Проблема именно с той версией Аспра, который "ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov". Может, это и v1.31, не знаю точно...

Имхо, Аспр последних версий маскирует одни АПИ под другие, обманывая тем самым Импреки/Ревержины.

Вопрос к знатокам Аспра со стажем: Как быть в данном случае (т.е. когда из ~130 вызовов АПИ Импрек определяет в лучшем случае 5)? Наковырял я вручную порядка 30 вызовов, но так ведь жить нельзя надо что-то делать...

Кроме того, пара из этих 5 вызовов были фэйками, например функцию GetModuleHandleA новый Аспр маскирует под GetProcAddress, специально видимо для любителей Импрека

Есть ли _эффективный_ способ идентификации IAT-функций в данном случае? thanks in advance.

| Сообщение посчитали полезным:

SubV пишет:
IAT-функций
в апрах 1.3 и выше, иат'а просто нет

| Сообщение посчитали полезным:

Mario555 пишет:
в апрах 1.3 и выше, иат'а просто нет

привожу кусок из import.txt, сделанный Импреком именно для данной версии Аспра (большинство функций определял вручную):

NbFunc: 00000065
kernel32.dll 023B LoadLibraryA
kernel32.dll 00EA FreeLibrary
kernel32.dll 0164 GetLocalTime
? 0000 00FC0000
? 0000 00FD0000
kernel32.dll 031C SetSystemPowerState
? 0000 00FF0000
kernel32.dll 03A3 lstrcmpi
kernel32.dll 01D6 GetVersionExW
kernel32.dll 0030 CloseHandle
kernel32.dll 004E CreateFileA
kernel32.dll 028B QueryPerformanceCounter
kernel32.dll 028C QueryPerformanceFrequency
? 0000 01040000
? 0000 01050000

.......

И что же это, как не IAT?

| Сообщение посчитали полезным:

я говорю про максимальную защиту импорта...
если используется иат, то защита не полная - аспр иногда глючит и хреново пакует проги...

| Сообщение посчитали полезным:

да, и ещё, - я смотрел аспр только на дельфийских прогах, т.к. на них аспр наиболее интересен и сложен. Что там с другими языками - не знаю...

| Сообщение посчитали полезным:

Но как я уже говорил... УЖ ОЧЕНЬ геморройно трассировать код каждой (из 130 функций) к реальным адресам. Надо с этим что-то делать...

| Сообщение посчитали полезным:

дык ты влезь в цикл формирования импорта и пропатчи его так, чтобы записывались реальные адреса апи, а не переходники...
ЗЫ время халявы с импреком прошло...

| Сообщение посчитали полезным:

Я делал так:

Целевая программа была скомпилена MSVC++ 7.0 / Linker 7.10. Так что, недолго думая, делаю идентичный по импортам проект на том же Визуал Си 7. Компилю, начинаю сравнивать в Olly вызовы базовых API с теми, что получились в сдампленной проге.

Но этим путем всех функций имхо не восстановить, тем более что многие из них, как я уже говорил маскируются под другие. Надобно писать новый плагин под Импрек или связываться с автором Стриппера.

2 Mario555:

Каким образом можно побыстрее дойти до оного цикла в Оле? Отслеживать по SEHам али как?

| Сообщение посчитали полезным:

бряк на запись в иат или бряк на запись jmp [] в случае, когда иат не используется...

| Сообщение посчитали полезным:

@ Mario555

Спасибо за туториалы, правда сделал все по-своему Распаковал я таки второй Аспр! Ручками

| Сообщение посчитали полезным:

SubV
ну рассказывай тогда

| Сообщение посчитали полезным:

а я распаковал сейчас ASPROtect 2.0 со всеми опциями защиты, статью написать???

| Сообщение посчитали полезным:

bi0w0rM
Конечно напиши, тем более у тебя хорошие туторы получаются ;)

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

звиняйте за дурацкий вопрос
Mario555 пишет:
бряк на запись в иат или бряк на запись jmp [] в случае, когда иат не используется...

а как их поставить?
в смысле определить что запись происходит именно в иат а не какая-нить расскриптовка.

| Сообщение посчитали полезным:

Halt пишет:
в смысле определить что запись происходит именно в иат

при трассировке оного куска ты определенно увидишь передачу истинных значений АПИ в некую подпрограмму, формирующую аспровский ИАТ. У меня бряк на этой процедуре был третьим.

| Сообщение посчитали полезным: