Вопрос про двойную защиту

Сейчас на форуме: Magister Yoda, rtsgreg1989 (+7 невидимых)

Посл.ответ	Сообщение
ZeroMem Ранг: 4.0 (гость) Активность: 0=0 Статус: Участник	Создано: 24 апреля 2005 06:24 · Личное сообщение · #1 Столкнулся с такой вещью. Программа, котороая вроде запакована ASPack 2.12 (так PeID показал и другие. Кстати, она действительно им просто запакована) оказалась запакована чем-то еще. Не могу определить, чем. Может подскажите чем она может быть запакована и как правильно поступить в данном случае? (Я хочу распаковать exe игры RavenShield AthenaSword).

Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 24 апреля 2005 10:10 · Личное сообщение · #2 ZeroMem пишет: Может подскажите чем она может быть запакована Хм, да чем угодно. ZeroMem пишет: как правильно поступить в данном случае? Распаковывать дальше...
[EXE]_cutor Ранг: 115.8 (ветеран) Активность: 0.08↘0 Статус: Участник	Создано: 24 апреля 2005 10:13 · Личное сообщение · #3 а с чего ты решил что она ещё чем то пакована? Если 2.12, то возьми аспакдай, попробуй им. А лучше ручками. Снимаешь 2.12 натрави на него ещё раз PEiD и узнаешь что на нем ещё висит, если там действительно что то есть кроме аспака. ----- Ни одно доброе дело не должно остаться безнаказанным !!!
ValdiS Ранг: 420.3 (мудрец) Активность: 0.24↘0 Статус: Участник	Создано: 24 апреля 2005 11:02 · Личное сообщение · #4 ZeroMem пишет: Может подскажите чем она может быть запакована Ты бы хоть линк дал... ----- Сколько ни наталкивали на мысль – все равно сумел увернуться
ZeroMem Ранг: 4.0 (гость) Активность: 0=0 Статус: Участник	Создано: 24 апреля 2005 18:51 · Личное сообщение · #5 Понимаете, линк я вам не дам. Это ж блин лицензионная версия игрухи RavenShield AnthenaSword! А ASPack я снял. Руками снял. Но когда перехожу по OEP и трассирую по содержимому дальше, вижу как происходит запись в память буквально строками ниже( опкоды и инструкции меняются прямо в SoftIce). [EXE]_cutor, снять то снял. EP переписал. Но PeiD все равно ASPack показывает.
ZeroMem Ранг: 4.0 (гость) Активность: 0=0 Статус: Участник	Создано: 24 апреля 2005 18:53 · Личное сообщение · #6 [EXE]_cutor, ща токо дошло, что сегменты кода ASPack остаются! Вот PeID и показывает, что это - он! Может как-то можно эти секции убрать. Но, кажись, гемору много будет!
ZeroMem Ранг: 4.0 (гость) Активность: 0=0 Статус: Участник	Создано: 24 апреля 2005 18:54 · Личное сообщение · #7 [EXE]_cutor, ща токо дошло, что сегменты кода ASPack остаются! Вот PeID и показывает, что это - он! Может как-то можно эти секции убрать. Но, кажись, гемору много будет!
[EXE]_cutor Ранг: 115.8 (ветеран) Активность: 0.08↘0 Статус: Участник	Создано: 24 апреля 2005 19:08 · Личное сообщение · #8 ZeroMem пишет: сегменты кода ASPack остаются секции аспака убрать легко. Просто надо перестроить ресурсы. Т.к. аспак забирает в себя куски секции ресурсов (иконки, версию, и т.д.) и если просто отрезать через PE Tools его секции то прога запускаться не будет! Про перестройку ресурсов на форуме много говорили, заюзай "поиск"..... ----- Ни одно доброе дело не должно остаться безнаказанным !!!
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 24 апреля 2005 19:18 · Личное сообщение · #9 ZeroMem пишет: сегменты кода ASPack остаются Кусочек статьи: " Но при упаковке файла ASPackом выскакивает предупреждение, что файл уже упакован ASPack. Как же ASPack сам определяет, что файл уже им упакован? Все просто. По смещению F0h от начала PE заголовка находятся два поля типа dword. Они зарезервированы и не используются. Во втором из них, ASPack и оставляет свою метку: устанавливает значение поля в 00100000h. Нам нужно просто изменить его обратно в ноль. Есть два способа сделать его. Первый: запускаешь LordPE, открываешь файл в PE Editore, жмешь кнопочку Directories и устанавливаешь Size поля Reserved в ноль. "

Для печати