HI всем !!!

Распаковывал тут браузер (MAXTHON v 1.0).
Проверил его PE SNIFFER'ом из PE TOOL'S пишет ASProtect vx.x
Проверил PEiD'ом пишет ASPack 2.12b -> Alexey Solodovnikov.
Кому верить ??? У кого так сказать авторитета больше ???

Пробовал распаковать как аспак - ХЕР. Не выходит.
И ресурсы перестраивал, и ребилд делал - НИФИГА.
Мне его нужно перевести !!!
Нашёл в одной статье, что аспр может под аспак маскироваться.
Может это как раз мой случай ???
Кто распаковывал оную прогу, прошу помочь советом.
(OEP в принципе нашёл с помощью того же PEiD'а. Проверил с помощью хекс редактора, т.е. нашёл типа такой последовательности 61 75 08 B8 01 00. Вроде всё правильно. К тому же импрек говорит, что ЭТА OEP правильная, а на другие ругается)

Я уже по этому поводу топик создавал, но тогда дело ничем толковым и не закончилось к сожалению........

| Сообщение посчитали полезным:

Заколебали, дай линк. Кажись это аспр. НЕ НАДЕЙСЯ НА АВТОПОИСК ОЕР!!!!!

| Сообщение посчитали полезным:

Линк дать не могу, я её с диска брал
Оф сайт проги вот http://www.maxthon.com/

| Сообщение посчитали полезным:

Ну а ехешник выложить никто не мешает

| Сообщение посчитали полезным:

Я придумал, не выкладывай ехе, выложи на форуме начало проги с энтри пойнт.
hyper13 пишет:
У кого так сказать авторитета больше ???
Авторитетными ща щитаются глаза! Грузи прогу под отладчиком и глазами по точке входа определяй!

| Сообщение посчитали полезным:

Во народ даёт - уже АсПак узнать не могут

OEP: B10BA

Удачи!

p.s. PeID находит OEP неправильно в данном примере

| Сообщение посчитали полезным:

Красиво сдампить можно здесь:

005DA1A4 ^0F85 1EFFFFFF JNZ Maxthon.005DA0C8 ; UnPack each section
005DA1AA 68 00800000 PUSH 8000 ; MEM_RELEASE
005DA1AF 6A 00 PUSH 0
005DA1B1 FFB5 56010000 PUSH DWORD PTR SS:[EBP+156]
005DA1B7 FF95 50050000 CALL DWORD PTR SS:[EBP+550] ; kernel32.VirtualFree

А по обычному здесь:
005DA3B0 61 POPAD
005DA3B1 75 08 JNZ SHORT Maxthon.005DA3BB
005DA3B3 B8 01000000 MOV EAX,1
005DA3B8 C2 0C00 RETN 0C ; JUMP TO OEP

p.s. Maxthon 1.1.090

| Сообщение посчитали полезным:

Man1ac пишет:
p.s. Maxthon 1.1.090

Не эта версия, а 1.0.0220 от 11 августа 2004

005DA1A4[/i]

В листинге этой версии таких адресов вообще нет, соотвессно и OEP не подходит.

Bit-hack

Вот листинг с EP

005BF000 90 NOP
005BF001 > 90 NOP
005BF002 60 PUSHAD
005BF003 E8 03000000 CALL Maxthon.005BF00B
005BF008 -E9 EB045D45 JMP 45B8F4F8
005BF00D 55 PUSH EBP
005BF00E C3 RETN
005BF00F E8 01000000 CALL Maxthon.005BF015
005BF014 EB 5D JMP SHORT Maxthon.005BF073
005BF016 BB ECFFFFFF MOV EBX,-14
005BF01B 03DD ADD EBX,EBP
005BF01D 81EB 00F01B00 SUB EBX,1BF000
005BF023 83BD 22040000 00 CMP DWORD PTR SS:[EBP+422],0
005BF02A 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
005BF030 0F85 65030000 JNZ Maxthon.005BF39B
005BF036 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E]
005BF03C 50 PUSH EAX
005BF03D FF95 4C0F0000 CALL DWORD PTR SS:[EBP+F4C]
005BF043 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX
005BF049 8BF8 MOV EDI,EAX
005BF04B 8D5D 5E LEA EBX,DWORD PTR SS:[EBP+5E]
005BF04E 53 PUSH EBX
005BF04F 50 PUSH EAX
005BF050 FF95 480F0000 CALL DWORD PTR SS:[EBP+F48]
005BF056 8985 4C050000 MOV DWORD PTR SS:[EBP+54C],EAX
005BF05C 8D5D 6B LEA EBX,DWORD PTR SS:[EBP+6B]
005BF05F 53 PUSH EBX
005BF060 57 PUSH EDI
005BF061 FF95 480F0000 CALL DWORD PTR SS:[EBP+F48]
005BF067 8985 50050000 MOV DWORD PTR SS:[EBP+550],EAX
005BF06D 8D45 77 LEA EAX,DWORD PTR SS:[EBP+77]
005BF070 FFE0 JMP EAX
005BF072 56 PUSH ESI
005BF073 6972 74 75616C41 IMUL ESI,DWORD PTR DS:[EDX+74],416C6175
005BF07A 6C INS BYTE PTR ES:[EDI],DX ; I/O command
005BF07B 6C INS BYTE PTR ES:[EDI],DX ; I/O command
005BF07C 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
005BF07D 6300 ARPL WORD PTR DS:[EAX],AX
005BF07F 56 PUSH ESI
005BF080 6972 74 75616C46 IMUL ESI,DWORD PTR DS:[EDX+74],466C6175
005BF087 72 65 JB SHORT Maxthon.005BF0EE
005BF089 65:008B 9D300500 ADD BYTE PTR GS:[EBX+5309D],CL
005BF090 000B ADD BYTE PTR DS:[EBX],CL
005BF092 DB ??? ; Unknown command
005BF093 74 0A JE SHORT Maxthon.005BF09F
005BF095 8B03 MOV EAX,DWORD PTR DS:[EBX]
005BF097 8785 34050000 XCHG DWORD PTR SS:[EBP+534],EAX

| Сообщение посчитали полезным:

Короче, это аспак! Кажись листинг из оли, нажми Ctrl+A и у тебя станет так:
01004001 > $ 60 PUSHAD
01004002 . E8 03000000 CALL write.0100400A
01004007 E9 DB E9
01004008 EB DB EB
01004009 04 DB 04
0100400A /$ 5D POP EBP ; write.01004007
0100400B |. 45 INC EBP
0100400C |. 55 PUSH EBP
0100400D \. C3 RETN
0100400E E8 DB E8
0100400F 01 DB 01
01004010 00 DB 00
01004011 00 DB 00
01004012 . 00EB ADD BL,CH
01004014 . 5D POP EBP
01004015 . BB EDFFFFFF MOV EBX,-13
0100401A . 03DD ADD EBX,EBP
0100401C . 81EB 00400000 SUB EBX,4000
01004022 . 83BD 22040000 >CMP DWORD PTR SS:[EBP+422],0
01004029 . 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0100402F . 0F85 65030000 JNZ write.0100439A

Похоже? Набери hr esp-4 [enter]. F9. На что похоже?

| Сообщение посчитали полезным:

hyper13
Понятное дело что не эта - на сайте только последняя лежит, а скачать с сайта естественно лень?

| Сообщение посчитали полезным:

hyper13
Если так нужна версия 1.0.0220, то в Ольке сделай так:
F9 --> ctrl+F (popad) --> ctrl+L раза 3, пока не увидишь заветные байты с прыжка на OEP, т.е. 61 75 08 B8 01 C2 0C

| Сообщение посчитали полезным:

Да не лень.....
Во-первых у меня версия от 11 августа 2004. И так НЕ очень старая. Не знал что ещё более новую зарелизят буквально через пару месяцев.
Во вторых - НАФИГА я буду тратить НЕТ, скачивать самую последнюю, если меня эта вполне устраивает.
В-третьих - СПАСИБО за подсказку
В-четвёртых........................

там короче меню переводится в .ini файле , можно было с распаковкой и не париться !!!
Если кому надо перевод оной проги v 1.0.0220 могу приаттачить, когда закончу !!!

| Сообщение посчитали полезным: