Всем привет,

никак не могу одолеть Advanced Import Protection (много call"ов переходят на один и тот же call 01830000), затем в virtuall.dll аспра определяется, какая API здесь нужна (видимо на основе того, откуда был первоначальный call в секции кода или дальше).

какие на данный момент есть способы восстановки IAT? Прочитал статью deroko/Arteam "asprotect ske 2.3 unpacking approach". Там вообщем предлагается перехватывать LoadLibraryA, делать список API и адресов из которых пришло обращение, а потом внедрить лоадер, который восстановит IAT и коллы в секции кода в проге по этому списку.

Скрипты пробовал разные уже, ниче не помогает...Объясните хоть в двух словах на чем они основаны?

Главный вопрос: ведь virtual.dll в аспре как то определяет откуда был колл и какая ему соотвествует API?
Значит, если понять какой там механизм, то можно написать инлайн патч, который будет использовать внутренние функции аспра...Ведь всего то надо найти имя API функции, а потом можно использовать GetProcAddress, а не так как в аспре - ее самодельный вариант.

ПРошу ответить, кто как считает возможно ли это...честно говоря уже сижу копаю...дело конечно осложняется мусорным кодом, но как видно есть короткий AIP dispatcher (тот самый call 01830000, которого так много в IAT секции) в котором 99% это действительно мусор, а есть virtuall.dll , в которой все самое важное и делается и по идее "если долго мучиться - что-нибудь получится".

если кто хочет ссылку на жертву, пишите в личку. охотно поделюсь. там 5мб. на сайт ссылку и имя проги выкладывать не хотелось бы. если кому надо - могу прикрепить virtual.dll - я ее восстановил по статье deroko - можно грузить в олли и изучать (тока мне пока не пригодилось

| Сообщение посчитали полезным:

Способы, которые я тут описал работают до сих пор:
http://www.exelab.ru/rar/dl/CRACKLAB.rU_32.rar

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: