Вот нашел прогу
.................static.slysoft.com/.........SetupAnyDVD4572.exe (без точек)
- для обхода регионального кода DVD - 1 метр

пейд определил (см тему) ну распаковал нашел оер - 443686 - но дальше х.з. т.к при повторном сканировании дампа Peid выдает AsPack 2.12 - это че такое?!
Опытным путем было установлено что прога намисана на VC++
но со спертыми байтами опять проблема, т.к нам только свободных 12 байт а начало (у vc++ прог надо 43 быйта - по крайней мере других не встречал не знаю)
Прошу посмотрите кто-нить раньше такого не встречал. Мож чего посоветуете (кроме как забить на крекерство из-за непроходимой тупости :s1

| Сообщение посчитали полезным:

мало ли что пеид определил. спокойно копай дальше
восстанавливай байты вручную

| Сообщение посчитали полезным:

Gelios
Ну дык я их определить и не могу. хрень там какая-то
получается что-то наполдобие заголовка делф-файла, я такое первый раз в жизни вижу, вот и подумал, может че-где накосячил. одним словом заголовок не похож не на один( ни делф ни vc++)
я 1.24 версию уже не раз снимал, но такого еще не видел.
получается типа такого
push ebp
mov eax,fs[0000]
sub esp,60
mov [ebp-18],esp
mov [ebp-04],ebx
но этож бред!

| Сообщение посчитали полезным:

ну дык есть туторы где эти байты восстанавливают (правда я сам не читал их )

| Сообщение посчитали полезным:

Ты б хоть OEP правильно нашел

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits
да Stripper показывает 7b000 но там Imgrec - ничего не находит,
если паковать руками- то 447d32 - по всем туторам именно эта, но там опять же пусто. одним словом глюки какие-то, и вообще у меня с этой прогой с самого начала глюги какие-то в плане распаковки.

| Сообщение посчитали полезным:

Нарооод ау, больше даставать не буду, но скажите плиз м/б начало файла на VC+ длиной 12 или 7 байт. - т.к места именно дл ятакого колва (ну нули всмысле)
А ОЕР всетаки 443686

| Сообщение посчитали полезным:

чтоб не спрашивать, читай "Распаковка?Это легко"-там в конце дано

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits
санкс, статейку я ту читал, просто приложене как-то проглядел

| Сообщение посчитали полезным:

Вот привожу 3 примера VC++ прог.

Чистый WinAPI, минимальная программа (VC++ 7.1):

.text:00401000 public start
.text:00401000 start proc near
.text:00401000
.text:00401000 var_84 = dword ptr -84h
.text:00401000 var_74 = dword ptr -74h
.text:00401000 var_70 = dword ptr -70h
.text:00401000 hWnd = dword ptr -6Ch
.text:00401000 var_68 = dword ptr -68h
.text:00401000 var_64 = dword ptr -64h
.text:00401000 var_60 = dword ptr -60h
.text:00401000 var_5C = dword ptr -5Ch
.text:00401000 var_58 = dword ptr -58h
.text:00401000 var_54 = tagBITMAPINFO ptr -54h
.text:00401000
.text:00401000 sub esp, 74h
.text:00401003 push esi
.text:00401004 mov esi, ds:GetAsyncKeyState ; Determine whether a key is up or down
.text:0040100A push 1Bh ; vKey
.text:0040100C call esi ; GetAsyncKeyState ; Determine whether a key is up or down

Оригинал:

int main(int argc, TCHAR* argv[], TCHAR* envp[])
{
long cord;
int x, y;

wait:
if(GetAsyncKeyState(27))
return 1;
...

**********

Средненькая программа с использованием MFC (VC++ 7.1)

.text:0040CBD6 public start
.text:0040CBD6 start proc near
.text:0040CBD6 push 60h ; sub_40CBD6
.text:0040CBD8 push offset ModuleName ; lpModuleName
.text:0040CBDD call sub_40DA08
.text:0040CBE2 mov edi, 94h
.text:0040CBE7 mov eax, edi
.text:0040CBE9 call sub_40C2E0
.text:0040CBEE mov [ebp-18h], esp
.text:0040CBF1 mov esi, esp
.text:0040CBF3 mov [esi], edi
.text:0040CBF5 push esi ; lpVersionInformation
.text:0040CBF6 call ds:GetVersionExA

**********

HexWorkshop 2.54 (VC++ 4.x):

.text:0043A620 public start
.text:0043A620 start proc near
.text:0043A620
.text:0043A620 StartupInfo = _STARTUPINFOA ptr -70h
.text:0043A620 var_28 = byte ptr -28h
.text:0043A620 var_18 = dword ptr -18h
.text:0043A620 var_10 = dword ptr -10h
.text:0043A620 var_4 = dword ptr -4
.text:0043A620
.text:0043A620 mov eax, large fs:0 ; sub_43A620
.text:0043A626 push ebp
.text:0043A627 mov ebp, esp
.text:0043A629 push 0FFFFFFFFh
.text:0043A62B push offset stru_473408
.text:0043A630 push offset __except_handler3
.text:0043A635 push eax
.text:0043A636 mov large fs:0, esp
.text:0043A63D sub esp, 60h
.text:0043A640 push ebx
.text:0043A641 push esi
.text:0043A642 push edi
.text:0043A643 mov [ebp+var_18], esp
.text:0043A646 call ds:GetVersion

| Сообщение посчитали полезным:

Санкс еще раз, забил я на эту прогу странная она какя-то, распаковалась ок, но перестала находить DVD и при запуске проверяет наличие ключа в реестре и самаже его грохает, хрень какя-то, Лучше найду чего полегче
Еще раз всем спасибо.

| Сообщение посчитали полезным:

Halt:
при запуске проверяет наличие ключа в реестре-так она и до распаковки его проверяла, просто если его туда не пихать то сообщение не выводит, но всёравно проверяет

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

более того, она проверяет чексум исходного файла в нескольких местах разными алго

| Сообщение посчитали полезным:

Gelios:
более того, она проверяет чексум исходного файла в нескольких местах разными алго-так PeDit все читать умеют

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Gelios
Енто я понял. И там несколько переходов типа jmp eax а в еах - число, которое заумно генериться - я так понимаю это и есть основная защита, подсунь правильный ключь сгенериться нужное число и все ОК, я посмотрел в зааспренной проге, записал жесткие ждампы (теперь вылезает типа прога отработала 0 дней из 0) и нормально запускается, почти..., только эта с.. не определяет DVD где-то в глубине системных бибилитотек, хотя все параметры передает такие-же, а тогда смысл ее ломать, на кой хрен она тогда сломанная нужна, если не сможет выполнять свою прямую функцию? так что вот такие пироги....

| Сообщение посчитали полезным: