eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› ASPack full reconstruct
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 17 марта 2006 06:15 · Поправил: PE_Kill New!
Цитата · Личное сообщение · #1

Распаковывает exe,dll файлы
Отрезает секцию пакера
Сохраняет оверлей
Делает ребилд ресурсов, релоков, TLS, импорта.
Оптимизирует заголовок
Делает реалигн секций

Проверено на версиях: 1.00b, 1.01b, 1,02b, 1.03b, 1.05b, 1.06b, 1.061b, 1.07b, 1.08, 1.08.01, 1.08.02, 1.08.03, 1.08.04, 2.000, 2.001, 2.1, 2.11, 2.11c, 2.11d, 2.12

PS На Win98 100% не работает.

New version 1.13
Fixed suspend unpacker on "Trace to OEP..."
{ Атач доступен только для участников форума } - all.versions.aspack.unpacker.1.13-pe_kill.rar
Сурсы
{ Атач доступен только для участников форума } - ASPackSRC.rar

Ранг: 51.6 (постоянный)
Статус: Участник

Создано: 9 апреля 2006 19:06 New!
Цитата · Личное сообщение · #2

YoriCH
Первая версия декабрьская работает без проблем,
с этой не понятно.
Автор поди разьяснит.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 9 апреля 2006 21:04 New!
Цитата · Личное сообщение · #3

Да фул это, фул. Просто при финализации там мемори бряки активно юзаются. А вот они у меня практически никак не реализованы. Думал так прокатит, оказывается не хочет. Ну ладно пойдем старым путем. Поначалу там трейсинг был (даже название осталось "Trace to OEP"), а потом я мемори бряки ввел. Придется в опции добавить выбор метода прохождения до OEP.

Скоро обновлю...

Ранг: 51.6 (постоянный)
Статус: Участник

Создано: 10 апреля 2006 04:13 New!
Цитата · Личное сообщение · #4

PE_Kill

Удачи...


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 10 апреля 2006 05:10 New!
Цитата · Личное сообщение · #5

Новая версия
rapidshare.de/files/17617772/ASPack_u_11.zip.html
Теперь умеет детектить ASProtect, правда сигнов пока мало.

Ранг: 51.6 (постоянный)
Статус: Участник

Создано: 10 апреля 2006 06:43 · Поправил: ZXCVB New!
Цитата · Личное сообщение · #6

К сожалению не пашет и с новыми настройками.
Загрузка CPU под 94% и все .
Не знаю в чем конфликт...
Декабрьская распаковывает, вот листинг:
All versions AsPack unpacker by ReKill.
Click button "Open file" for open file to unpack.
[ ! ] Target: D:\GAMES\ARTMONEY.EXE
[ > ] Load file in memory... [ ok ]
[ > ] Check "MZ" signature... [ ok ]
[ > ] Check "PE" signature... [ ok ]
[ > ] Check AsPack packed label...
[ ! ] OK, this file packed by AsPack
[ > ] Get AsPack version...
[ > ] Load signature database... [ ok ]
[ x ] Can''t determinate version!
[ ! ] Version: [ Unknown ]
[ ! ]- Decompress metod: [ Standard ]
[ > ] Load PE Info...
[ ! ] ImageBase: 00400000
[ ! ] EntryPoint 00294000
[ > ] Create process... [ ok ]
[ ! ] PID: 01B8
[ > ] Wait exception in EntryPoint... [ ok ]
[ > ] Get import...
[ > ] Hook kernel32.dll module...
[ > ] Module kernel32.dll restore...
[ > ] First function skiped!
[ > ] Restore first function!
[ > ] Hook VirtualFree...
[ > ] VirtualFree restore...
[ > ] Hook kernel32.dll module...
[ > ] Module kernel32.dll restore...
[ ! ] Imort RVA: 0022B000
[ > ] Dump image in memory...
[ ! ] 00295000b dumped.
[ > ] Get Code section...
[ ! ] Name: ".text", №1
[ > ] Wait exception in Original Entry Point... OK
[ > ] Fix memory dump...
[ > ] Open memory dump ... [ ok ]
[ > ] Fix sections... [ ok ]
[ > ] Fix PE Header...

Name Field Old Value New Value
Image Directory 00292FAC 0022B000
EP 00294000 001EB628
SizeOfHeaders 00000400 00001000

[ > ] Rebuild import...
[ ! ] Begin IID...
[0022B000] 00000000 00000000 00000000 0022BB4C 0022B1E0
[0022B014] 00000000 00000000 00000000 0022BE98 0022B2A0
[0022B028] 00000000 00000000 00000000 0022BEDE 0022B2B4
[0022B03C] 00000000 00000000 00000000 0022BF1E 0022B2C4
[0022B050] 00000000 00000000 00000000 0022BF66 0022B2D4
[0022B064] 00000000 00000000 00000000 0022BFB2 0022B2E8
[0022B078] 00000000 00000000 00000000 0022C0CE 0022B328
[0022B08C] 00000000 00000000 00000000 0022C9B0 0022B518
[0022B0A0] 00000000 00000000 00000000 0022C9CE 0022B520
[0022B0B4] 00000000 00000000 00000000 0022CA1C 0022B530
[0022B0C8] 00000000 00000000 00000000 0022D0B2 0022B6CC
[0022B0DC] 00000000 00000000 00000000 0022DD04 0022B9CC
[0022B0F0] 00000000 00000000 00000000 0022DD1A 0022B9D4
[0022B104] 00000000 00000000 00000000 0022DE0E 0022BA08
[0022B118] 00000000 00000000 00000000 0022DE82 0022BA24
[0022B12C] 00000000 00000000 00000000 0022DEB0 0022BA30
[0022B140] 00000000 00000000 00000000 0022E0D2 0022BA94
[0022B154] 00000000 00000000 00000000 0022E150 0022BAAC
[0022B168] 00000000 00000000 00000000 0022E1A4 0022BAC0
[0022B17C] 00000000 00000000 00000000 0022E1F8 0022BAD4
[0022B190] 00000000 00000000 00000000 0022E246 0022BAE4
[0022B1A4] 00000000 00000000 00000000 0022E29A 0022BAF8
[0022B1B8] 00000000 00000000 00000000 0022E400 0022BB44
[ ! ] End IID...
[ ! ] Module: kernel32.dll
[ ! ] Module: user32.dll
[ ! ] Module: advapi32.dll
[ ! ] Module: oleaut32.dll
[ ! ] Module: kernel32.dll
[ ! ] Module: advapi32.dll
[ ! ] Module: kernel32.dll
[ ! ] Module: mpr.dll
[ ! ] Module: version.dll
[ ! ] Module: gdi32.dll
[ ! ] Module: user32.dll
[ ! ] Module: kernel32.dll
[ ! ] Module: oleaut32.dll
[ ! ] Module: ole32.dll
[ ! ] Module: oleaut32.dll
[ ! ] Module: comctl32.dll
[ ! ] Module: imm32.dll
[ ! ] Module: winspool.drv
[ ! ] Module: shell32.dll
[ ! ] Module: shell32.dll
[ ! ] Module: comdlg32.dll
[ ! ] Module: user32.dll
[ ! ] Module: kernel32.dll

[ > ] Apply chenging...
[ ! ] ReBuild... [ ok ]
[ > ] Dumping file...
[ > ] Fix Dump...
[ > ] Open file ARTMONEY_u.EXE...[ ok ]
[ > ]Map file ARTMONEY_u.EXE...[ ok ]
[ > ] View file ARTMONEY_u.EXE...[ ok ]
[ > ] Calculate checksum...
[ ! ] CheckSum = 002A3EF3

[ > ] Apply chenging...
[ > ] UnView file ARTMONEY_u.EXE... [ ok ]


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 10 апреля 2006 07:19 New!
Цитата · Личное сообщение · #7

Ладно, буду думать дальше...


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 11 апреля 2006 05:55 New!
Цитата · Личное сообщение · #8

Последняя попытка. В опциях ставь heuristic и пробуй, если не получится, значит у меня баг в движке отладчика. Собственно я этот анпакер и делал, чтобы двиг затестить...

{ Атач доступен только для участников форума }


Ранг: 1117.7 (!!!!)
Статус: Участник

Создано: 11 апреля 2006 16:52 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #9

Работает в режиме безопасной загрузки, при дефолтных настройках.
При стандартной загрузке ни работает вообще.

Ранг: 51.6 (постоянный)
Статус: Участник

Создано: 11 апреля 2006 16:55 New!
Цитата · Личное сообщение · #10

Пока никаких изменений
Мне интересно,почему он вдруг перестал работать,
сначала все прекрасно распаковывал,потом перестал.
Последняя попытка
Ну это зря, как я понял 0.98-декабрьская
нормально распаковывает и сейчас.
Отдохни,на свежую голову все не так мрачно...

Ранг: 0.3 (гость)
Статус: Участник

Создано: 26 октября 2006 22:22 New!
Цитата · Личное сообщение · #11

Чем дело закончилось? Посмотреть на этот ASPack full reconstruct можно? ссылки все мертвые


Ранг: 69.2 (постоянный)
Статус: Участник

Создано: 26 октября 2006 22:55 New!
Цитата · Личное сообщение · #12

Пожалуйста, смотри: all-for-rus.narod.ru/files/unpack/ASPack_u_11.rar

Ранг: 3.3 (гость)
Статус: Участник

Создано: 9 февраля 2007 19:45 New!
Цитата · Личное сообщение · #13

Не качается (404)


Ранг: 69.2 (постоянный)
Статус: Участник

Создано: 9 февраля 2007 22:53 New!
Цитата · Личное сообщение · #14

koshkoshka
По моей ссылке в предыдущем посте всё качается.

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 10 февраля 2007 05:39 New!
Цитата · Личное сообщение · #15

спросить можно - subj хороший, но, например, файло запакованное upx можно распаковать им же (щас разговор не о upxmod или upxscrambler), причем upx вернет исходный файл 1 в 1. subj работает по принципу dump & rebuild, есть ли прога, кот. вернет файло также 1 в 1 до упаковки - мда нету.
Но вот собственно вопрос - возможно ли впринципе написать анпак с немодиф. файла упакованного aspack, чтобы получить после распаковки файл 1 в 1 как до упаковки, т.е. случай как upx -d. вопрос адресуется, наверно, изучавшим движок упаковщика aspack.


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 февраля 2007 05:53 New!
Цитата · Личное сообщение · #16

gegter пишет:
Но вот собственно вопрос - возможно ли впринципе написать анпак с немодиф. файла упакованного aspack, чтобы получить после распаковки файл 1 в 1 как до упаковки, т.е. случай как upx -d. вопрос адресуется, наверно, изучавшим движок упаковщика aspack.

ну, посмотри статик анпакер Головы


Ранг: 500.5 (!)
Статус: Участник

Создано: 10 февраля 2007 06:41 New!
Цитата · Личное сообщение · #17

gegter пишет:
возможно ли впринципе написать анпак с немодиф. файла упакованного aspack, чтобы получить после распаковки файл 1 в 1 как до упаковки

А релоки ручками чтоль восстанавливать ?
Анпакер PE_Kill'а восстанавливает файл максимально близко к оригиналу, а статик анпакер Головы не ребилдит ресурсы.

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 10 февраля 2007 06:52 · Поправил: Модератор New!
Цитата · Личное сообщение · #18

я имел ввиду 1 в 1 !!! если Smon пишет: статик анпакер Головы не ребилдит ресурсы значит уже не 1 в 1 - или только код восстанавливает 1 в 1 ? а все остальное лесом ?. Smon пишет: А релоки ручками чтоль восстанавливать ? прогами...
не нашел статик анпакер. у кого в архивах есть слейте или прямую ссыль


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 февраля 2007 07:10 · Поправил: Модератор New!
Цитата · Личное сообщение · #19

а к чему такая точность? ..

{ Атач доступен только для участников форума } - Static ASPack Unpacker 1.00.zip


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 февраля 2007 07:22 New!
Цитата · Личное сообщение · #20

h__p://lord-phoenix.com/ASPUnp_static.zip
gegter пишет:
или только код восстанавливает 1 в 1 ?

эээ, а код чтоле не всегда 1 в 1 "восстанавливается"? %)
gegter пишет:
а в qunpack пишет ahteam

гы =) в ахтим никогда и не был имхо, в уинке он =)

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 10 февраля 2007 08:00 · Поправил: gegter New!
Цитата · Личное сообщение · #21

lord_Phoenix пишет: гы =) в ахтим никогда и не был имхо, в уинке он =)
поправил минут 5 назад - с фьюрадером (феуеррадером, блин ) попутал
lord_Phoenix пишет: эээ, а код чтоле не всегда 1 в 1 "восстанавливается"? %)
не в том смысле (хотя если не обрезать код пакера, то может и в том ) имелось в виду, что прога тока код узает, а остальное не трогает

так и оказалось, даже секции пакера (с его кодом) не обрезает и ресурсы не ребилдены - ф топку ее. для практических целей не применима еще и статик млин....

P.S. так че там с полной обратимостью ? - реально ?

Ранг: 22.2 (новичок)
Статус: Участник

Создано: 10 февраля 2007 09:53 New!
Цитата · Личное сообщение · #22

>P.S. так че там с полной обратимостью ? - реально ?
теоритически - да
на практике - нет
почему? - аспектов дофуя.

Ранг: 22.2 (новичок)
Статус: Участник

Создано: 10 февраля 2007 10:00 New!
Цитата · Личное сообщение · #23

>для практических целей не применима
и чем же он так не применим?

>еще и статик млин
как раз таки рулез, добавить сюда прикольный способ работы с ПЕ - вдвойне клево.


Ранг: 1117.7 (!!!!)
Статус: Участник

Создано: 10 февраля 2007 15:33 New!
Цитата · Личное сообщение · #24

WolfHunter пишет:
и чем же он так не применим?


даже секции пакера (с его кодом) не обрезает и ресурсы не ребилдены - этим. Не понимаю, это так трудно было сделать, или просто в голову не пришло?

Ранг: 22.2 (новичок)
Статус: Участник

Создано: 10 февраля 2007 17:52 New!
Цитата · Личное сообщение · #25

>даже секции пакера (с его кодом) не обрезает и ресурсы не ребилдены - этим.
жизненной необходимости в этом нет.


Ранг: 1117.7 (!!!!)
Статус: Участник

Создано: 10 февраля 2007 18:59 New!
Цитата · Личное сообщение · #26

WolfHunter пишет:
жизненной необходимости в этом нет.


Но я одного понять не могу - если всё так прекрасно, то что ты делаешь в топике программы, которая прекрасно справляется с функциями, в которых жизненной необходимости в этом нет?
У Static ASPack Unpacker тоже есть топик на этом же форуме.


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 11 февраля 2007 00:20 New!
Цитата · Личное сообщение · #27

gegter пишет:
даже секции пакера (с его кодом) не обрезает и ресурсы не ребилдены

хех, вот поэтому секции аспак и не отрезаны, так как часть ресурсов там =)

Ранг: 22.2 (новичок)
Статус: Участник

Создано: 11 февраля 2007 00:58 New!
Цитата · Личное сообщение · #28

>Но я одного понять не могу - если всё так прекрасно, то что ты делаешь в топике
>программы, которая прекрасно справляется с функциями, в которых жизненной
>необходимости в этом нет?
дык это не я поднял тему про "Static ASPack Unpacker"

>У Static ASPack Unpacker тоже есть топик на этом же форуме.
прекрасно, я знаю

Ранг: 71.5 (постоянный)
Статус: Участник

Создано: 27 марта 2007 11:53 New!
Цитата · Личное сообщение · #29

Дайте рабочую ссылу последней версии плиз!
А то у меня есть 2 версии, пробывал распаковать 4 файла и не один не распаковал!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 марта 2007 12:04 New!
Цитата · Личное сообщение · #30

ValdikSS

hellspawn.nm.ru/tools/aspackunpacker.zip


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 27 марта 2007 13:13 New!
Цитата · Личное сообщение · #31

gegter пишет:
так че там с полной обратимостью ? - реально ?

Нет, UPX пихает в файл инфу для того, чтобы можно было восстановить исходный файл, ASPack ничего не пихает, а наоборот. Он сразу задумывался как не только пакер, но и помеха взломщику. В старых версиях даже импорт грохался после заполнения и загрузчик был пожат LZ алго.
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› ASPack full reconstruct

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS