаеться) ;)


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 3 апреля 2006 07:45 New!
Цитата · Личное сообщение · #18

А что говорит анпакер? (Если через кнопочку Open файл открывать)
Дай exe, интересно из за чего сглючивает.

Ранг: 160.7 (ветеран)
Статус: Участник

Создано: 3 апреля 2006 10:25 New!
Цитата · Личное сообщение · #19

И всетаки статик анпакеры лучше. Так чтот если и писать то статик так как кто знает что запаковано и чтот проризойдет если анпакер глюкнит и софтина запуститься. а Dr.Golova уже написал статик анпакер так что лучше его сорсы и доробатывать.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 3 апреля 2006 10:32 New!
Цитата · Личное сообщение · #20

Только ты не заметил, что Dr.Golova не захотел писать анпакер для версии 2.11 т.к. там эмуль для полиморфа писать надо. А v1.06 имеет совсем другой алгоритм упаковки,а v1.08.02 импорт грохает, а в какой то весии (не помню) OEP динамически вычисляется. Это надо практически для каждой версии писать свой анпакер, ну чтож, напиши мне, например очень интересно будет на этого мутанта посмотреть.


Ранг: 500.5 (!)
Статус: Участник

Создано: 3 апреля 2006 10:40 New!
Цитата · Личное сообщение · #21

PE_Kill пишет:
Это надо практически для каждой версии писать свой анпакер, ну чтож, напиши мне, например очень интересно будет на этого мутанта посмотреть.

Полностью согласен, для статик придётся почти на каждую версию свой анпакер писать (или анпак процедуру), что достаточно геморно. К тому же если обработать файлу простейшим обфускатором, то статик наверняк не сможет ничего поделать, а динамик с определенной вероятностью сможет


Ранг: 1111.5 (!!!!)
Статус: Участник

Создано: 3 апреля 2006 16:04 New!
Цитата · Личное сообщение · #22

Red Bar0n пишет:
судя по названию топика тулза не обучена снимать дотфикс


Не вижу, чтобы об этом было что-то в названии топа

PE_Kill пишет:
А что говорит анпакер?


[ ---- ] Heuristic analysis: [ not packed ]
[ ---- ] ASPack dirt is present [ 2 ]


PE_Kill пишет:
Дай exe, интересно из за чего сглючивает.


Держи http://user.rol.ru/~gid/artmoney.CAB .


Ранг: 108.4 (ветеран)
Статус: Участник

Создано: 3 апреля 2006 18:43 · Поправил: YoriCH New!
Цитата · Личное сообщение · #23

Gideon Vi
А если поставим Level 3
то он распаковывает. Или это не то что нужно?

[ 9,77] Load file artmoney.exe... [ ok ]
[ ---- ] Header info: ImageBase: 00400000, EP: 00770000
[ 15,86] Start debug session... [ ok ]
[ ---- ] PID: 00000E54
[ 74,39] Wait EP... [ ok ]
[ ---- ] Real ImageBase: 00400000
[ ---- ] Trace...
[158,57] ASPack technology detected!
[ ---- ] Find ASPack loader section... [ ok ]
[ 34,15] Processing import... [ ok ]
[ ---- ] Import RVA: 0020E000 Size: 000001CC
[ 19,83] Trace to OEP... [ ok ]
[ ---- ] OEP: 001D6874
[ ---- ] Processing relocations...
[ ---- ] Relocs not found
[ ---- ] Hot fix... [ ok ]
[ 45,71] ReBuild Resources... [ ok ]
[ 37,96] ReBuild TLS... [ ok ]
[ 5,86] Kill ASPack loader section... [ ok ]
[ 55,01] Save dump (artmoney_u.exe)... [ ok ]
[ ---- ] Enjoy! I am done...


Ранг: 630.2 (!)
Статус: Участник
Автор VB Decompiler

Создано: 3 апреля 2006 19:03 New!
Цитата · Личное сообщение · #24

Red Bar0n пишет:
кстати интересно зарегеная ли версия юзаеться

Нет, автор артмани пока не покупал DotFix

Ранг: 1.0 (гость)
Статус: Участник

Создано: 3 апреля 2006 19:04 New!
Цитата · Личное сообщение · #25

А насколько актуально вообще писать анпакеры для ASPack'a? Солод похоже на него уже давненько забил


Ранг: 500.6 (!)
Статус: Участник

Создано: 3 апреля 2006 19:34 New!
Цитата · Личное сообщение · #26

damned пишет:
Солод похоже на него уже давненько забил


Забить то он забил, но, пакер досих пор уктуален, по отношению к прогам на дельфи.


Ранг: 1111.5 (!!!!)
Статус: Участник

Создано: 4 апреля 2006 02:43 New!
Цитата · Личное сообщение · #27

YoriCH пишет:
А если поставим Level 3
то он распаковывает. Или это не то что нужно?


Сколько времени ушло на [ 19,83] Trace to OEP... [ ok ]? Уже минут пятнадцать результата нет.

Ранг: 133.0 (ветеран)
Статус: Участник

Создано: 4 апреля 2006 06:10 New!
Цитата · Личное сообщение · #28

PE_Kill
Спасибо, хорошая вещь!


Ранг: 108.4 (ветеран)
Статус: Участник

Создано: 4 апреля 2006 08:35 New!
Цитата · Личное сообщение · #29

Gideon Vi
не знаю у меня за секунды распаковал.
Могу залить то что получилось.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 4 апреля 2006 08:36 New!
Цитата · Личное сообщение · #30

Gideon Vi пишет:
Сколько времени ушло на [ 19,83] Trace to OEP... [ ok ]?

В скобочках показано время (в милисекундах), затраченое на данную операцию. Получается, что ушло 19,83 милисекунд. Сам еще не проверял.

damned пишет:
А насколько актуально вообще писать анпакеры для ASPack'a?

Посмотри в самом верху. Я не писал анпакер ASPack'а...
. 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› ASPack full reconstruct

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS