Прога Isocommander 1.6.015 пакована ASprotectom 2.0x, нашел OEP, снял dump, но Imprec и Revirgin выдают очень много не определенных функций, может кто распаковывал, помогите (сам я чайник)

| Сообщение посчитали полезным:

Там с импортом веселее всего, помоему где-то был топик где Mario555 выкладывал скрипт для Olly для востановления импорта, может ошибаюсь. Посмотри по форуму.
PS самому распаковать не удалось

| Сообщение посчитали полезным:

а как нашёл ОЕР и снял дамп????

| Сообщение посчитали полезным:

Использовал статью Bit-h@ck "Распаковка? Это легко!!! Трассировал под Olly по shift-F9, потом бряк на секцию с кодом и опять трассировал до OEP. У меня он получился 41BD00. Снял несколько дампов с помощью PEEDITOR, PETOOLS, ProcDump. Не определилось аж 44 функции. (Спасибо Bit-h@ck за статью).

| Сообщение посчитали полезным:

Ссылку кинь

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Точно не ASPACK, может и не ASprotect 2.12, может ASPROTECT 2.0x сейчас не помню, вечером буду дома, посмотрю.

| Сообщение посчитали полезным:

Я не знаю где прога в нете, мне ее дали и попросили крякнуть, но мне ее надо обязательно распаковать - дело чести! Я защиту исследовал чуть-чуть и узнал что код должен быть не менее 172 символов: певый 0 или 1, а последний =, прога благодарит за регистрацию, прсит перезагрузку, а потом опять знакомый наг с триальником и ограничениями.

| Сообщение посчитали полезным:

ShturmanX пишет:
Точно не ASPACK, может и не ASprotect 2.12, может ASPROTECT 2.0x
Если так мечешься, то посмотри на каких инструкция эксепшон вылетает, если на xor`ах, то 1.23 или ниже, но если на других, то что-то новое.

| Сообщение посчитали полезным:

Но прога не большая около 700 кб. Ключ записывает в реестр, но я при загрузке не могу отловить где идет проверка. Может кто еще че насоветует.

| Сообщение посчитали полезным:

Мне PEiD говорит что ASprotect 2 c хером, вечером буду дома напишу точно, exception'ы выдает не на XORах

| Сообщение посчитали полезным:

Я его Stripperom рубил, он Protection Error 85 выдает.

| Сообщение посчитали полезным:

ShturmanX пишет:
Я его Stripperom рубил, он Protection Error 85 выдает.
Второй, один из последних.

| Сообщение посчитали полезным:

топик жжот (ц) НГ.. какой ещё аспр по статье про hr esp-4

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Прога пакована ASProtect 2.0x Registered -> Alexey Solodovnikov [Overlay]

Была на http://www.turtleblast.com http://www.turtleblast.com

ShturmanX пишет:
но мне ее надо обязательно распаковать
Интересно как теперь выкручиваться будешь? Учитывая что
ShturmanX пишет:
сам я чайник
Если же конечно это
ShturmanX пишет:
дело чести!

-----
TBR

| Сообщение посчитали полезным:

Ездил домой, посмотрел что ASProtect 2.0x. Модераторы плиз исправьте тему.

| Сообщение посчитали полезным:

ShturmanX

Скачал с сайта Isocommander 1.6.020.Очередная мутация аспра.

EntryPoint: 00C502EF

Stolen Bytes:

push ebp
mov ebp, esp
push FF
push 00487860
push 00476B1E
mov eax, fs:[0]
push eax
mov fs:[0], esp
sub esp, 68
push ebx
push esi
push edi
mov [ebp-18], esp
call Aspr_VM

Дальше сам . Изучай аспровую VM.

| Сообщение посчитали полезным:

Немного попутал, 00C502EF - не OEP, а начало украденных байт.

| Сообщение посчитали полезным:

в исо командере всегда аспротект. мде опять новый билд => новый билд аспра ;)

| Сообщение посчитали полезным:

Дружат они с Аленкой, что-ли?

-----
TBR

| Сообщение посчитали полезным:

Grey
не начинай флейм! отвечай по делу или молчи.

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

gloom
сорри

По делу:
ISOcom. при регистрации читает кей из буфера. Кто подскажет как прицепиться?

-----
TBR

| Сообщение посчитали полезным:

Grey
ISOcom. при регистрации читает кей из буфера. Кто подскажет как прицепиться?
а толку то? все равно же ключик аспр проверяет, а не ISOComm
ISOComm его только сохраняет до перезапуска

-----
EnJoy!

| Сообщение посчитали полезным:

Я пробовал по RegOpenKeyA и RegQueryValueA отловить но очень много вызовов происходит. Бряки типа BPM YYYYYYY x не работают у меня, а BPX'ы ASPr материт.

| Сообщение посчитали полезным:

> ISOcom. при регистрации читает кей из буфера. Кто
> подскажет как прицепиться?
хм.. ты собрался кейгенить или серийник искать?

-----
Shalom ebanats!

| Сообщение посчитали полезным:

На счет OEP я ошибся, тама еще полиморфа до фига. Но в проге под отладчиком нашел много виндовских стандартных функций, похоже где-то там и эмуляция идет примерно с адресов 00B95YYY кто шарит поможите.

| Сообщение посчитали полезным:

ShturmanX
>кто шарит поможите.
У тебя билд 1.6.015. На сайте 1.6.020.
Вероятность того, что у кого-то лежит именно твой билд крайне мала, так что качай с сайта билд 1.6.020 и задавай конкретные вопросы, чем смогу - помогу.

| Сообщение посчитали полезным:

0041C1F0 push ebp
0041C1F1 mov ebp, esp
0041C1F3 push -1
0041C1F5 push ISOComm.004791CF ; SE handler installation
0041C1FA mov eax, [dword fs:0]
0041C200 push eax
0041C201 mov [dword fs:0], esp
0041C208 sub esp, 0D4
0041C20E mov [dword ss:ebp-B8], ecx
0041C214 call near [dword ds:47F048] ; InitCommonControls

Скачал 1.6.020 Я так понимаю это уменя начало спертых байт?

| Сообщение посчитали полезным:

Нет. Выше я уже приводил начало спертых байт для 1.6.020.
Вообще говоря там вся главная ветвь кода сперта .

| Сообщение посчитали полезным:

Я трассировал по по этому коду, было еще три call'а куда-то в АСПР и ниже нашел создание окна НАГ (41C75E) и собственно запуск проги далее и еще абсолютно такой же код в версии 1.6.015 только начинается с адреса 41BD00 а не с 41C1F0? А на адрес куда ты выше указал я вообще ни разу не попадал даже близко

| Сообщение посчитали полезным:

ShturmanX
На file entry point bpx VirtualQuery, затем bpx A7D2FC, затем трассируй потихоньку, пока не попадешь на C502EF.

| Сообщение посчитали полезным: