Имеется DLL webfile.ru/470928
Файл номер 470928, xx.dll (размер 398 кбайт)

PEiD 0.93 выдаёт что упакован AsProtect'om 2.0, но поглядев повнимательней понял что тут дело не чисто.Проверил другими утилитами PeTools, RDG Packet Detector которые всеже выдали что это ASPack 2.12.
Приступил к распаковке... начало все как обычно:
1007B001 > 60 PUSHAD
1007B002 E8 03000000 CALL xx.1007B00A ; ставлю бряк на на ESP
1007B007 -E9 EB045D45 JMP 5564B4F7
1007B00C 55 PUSH EBP
1007B00D C3 RETN
1007B00E E8 01000000 CALL xx.1007B014

отпускаю по F9 и жду момента что то типа этого:

0072F3AF 61 POPAD
0072F3B0 75 08 JNZ SHORT opera.0072F3BA
0072F3B2 B8 01000000 MOV EAX,1
0072F3B7 C2 0C00 RETN 0C
0072F3BA 68 00000000 PUSH 0
0072F3BF C3 RETN
но этот мемент так и не наступает Перерыл весь файл, но так и не нашел...
Так же замечено, что секции подправлены ручками и видать сигнатура тоже подправлена чтобы PEiD сбить столку.

Извеняюсь конечно если лишнию однотипную тему создал Но подскажите где мой косяк?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ну вообщето это и есть аспротект такчто не удиительно что ты ненаходишь выход на оер и не какой это не аспак

| Сообщение посчитали полезным:

Упс
А чеж он так похож на АСПак да и еще две программы определили его как АСПак 2.12 ?

Если это действительно АСПротект 2.0, то направьте на путь истиный как руками распаковать, а то чето статей по АСПру 2.0 не очень густо

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ну, ну.
http://www.exelab.ru/rar/

ФОРМАТ ИСПОЛНЯЕМЫХ ФАЙЛОВ PortableExecutables (PE):
http://www.exelab.ru/art/pe.php

Да и вообще, смотри внимательней:
http://www.exelab.ru/art/

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

[HEX] пишет:
А чеж он так похож на АСПак да и еще две программы определили его как АСПак 2.12 ?
Ты думаешь ASPack - защита?

Отложи пока (я так и сделал).
Осмотрись с простенькими защитами, почитай Рихтера + посмотри антиотладочные приёмы (на Wasm’e есть кое-что).

Хотя... Если прёт прямо сейчас, заполняй искомым бочку Notepad’a или Calc’a и опорожняй потихоньку.
А мне всё некогда .
Давно пора уже.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

[HEX] пишет:
Файл номер 470928, xx.dll (размер 398 кбайт)
при ближайшем рассмотрении оказалось, что это SpamProtexx Classification Module
(исходное название файла txtClass.dll)
является COM компонентом, суда по наличию ресурсов Regestry и TypeLib и экспортированию DllRegisterServer

я так понял, что это на самом деле файл "SpamProtexx.tbp" из поставки "AGAVA SpamProtexx for TheBat!"
www.spamprotexx.ru/download/agtbp.exe

[HEX] пишет:
PEiD 0.93 выдаёт что упакован AsProtect'om 2.0
в PEiD присутствует один из лучших детекторов ASProtect'a, так что в данном случае лучше ориентироваться на него


[HEX] пишет:
Так же замечено, что секции подправлены ручками
стандарное аспротектовое именование секций .1234567 в версиях 1.2, в версии 2.0 по умолчанию .data
все другие имена секций затираются (остаётся только .adata)

P.S. файл txtClass.rar (размер 61 кбайт) доступен по адресу: webfile.ru/471503 в течение 7 дней до 18:46 28.08.2005.

Описание файла:
SpamProtexx Classification Module
*non-packed*

-----
EnJoy!

| Сообщение посчитали полезным:

Bitfry пишет:
ФОРМАТ ИСПОЛНЯЕМЫХ ФАЙЛОВ PortableExecutables (PE):
как начал читать эту статейку сразу понял что точь вточь такаяже как в одной книжке с темеже ошибками, может кто получше знает?

| Сообщение посчитали полезным:

Jupiter
Вот что значит - опыт не пропьёшь!

Модуль определили верно, только вот офишировать не обязательно наверное было ;)

Спасибо за файл. Но теперь нужно самому разобраться что там да как. Может посоветуете хорошую статью по аспру 1.2 ? В ART много статей, что то читал уже, но всеже что больше всего подходит под данную ситуацию?

