Имеется прога, запакована аспаком, после распаковки распаковщиком а также QU 2.0 - прога не запускается - ошибка инициализации с000000005 ... После ручной распаковки, восстановление импорта импреком такая же фигня.
Вот файлы:
_http://ifolder.ru/3387552 - распакованный файл ~ 800 kb. Borland C++ 1999
_http://slil.ru/24870004 - оригинальный файл ~ 900 Kb.
_http://slil.ru/24870008 - доп. файлы для запуска проги ~300 Kb.

OEP = 00401000
TLS RVA = 00247000
TLS SIZE = 00000018

В чем может быть косяк?

| Сообщение посчитали полезным:

помойму оеп не правильно определил.

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

вообще такая ошибка возникает когда импорт косячит. файл щас посмотреть не могу

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler

Тогда че, QU 2.0 не распаковывает Aspack и не правильно определяет OEP?

| Сообщение посчитали полезным:

depler
Скорее всего импорт, но где я не догнал... Все вроде чисто...

| Сообщение посчитали полезным:

Gmc модифицированный аспак?

Import directory = FFD2F894

Вот в этом и касяк...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

хм, а от PEKill'a непробывал распаковщиком анпакнуть? Вроде должен распаковать, т.к. способ распаковки применён универсальный.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits

Пробовал, один хрен косой файл выходит.

| Сообщение посчитали полезным:

DrFits вот я и попробовал... Там аспак старый.. ПеКилловская игрушка не берет.
QU2 тоже не берет, потому что там куча секций отрезается...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Gmc
плагом для пеида от архангела попробуй распаковать (на форуме где то было).
Если нет, то скорее всего Оеп неправильно найдено (скрамблер)...
PS. мож там и не aspack вовсе???

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Cкинь файло, если не в лом.

| Сообщение посчитали полезным:

Maximus пишет:
Там аспак старый..
ПеКилловская игрушка не берет.

All versions ASPack unpacker by PE_Kill
------------------------------------
It is checked up on versions: 1.00b, 1.01b, 1,02b, 1.03b, 1.05b, 1.06b, 1.061b, 1.07b, 1.08, 1.08.01, 1.08.02, 1.08.03, 1.08.04, 2.000, 2.001, 2.1, 2.11, 2.11c, 2.11d, 2.12

Вроде написано что тестилась на 1.08.01, с импортом чето так и не понял. FFD2F894 в импрек вводить и Get Imports?

| Сообщение посчитали полезным:

FFD2F894 - да не может быть такого адреса в винде!

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Assass1n оеп правильный вроть
Gmc не работает, потому что
Tim пишет: FFD2F894 - да не может быть такого адреса в винде!

А попробуй вот этот exe, работает?:
rapidshare.com/files/56505124/DynamicBiorhythms_orig_u_.rar.html

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
У меня нет доступа на рапидшару.

| Сообщение посчитали полезным:

Assass1n
аспак там но какой-то кривой

Sey
файлы в первом посте

Maximus
как пофиксить то импорт?

| Сообщение посчитали полезным:

Gmc гг... говнопрожка... значед пишу каг распаковать...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Все догнал, я не тот файл выложил, этот вообще без импортов дамп. Вот файл _http://ifolder.ru/3387552

| Сообщение посчитали полезным:

1. Входишь в ольку, хард бряк на 401000
2. Брякаешься, открываешь импрек, вводишь ОЕП 1000, IAT автопоиск делаешь, Size 4000, GetImport, и потом удаляешь ошибочные...
3. Делаешь дамп (я делал в ПЕТулс)
4. Прикручиваешь импорт из импрека, все прога распакована
5. Распаковываешь ПеКиловской распаковывалкой BiorhythmsLib.dll (иначе работать не будет) и заменяешь распакованный вариант...

Все...
И результат: slil.ru/24870621
там распакованный exe+dll+import

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Спасибо, теперь все норм, разобрался.

| Сообщение посчитали полезным:

хм позволю себе добавить ио в тему - прога из запросов на взлом на инглише..

[url=http://www.exelab.ru/f/action=vthread&forum=10&topic= 5986&page=5
]http://www.exelab.ru/f/action=vthread&forum=10&topic=5986 & page=5
[/url]
1. Active S.M.A.R.T. 2.6
2. [url=http://www.ariolic.com/download.html
]http://www.ariolic.com/download.html
[/url]
(Direct Link :: files.ariolic.com/activesmart26.exe)
3. 3MB

там тоже аспак 2-12 .. ну похож по крайней мере... но не могу отодрать.. никак ..еп вроде 4827ad но не факт ... может у кого канал широкий глянет?? уже интересна не сама прога а что за криптор на ней.. распаковать то я распаковал.. а вот как отодрать - хз.. еще call ED1000 (или куда то туда) убивают... как их пофиксить?

ЗЫ там их несколько по ссылке.. нужна верхняя - ориентируйтесь по размеру

| Сообщение посчитали полезным:

Halt пишет: еще call ED1000 (или куда то туда) убивают... как их пофиксить?
Похоже на ASProtect. Тут в 2-х словах не раскажишь, кури стотьи в rar разделе

Посмотрел, так и есть, там аспр... читайте туторы, либо посылайте на авто-распаковку...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Halt
Asprotect [2.3 build 06.26 Beta], [Dmitry Vergel].
Вот распакованная - отломанная, т.к. защита там на аспре висела.

dump.ru/files/g/g983192109/

Halt пишет:
там тоже аспак 2-12 .. ну похож по крайней мере...
И чем ты смотрел интересно?? Просто у меня Peid, die, exeinfo, gape, stud_pe и protection_ID все как один показали AsProtect, только в версиях не сошлись. И только один RDG Packer Detector ничего не ответил???

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Gmc
Не успел... Каспром нормально распаковуеццо

PS
А зашиту отломал уже?

| Сообщение посчитали полезным:

0xy пишет:
А зашиту отломал уже?

Патчик то есть, смотрю щас как ключ генерится.

| Сообщение посчитали полезным:

Походу демо просто, код не проверяется гавнопрога одним словом

| Сообщение посчитали полезным:

хм.... странно
если просто пихнуть в PeiD 0.94 то Nothing found [Overlay] *
а если зайти по 1 call :
00401000 >/$ 68 01A05A00 PUSH ASmartCo.005AA001
00401005 |? E8 01000000 CALL ASmartCo.0040100B
и снять дамп то идет aspack 2-12 ......

ну в общем я подозревал что там аспр.... хотя как то я его легко обошел.. вот только отодрать не смог ) думал лоадер писать но это не эстетично )

пошел искать новые базы на PeiD )
Gmc
там код в теле аспра проверяется а по 40ad98 там надо занопить помоему или наоборот на jmp сменить не помню точно и все ок становится не помню уже неделю назад смотрел.... и еще ты хоть ASmartCore.exe смотришь?? )

ЗЫ всем посмотревшим спасибо

| Сообщение посчитали полезным:

Halt пишет:
там код в теле аспра проверяется а по 40ad98

Чето не похоже это на проверку... И как в теле аспака он проверяется, тоже не понятно... Этот участок вроде в теле проги.

0040AD89 FF51 34 CALL DWORD PTR DS:[ECX+34]
0040AD8C FF4B 1C DEC DWORD PTR DS:[EBX+1C]
0040AD8F 8D85 78F6FFFF LEA EAX,DWORD PTR SS:[EBP-988]
0040AD95 BA 02000000 MOV EDX,2
0040AD9A E8 CD9B1900 CALL DynamicB.005A496C <-
0040AD9F 66:C743 10 881C MOV WORD PTR DS:[EBX+10],1C88
0040ADA5 BA A70F5F00 MOV EDX,DynamicB.005F0FA7 ; ASCII "2241.02.12.06.1"
0040ADAA 8D85 74F6FFFF LEA EAX,DWORD PTR SS:[EBP-98C]
0040ADB0 E8 63991900 CALL DynamicB.005A4718
0040ADB5 FF43 1C INC DWORD PTR DS:[EBX+1C]
0040ADB8 8B10 MOV EDX,DWORD PTR DS:[EAX]
0040ADBA A1 00BE6200 MOV EAX,DWORD PTR DS:[_MainForm1]
0040ADBF 8B80 F0060000 MOV EAX,DWORD PTR DS:[EAX+6F0]

| Сообщение посчитали полезным:

Gmc
Halt пишет:
и еще ты хоть ASmartCore.exe смотришь??


| Сообщение посчитали полезным:

0xy
Точно, непонятки одни кто о чем говорит

| Сообщение посчитали полезным: