 |
eXeL@B —› Основной форум —› Трудности с распаковкой ASPack 2.12 |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 28 ноября 2005 11:10 · Личное сообщение · #1 Приветствую всех! Загружаю прогу в Olly, брякается (PEP) на 00507001___PUSHAD, далее ищу POPAD и нахожу (см. второй фрагмент кода), ставлю BP на последний RENT, запускаю прогу (по F9) и вижу OEP (004AE6C4), нажимаю F8, чтобы оказаться на OEP, и дамплю (Plugins -> OllyDump -> Dump Debugged process). Попутный вопрос, а надо ли в этом окне что-то изменять, а именно Start Address, Size, EP, Modify, Base of Code, Base of Data или Olly сама установит эти значения на верные? У меня поставлены галки Fix Raw ... и Rebuild Import. А теперь о Rebuild Import. Использую второй метод, запускаю сдампленную программу и "Обнаружена ошибка. Приложение будет закрыто."А с использованием первого метода уже лучше, но всё же появляется вот такая ошибка "Access violation at address 00595DB8. Read of address 00595DB8". А потом запускается сама прога. Пробовал дампить с помощью Lord PE & PE Tools, но не получилось восстановить импорт, Import Rec не распознал некоторые функции. Подскажите, пожалуйста в чём здесь загвоздка. PS: я уже снимал ASPack 2.12 с прог и всё было Ок, но здесь??? PPS: (2.14МБ) _http://www.zealotsoft.net/download/alljoiner.exe 00507000___NOP 00507001___PUSHAD <<<<<<<<<<<<<<<<<<<<<<< 00507002___VideoJoi.0050700A 00507007___JMP_____45AD74F7 0050700C___PUSH____EBP 0050700D___RETN 005073A9___MOV_____DWORD PTR SS:[EBP+3A8],EAX 005073AF___POPAD <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< 005073B0___JNZ_____SHORT VideoJoi.005073BA 005073B2___MOV_____EAX,1 005073B7___RETN____0C 005073BA___PUSH____0 005073BF___RETN  |
|
|
Создано: 05 декабря 2005 09:30 · Поправил: IvanStepkin · Личное сообщение · #2 mysterio пишет: Распакованый файл нужен или мини тутор ? Можно тутор, но желательнее видео, потому что почти все всегда в тексте что-нибудь да пропустят важное. Red Bar0n пишет: дык есть это уже www.ilyacr.narod.ru/ А по-моему нет, не открывается сайтик. |
|
|
Создано: 05 декабря 2005 23:44 · Поправил: mysterio · Личное сообщение · #3 Просьба ногами сильно не пинать - это моя первая статья, писал как мог. webfile.ru/673215 Файлу присвоен номер 673215, он будет доступен до 13.12.2005 00:47. Если нужно будет продлим еще на неделю. ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 05 декабря 2005 23:53 · Личное сообщение · #4 Ребят, нафиг это надо? Попробуйте вот этим: [url=Quick Unpack v1.0 beta 3]--> tport.com.ru//crackingpage/tools/Quick.Unpack1.0.beta3.public.rar <--[/url] |
|
|
Создано: 05 декабря 2005 23:57 · Личное сообщение · #5 HeaD_ShoT_MaN Чтбы мозг не разжыжался! Пускай тренеруются 
----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2005 00:01 · Личное сообщение · #6 HeaD_ShoT_MaN С утилитками все "крутые" - а вот без них ? ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 06 декабря 2005 00:01 · Личное сообщение · #7 [HEX] я не против =))) Только это всёравно что водку пить и чаем запивать =) |
|
|
Создано: 06 декабря 2005 00:12 · Личное сообщение · #8 Просто замечательно, valid статья. mysterio молодец, так держать! PS: по другим статьям, я тоже самое делал, только ничего не получалось. А здесь есть то что помогло, а именно надо было удалить инвалидные функции. Ещё раз огромное спасибо mysterio! |
|
|
Создано: 06 декабря 2005 00:17 · Личное сообщение · #9 Хехе а помоему инфы дано предостаточно. Дальше только желание нужно и знать что ты хочешь. А то ето напоминает "И рыбку съесть и костями не подовиться". |
|
|
Создано: 06 декабря 2005 00:35 · Личное сообщение · #10 Только нафига спрашивается всё вручную делать? Не в древнем мире живём =) |
|
|
Создано: 06 декабря 2005 00:39 · Поправил: [HEX] · Личное сообщение · #11 Ыть... Снял видео  Как на глаз найти RVA IAT и размер IAT у АсПака без всякого там Get API call.
За размер не пинать =\ Ломает меня менять своё разрешение 1280х960 на что то более низкое 
В общем не чудо, но вдруг кому понадобится
webfile.ru/673188 Имя файла - AsPack2.12_All_Video_Joiner.rar , размер 4901 Кбайт, номер на WebFile.ru - 673188, файл будет доступен минимум до 13.12.2005 00:34. ----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2005 00:42 · Личное сообщение · #12 [HEX] блин, видео это конечно хорошо. По видео я многому научился в крякерстве =)))) P.S. РЕСПЕКТ M!X@N 'у |
|
|
Создано: 06 декабря 2005 00:51 · Личное сообщение · #13 [HEX] Можно было проще Search for -> All sequences и вписываешь это PUSH 0 RETN OK В итоге находиться одна такая выглядит так PUSH 0 RETN JMP SHORT XXXXXXXXX На JMP бряк ... F9 ... брякнулся F7 и ты на OEP 
|
|
|
Создано: 06 декабря 2005 00:52 · Личное сообщение · #14 Z0oMiK ну ты блин прямо в натуре ветеран =)))) |
|
|
Создано: 06 декабря 2005 01:01 · Личное сообщение · #15 Z0oMiK Я то в курсе 
Так наглядней для новичка! В большой статье о простых распаковщиках как раз упоминается про pushad и popad вот и я тут это применил чтобы новичку проще ориентироваться ;) ----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2005 01:04 · Личное сообщение · #16 [HEX] да распаковка это так.... хрень... А вот КейГенчик вот это тема! |
|
|
Создано: 06 декабря 2005 06:27 · Личное сообщение · #17 В общем малоли кому то надо... Не кейген правда, но вроде заставляет работать: webfile.ru/673474 Имя файла - all.video.joiner.2.0-patch.exe , размер 86 Кбайт, номер на WebFile.ru - 673474, файл будет доступен минимум до 13.12.2005 06:26. ----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2005 11:40 · Личное сообщение · #18 [HEX] ну посмотреть можно 
|
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› Трудности с распаковкой ASPack 2.12 |
Для печати