Всем спасибо за помощь.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Вот что значит - опыт не пропьёшь!
спасибо, конечно, но опыт в данном случае ни при чём

[HEX] пишет:
Модуль определили верно, только вот офишировать не обязательно наверное было ;)
пост типа 'выложил xx.dll', без указания, что это на самом деле, откуда взято и т.п. к тому же c таким странным названием (хорошо хоть не xxx) не вызывает у меня положительных эмоций
к тому же подробная инфа экономит время тех, кто на дайлапе или у кого нет времени разбираться, что же скрывается за xx


[HEX] пишет:
Может посоветуете хорошую статью по аспру 1.2 ? В ART много статей, что то читал уже, но всеже что больше всего подходит под данную ситуацию?
про аспр - см. Распаковка AsProtect 1.2х “Шаг за шагом”. (LaBBa & Nice) в разделе rar-статьи
или под данной ситуацией понимается распаковка dll?
есть xtin.km.ru/view.shtml?id=133

tuts4you.com/tutorials/Unpacking/ASProtect%201.31%20(Unpacking)/ThunderPwr-ASProtect131-Tutorial11.htm

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
Извеняюсь за свои ламерские вопросы ,но статья http://xtin.km.ru/view.shtml?id=133 http://xtin.km.ru/view.shtml?id=133 расказывает по востановлению импорта dll после Аспра?

Статью ASProtect 1.31 manual unpacking посмотрел... целиком и полностью вникнуть не плоучилось из-за не владением в совершенстве англ. языка

Пока вроде разобрался с поиском OEP и дампом теперь бы востановить импорт и урок на этом для себя закончу...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
теперь бы востановить импорт и урок на этом для себя закончу... - поищи хекс значение функции в самом дампе там подряд много разных, где начало - там и начало импорта

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

[HEX] пишет:
PEiD 0.93 выдаёт что упакован AsProtect'om 2.0
PEiD 0.92 выдает - ASPack 2.12 -> Alexey Solodovnikov

[HEX] пишет:
1007B002 E8 03000000 CALL xx.1007B00A ; ставлю бряк на на ESP
Криво ставишь значит. hr esp-4 сразу брякается тут ( с отключеными exceptions):

 
00A70122   61               POPAD
00A70123   FFE0             JMP EAX
00A70125   0000             ADD BYTE PTR DS:[EAX],AL
00A70127   0000             ADD BYTE PTR DS:[EAX],AL
00A70129   0000             ADD BYTE PTR DS:[EAX],AL

| Сообщение посчитали полезным:

Ara пишет:
[HEX] пишет:
PEiD 0.93 выдаёт что упакован AsProtect'om 2.0
PEiD 0.92 выдает - ASPack 2.12 -> Alexey Solodovnikov
И кому верить?

Ara пишет:
00A70122 61 POPAD
00A70123 FFE0 JMP EAX
00A70125 0000 ADD BYTE PTR DS:[EAX],AL
00A70127 0000 ADD BYTE PTR DS:[EAX],AL
00A70129 0000 ADD BYTE PTR DS:[EAX],AL
Ну значит я все верно нашел...

тепереь бы с импортом в длл разобраться и былоб замечательно...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Ну я бы поверил тому, что поновее. А вообще другие определители поюзай.

| Сообщение посчитали полезным:

Archer пишет:
[HEX]
Ну я бы поверил тому, что поновее. А вообще другие определители поюзай.
В первом посте было об этом доложено.

PEiD 0.93 выдаёт что упакован AsProtect'om 2.0, но поглядев повнимательней понял что тут дело не чисто.Проверил другими утилитами PeTools, RDG Packet Detector которые всеже выдали что это ASPack 2.12.
Или знаете еще какие то хорошие утилиты?

Да и суть проблемы уже сводиться к востановлению импорта в дллке.
Так как ОЕП 100% верный нашли (у меня 383EF).
Таблицу импорта в дампе на глаз нашли (у меня это 45410).
С помощью ImpRec (Get Import) получил немного функций. Ну и еще кучу функций нашли с помощью Get API Calls. Но все равно чего то не хватает или что то не так сделали, так как модуль отказывается устанавливаться в TheBat'e.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

DrFits
ты уверен ничего не напутал?

| Сообщение посчитали полезным:

irqhc64
Решили раритетные топики откопать для музея? На дату взгляните.

Я думал уже старые темы того....

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Решили раритетные топики откопать для музея? На дату взгляните.
закрой её

| Сообщение посчитали полезным: