Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› Анализ ASProtect
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 28 марта 2008 15:30 · Поправил: vnekrilov
· Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 11 декабря 2010 20:47
· Личное сообщение · #2

[0utC4St]

Интересный баг, скачаю и попробую. Спасибо за сообщение.



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 19 декабря 2010 13:23 · Поправил: vnekrilov
· Личное сообщение · #3

[0utC4St] пишет:
Увидел это когда плаг ODbgScript (1.78.3.0) приказал долго жить,

Причина оказалась очень простая. При очистке области имен API в секции импорта, скрипт выполняет инструкции:
Code:
  1. FIND Address_Name_DLL_API,#00000000000000000000#          
  2. MOV temp_1,$RESULT                           
  3. SUB temp_1,Address_Name_DLL_API                          
  4. FILL Address_Name_DLL_API,temp_1,00

т.е., он сначала ищет в конце секции импорта 20 нолей. В этой же программе, в конце секции импорта имеется всего лишь 8 нолей, поскольку она оказалась под завязку забита именами APIs. Поскольку скрипт столько нолей не нашел, то в переменной $RESULT он записал 0.

В результате выполнения последующих инструкций, код инструкции:
Code:
  1. FILL Address_Name_DLL_API,temp_1,00

стал таким:
Code:
  1. FILL Address_Name_DLL_API,0,00

И это вызвала появление указанной ошибки. Здесь нужно было выполнить трассирование скрипта в Script Window, и в переменную $RESULT надо было вручную записать конец секции импорта. В результате этого, скрипт нормально отработал, и распаковал программу.

Видимо, предусмотреть все нюансы, которые возникают при распаковке программ, практически невозможно. Именно для этих целей я ввел в текст скриптов диагностические сообщения, которые, в случае появления нестандартных ситуаций, позволят выяснить причину сбоев, и ввести корректировки в требуемые параметры.

[0utC4St]

Еще раз спасибо за это сообщение.

| Сообщение посчитали полезным: [0utC4St], mak


Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 19 декабря 2010 18:04
· Личное сообщение · #4

vnekrilov пишет:
Видимо, предусмотреть все нюансы, которые возникают при распаковке программ, практически невозможно.
Возможно, но не в скриптовом варианте.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: ARCHANGEL

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 19 декабря 2010 19:26
· Личное сообщение · #5

Эту ошибку скрипта можно устранить, добавив в него следующий код:

Code:
  1. FIND Address_Name_DLL_API,#00000000000000000000#          
  2. MOV temp_1,$RESULT 
  3. CMP temp_1,0
  4. JNE end_import_found
  5. GMEMI Start_Import_Table,MEMORYSIZE
  6. MOV temp_1,$RESULT
  7. ADD temp_1,Start_Import_Table,
  8.  
  9. end_import_found:
  10. SUB temp_1,Address_Name_DLL_API                          
  11. FILL Address_Name_DLL_API,temp_1,00


В аттаче я прикладываю два скрипта, в которых выполнена такая корректировка.


8fe8_19.12.2010_CRACKLAB.rU.tgz - Откорректированные скрипты от 19.12.2010.rar

| Сообщение посчитали полезным: BAHEK, Gideon Vi, [0utC4St], hlmadip

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 26 декабря 2010 16:39
· Личное сообщение · #6

На RU-BOARD появилась информация о том, что уже имеется Asprotect v2.59. Может ли кто-либо поделиться дистрибутивом (для анализа новинок)?




Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 26 декабря 2010 17:07
· Личное сообщение · #7

Там ничего нового, исправлен один баг.
- Fixed Keygen IDE crash

-----
Лучше быть одиноким, но свободным © $me

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 26 декабря 2010 20:06
· Личное сообщение · #8

BoRoV пишет:
Там ничего нового, исправлен один баг.

А выложить дистрибутив можно?




Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 03 января 2011 13:03 · Поправил: [0utC4St]
· Личное сообщение · #9

vnekrilov, ввиду того что фантик не пашет под win 7 с включённой опцией - custom handler exceptions возникает логичный вопрос: можно ли приспособить стронг вместо фантика, и если да, то с какими опциями.
(пишу сюда, ибо методом тыка определять нет времени)

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=


Ранг: 282.8 (наставник), 24thx
Активность: 0.260
Статус: Участник
win32.org.ru

 Создано: 03 января 2011 13:10
· Личное сообщение · #10

[0utC4St], зачем тогда ставить на виртуалку семерку, если под нее не работает нужный тебе софт?) поставь хп.

-----
may all your PUSHes be POPed!


Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 03 января 2011 14:06
· Личное сообщение · #11

Guru_eXe пишет:
зачем тогда ставить на виртуалку семерку
Ситуация обратная. Основная ось 7ка.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 03 января 2011 14:45
· Личное сообщение · #12

virtualized Olly for Win7 - www.woodmann.com/collaborative/tools./images/Bin_virtualized_Olly_for_Win7_2010-5-23_22.18_odbg110_win7.rar

Some beloved plugins for Olly stopped working when used with Windows7.
Among these are OllyAdvanced and Conditional Branch Logger just to name two of them.
To overcome this issue, I virtualized Olly and now the plugins are working again .
You can customize this Olly as usual. Note, that you have to set the Plugins- and UDD-directory when starting it for the first time. Unfortunately there is a small shortcoming - Every part of a plugin that is driver-based is NOT working. This is due to the fact, that drivers cannot be virtualized.
For instance, while everything else in OllyAdvanced is working, it's driver-based Anti-RTDSC is not. But that does not hinder the plugin to work great. The same goes for other plugins that have drivers involved. Sorry for that, virtualization nowadays is pretty good but not perfect.
Also, there may be an issue with non-latin charactersets which I'm unable to confirm because I haven't got a non-latin Windows.

Некоторые утверждали , что эта версия работает , но у меня отказывается открывать файлы, но тестировал на вме , на реальной нет ... может частично поможет решить вопрос

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 03 января 2011 15:00 · Поправил: [0utC4St]
· Личное сообщение · #13

mak, будем посмотреть.
Первое что бросается в глаза это:
mak пишет:
Unfortunately there is a small shortcoming - Every part of a plugin that is driver-based is NOT working.
Автор какбэ намекает на то, что фантик работать не будет (чуть меньше чем полностью)

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 04 января 2011 13:30
· Личное сообщение · #14

Я в курсе , я же это и выделил жирным , чтобы сделать акцент , а то можно подумать бездумно копирую все) ... если потестируешь , отпешись ПЛЗ , что пробовал , это лучше чем ничего

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 04 января 2011 15:04
· Личное сообщение · #15

mak, попробывал с плагином PuntosMagicos.dll = > падение
фантик тоже естественно падает с опцией - custom handler exceptions.
Больше несовместимых плагинов у меня нет.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=


Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 05 января 2011 03:45
· Личное сообщение · #16

mak пишет:
This is due to the fact, that drivers cannot be virtualized.

Ламер какой-то виртуализацией занимался. Люди вон Acronis Disk Director паковать умудряются.



Ранг: -0.5 (гость)
Активность: 0=0
Статус: Участник

 Создано: 05 января 2011 17:59 · Поправил: gosbez
· Личное сообщение · #17

всех приветствую!
может руки не оттуда растут, может мозг уже изрядно перегрузила, неделюпарюсь над ASProtect 2.1x.
не поддаётся он моему ремонту ((
может кто-нибудь подскажет,где нормальные "мануалы" достать (не удаленные с файлообменников)?
на асталависте была и не только там, не могу ничего найти.
руки уже опускаются.
интересует эта софтина ...
хочу разобраться.
надеюсь на помощь.



Ранг: 26.2 (посетитель), 6thx
Активность: 0.020
Статус: Участник

 Создано: 05 января 2011 19:31
· Личное сообщение · #18

В следующий раз пиши в запросы на взлом. Вот распакованный файл rghost.net/3873699

| Сообщение посчитали полезным: gosbez


Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 07 января 2011 13:25 · Поправил: [0utC4St]
· Личное сообщение · #19

vnekrilov, вот --> сабж <-- на котором не корректно работают скрипты.
Вникать не стал и лезть своими лапами в Ваш код скриптов.
Скорей всего некоретность где-то тут:
Поиск областей со Stolen Code и восстановление в них эмулированных инструкций.osc
Перенос Stolen Code в секцию файла ADATA.osc
Перенаправление прыжков из кода программы в новую секцию файла.osc

Кратко суть:
Готовый дамп после применении всех (нужных) скриптов имеет ссылки из кода программы в области Stolen Code записанные нулями.
То есть секция со Stolen-Code выглядит так:
Code:
  1. 007F6000    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  2. 007F6002    0B02            OR EAX,DWORD PTR DS:[EDX]
  3. 007F6004    0060 7F         ADD BYTE PTR DS:[EAX+7F],AH
  4. 007F6007    0000            ADD BYTE PTR DS:[EAX],AL
  5. 007F6009    000C02          ADD BYTE PTR DS:[EDX+EAX],CL
  6. 007F600C    C060 7F 00      SHL BYTE PTR DS:[EAX+7F],0               ; Изменение константы вне диапазона 1..31
  7. 007F6010    0000            ADD BYTE PTR DS:[EAX],AL
  8. 007F6012    0E              PUSH CS
  9. 007F6013    0270 61         ADD DH,BYTE PTR DS:[EAX+61]
  10. 007F6016    7F 00           JG SHORT 007F6018
  11. 007F6018    0000            ADD BYTE PTR DS:[EAX],AL
  12. 007F601A    0F0230          LAR ESI,DWORD PTR DS:[EAX]
  13. 007F601D    627F 00         BOUND EDI,QWORD PTR DS:[EDI]
  14. 007F6020    0000            ADD BYTE PTR DS:[EAX],AL
  15. 007F6022    1002            ADC BYTE PTR DS:[EDX],AL
  16. 007F6024    B0 62           MOV AL,62
  17. 007F6026    7F 00           JG SHORT 007F6028
  18. 007F6028    0000            ADD BYTE PTR DS:[EAX],AL
  19. 007F602A    1102            ADC DWORD PTR DS:[EDX],EAX
  20. 007F602C    2063 7F         AND BYTE PTR DS:[EBX+7F],AH
  21. 007F602F    0000            ADD BYTE PTR DS:[EAX],AL
  22. 007F6031    0012            ADD BYTE PTR DS:[EDX],DL
  23. 007F6033    0270 65         ADD DH,BYTE PTR DS:[EAX+65]
  24. 007F6036    7F 00           JG SHORT 007F6038
  25. 007F6038    0000            ADD BYTE PTR DS:[EAX],AL
  26. 007F603A    1302            ADC EAX,DWORD PTR DS:[EDX]
  27. 007F603C    1066 7F         ADC BYTE PTR DS:[ESI+7F],AH
  28. 007F603F    0000            ADD BYTE PTR DS:[EAX],AL
  29. 007F6041    0015 02A0667F   ADD BYTE PTR DS:[7F66A002],DL
  30. 007F6047    0000            ADD BYTE PTR DS:[EAX],AL
  31. 007F6049    0016            ADD BYTE PTR DS:[ESI],DL
  32. 007F604B    02F0            ADD DH,AL
  33. 007F604D  - 66:7F 00        JG SHORT 00006050
  34. 007F6050    0000            ADD BYTE PTR DS:[EAX],AL
  35. 007F6052    17              POP SS                                   ; Модификация сегментного регистра
  36. 007F6053    0270 67         ADD DH,BYTE PTR DS:[EAX+67]
  37. 007F6056    7F 00           JG SHORT 007F6058
  38. 007F6058    0000            ADD BYTE PTR DS:[EAX],AL
  39. 007F605A    14 02           ADC AL,2
  40. 007F605C    B0 67           MOV AL,67
  41. 007F605E    7F 00           JG SHORT 007F6060
  42. 007F6060    0000            ADD BYTE PTR DS:[EAX],AL
  43. 007F6062    0000            ADD BYTE PTR DS:[EAX],AL
  44. 007F6064    0000            ADD BYTE PTR DS:[EAX],AL
  45. 007F6066    0000            ADD BYTE PTR DS:[EAX],AL
  46. 007F6068    0000            ADD BYTE PTR DS:[EAX],AL
  47. ...
  48. 007F60BA    0000            ADD BYTE PTR DS:[EAX],AL
  49. 007F60BC    0000            ADD BYTE PTR DS:[EAX],AL
  50. 007F60BE    0000            ADD BYTE PTR DS:[EAX],AL
  51. 007F60C0    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  52. 007F60C2    0000            ADD BYTE PTR DS:[EAX],AL
  53. 007F60C4    0000            ADD BYTE PTR DS:[EAX],AL
  54. ...
  55. 007F6168    0000            ADD BYTE PTR DS:[EAX],AL
  56. 007F616A    0000            ADD BYTE PTR DS:[EAX],AL
  57. 007F616C    0000            ADD BYTE PTR DS:[EAX],AL
  58. 007F616E    0000            ADD BYTE PTR DS:[EAX],AL
  59. 007F6170    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  60. 007F6172    0000            ADD BYTE PTR DS:[EAX],AL
  61. 007F6174    0000            ADD BYTE PTR DS:[EAX],AL
  62. 007F6176    0000            ADD BYTE PTR DS:[EAX],AL
  63. 007F6178    0000            ADD BYTE PTR DS:[EAX],AL
  64. ...
  65. 007F61C8    0000            ADD BYTE PTR DS:[EAX],AL
  66. 007F61CA    0000            ADD BYTE PTR DS:[EAX],AL
  67. 007F61CC    0000            ADD BYTE PTR DS:[EAX],AL
  68. 007F61CE    0000            ADD BYTE PTR DS:[EAX],AL
  69. 007F61D0    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  70. 007F61D2    0000            ADD BYTE PTR DS:[EAX],AL
  71. 007F61D4    0000            ADD BYTE PTR DS:[EAX],AL
  72. 007F61D6    0000            ADD BYTE PTR DS:[EAX],AL
  73. 007F61D8    0000            ADD BYTE PTR DS:[EAX],AL
  74. ...
  75. 007F6224    0000            ADD BYTE PTR DS:[EAX],AL
  76. 007F6226    0000            ADD BYTE PTR DS:[EAX],AL
  77. 007F6228    0000            ADD BYTE PTR DS:[EAX],AL
  78. 007F622A    0000            ADD BYTE PTR DS:[EAX],AL
  79. 007F622C    0000            ADD BYTE PTR DS:[EAX],AL
  80. 007F622E    0000            ADD BYTE PTR DS:[EAX],AL
  81. 007F6230    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  82. 007F6232    0000            ADD BYTE PTR DS:[EAX],AL
  83. 007F6234    0000            ADD BYTE PTR DS:[EAX],AL
  84. 007F6236    0000            ADD BYTE PTR DS:[EAX],AL
  85. 007F6238    0000            ADD BYTE PTR DS:[EAX],AL
  86. ...
  87. 007F62A6    0000            ADD BYTE PTR DS:[EAX],AL
  88. 007F62A8    0000            ADD BYTE PTR DS:[EAX],AL
  89. 007F62AA    0000            ADD BYTE PTR DS:[EAX],AL
  90. 007F62AC    0000            ADD BYTE PTR DS:[EAX],AL
  91. 007F62AE    0000            ADD BYTE PTR DS:[EAX],AL
  92. 007F62B0    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  93. 007F62B2    0000            ADD BYTE PTR DS:[EAX],AL
  94. 007F62B4    0000            ADD BYTE PTR DS:[EAX],AL
  95. 007F62B6    0000            ADD BYTE PTR DS:[EAX],AL
  96. 007F62B8    0000            ADD BYTE PTR DS:[EAX],AL
  97. 007F62BA    0000            ADD BYTE PTR DS:[EAX],AL
  98. ...
  99. 007F6316    0000            ADD BYTE PTR DS:[EAX],AL
  100. 007F6318    0000            ADD BYTE PTR DS:[EAX],AL
  101. 007F631A    0000            ADD BYTE PTR DS:[EAX],AL
  102. 007F631C    0000            ADD BYTE PTR DS:[EAX],AL
  103. 007F631E    0000            ADD BYTE PTR DS:[EAX],AL
  104. 007F6320    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  105. 007F6322    0000            ADD BYTE PTR DS:[EAX],AL
  106. 007F6324    0000            ADD BYTE PTR DS:[EAX],AL
  107. 007F6326    0000            ADD BYTE PTR DS:[EAX],AL
  108. 007F6328    0000            ADD BYTE PTR DS:[EAX],AL
  109. ...
  110. 007F656A    0000            ADD BYTE PTR DS:[EAX],AL
  111. 007F656C    0000            ADD BYTE PTR DS:[EAX],AL
  112. 007F656E    0000            ADD BYTE PTR DS:[EAX],AL
  113. 007F6570    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  114. 007F6572    0000            ADD BYTE PTR DS:[EAX],AL
  115. 007F6574    0000            ADD BYTE PTR DS:[EAX],AL
  116. 007F6576    0000            ADD BYTE PTR DS:[EAX],AL
  117. ...
  118. 007F65E0    0000            ADD BYTE PTR DS:[EAX],AL
  119. 007F65E2    0000            ADD BYTE PTR DS:[EAX],AL
  120. 007F65E4    0000            ADD BYTE PTR DS:[EAX],AL
  121. 007F65E6    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  122. 007F65E8    0000            ADD BYTE PTR DS:[EAX],AL
  123. 007F65EA    0000            ADD BYTE PTR DS:[EAX],AL
  124. ...
  125. 007F660C    0000            ADD BYTE PTR DS:[EAX],AL
  126. 007F660E    0000            ADD BYTE PTR DS:[EAX],AL
  127. 007F6610    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  128. 007F6612    0000            ADD BYTE PTR DS:[EAX],AL
  129. 007F6614    0000            ADD BYTE PTR DS:[EAX],AL
  130. 007F6616    0000            ADD BYTE PTR DS:[EAX],AL
  131. ...
  132. 007F6698    0000            ADD BYTE PTR DS:[EAX],AL
  133. 007F669A    0000            ADD BYTE PTR DS:[EAX],AL
  134. 007F669C    0000            ADD BYTE PTR DS:[EAX],AL
  135. 007F669E    0000            ADD BYTE PTR DS:[EAX],AL
  136. 007F66A0    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  137. 007F66A2    0000            ADD BYTE PTR DS:[EAX],AL
  138. 007F66A4    0000            ADD BYTE PTR DS:[EAX],AL
  139. 007F66A6    0000            ADD BYTE PTR DS:[EAX],AL
  140. ...
  141. 007F66E8    0000            ADD BYTE PTR DS:[EAX],AL
  142. 007F66EA    0000            ADD BYTE PTR DS:[EAX],AL
  143. 007F66EC    0000            ADD BYTE PTR DS:[EAX],AL
  144. 007F66EE    0000            ADD BYTE PTR DS:[EAX],AL
  145. 007F66F0    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  146. 007F66F2    0000            ADD BYTE PTR DS:[EAX],AL
  147. 007F66F4    0000            ADD BYTE PTR DS:[EAX],AL
  148. ...
  149. 007F676C    0000            ADD BYTE PTR DS:[EAX],AL
  150. 007F676E    0000            ADD BYTE PTR DS:[EAX],AL
  151. 007F6770    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  152. 007F6772    0000            ADD BYTE PTR DS:[EAX],AL
  153. 007F6774    0000            ADD BYTE PTR DS:[EAX],AL
  154. 007F6776    0000            ADD BYTE PTR DS:[EAX],AL
  155. ...
  156. 007F67AA    0000            ADD BYTE PTR DS:[EAX],AL
  157. 007F67AC    0000            ADD BYTE PTR DS:[EAX],AL
  158. 007F67AE    0000            ADD BYTE PTR DS:[EAX],AL
  159. 007F67B0    0000            ADD BYTE PTR DS:[EAX],AL                 ; * Дистанция прыжка из кода программы:
  160. ...

Иначе говоря, область Stolen Code не полностью найдена/перенесена.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 08 января 2011 16:46
· Личное сообщение · #20

[0utC4St]

Я нормально распаковал и запустил программу с помощью имеющегося комплекта скриптов. Вами, при запуске скрипта "Перенаправление прыжков из кода программы в новую секцию файла.osc" была допущена ошибка. По желанию крякера, который распаковывает программу, он может секцию со стыренным кодом перенести на место секции RSRC или ADATA. Этот скрипт, при своем запуске спрашивает, куда Вы вставили новую секцию со спертым кодом: если на место секции RSRC, то нажмите кнопку ДА, а если на место секции ADATA, то нажмите кнопку НЕТ. Размер секции с украденным кодом равен 1000h байтов. И, если Вы по ошибке нажали кнопку ДА, хотя секцию вставили на место ADATA, то у Вас произойдет смещение адресов, и прыжки будут направлены на пустое место. Здесь просто нужно быть внимательными, и читать вопросы, которые задают скрипты.




Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 08 января 2011 16:50 · Поправил: [0utC4St]
· Личное сообщение · #21

vnekrilov, насколько я помню я выполнял верную последовательность.
Переносил в ADATA и отвечал НЕТ на вопрос скрипта. Сейчас ещё раз выполню распаковку....
Вы правы. Косяк у меня. (Рождество не прошло незаметно ) Извините.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 10 января 2011 01:17
· Личное сообщение · #22

Gideon Vi пишет:
vnekrilov, может быть зальешь актуальные версии скриптов одним архивом?

Tyra пишет:
Прошу прощения за ОФФ, но где 15-я часть ?

--> Link <--


Собираю повторно архив с последним комплектом , перезалейте пожалуйста 15 ую часть , пишет

Code:
  1. 502
  2. технические работы ведутся до 11 января, приносим свои извинения за неудобства


-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


Ранг: 109.3 (ветеран), 55thx
Активность: 0.060
Статус: Участник
Yes! I_m noob!

 Создано: 10 января 2011 01:21 · Поправил: [0utC4St]
· Личное сообщение · #23

mak пишет:
перезалейте пожалуйста 15 ую часть
Распаковка ASProtect (Часть 15).chm

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным: mak


Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 10 января 2011 06:08 · Поправил: Gideon Vi
· Личное сообщение · #24

Кучки всего, что проскакивало в теме. Скрипты должны быть свежими.
multi-up.com/409649, g.zhubajie.com/urllink.php?id=10516421peet5j9pm2g4ivt5, ifolder.ru/21233211
pass: vnekrilov

| Сообщение посчитали полезным: [0utC4St]

Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

 Создано: 09 февраля 2011 20:47 · Поправил: VodoleY
· Личное сообщение · #25

vnekrilov Поклон до земли за проделанную работу. Редко появляется такой качественный материал. По себе знаю когда кому-то пытаешся что то объяснить все рассказать невозможно. Конкретно я уперся в TLS (недостатки образования). Начал копать, наткнулся на статьи арчи(ну по крайней мере я так решил)
Борьба с Asprotect .1..3
http://forum.reverse4you.org/showthread.php?t=74
http://forum.reverse4you.org/showthread.php?t=126
http://forum.reverse4you.org/showthread.php?t=416
З.Ы. тоже самое вроде, но другой взгляд на проблему
Мне помогло, может тоже комуто поможет. Тебе респект мужик!!!
З.Ы, Удачи тебе и жду новых твоих статей

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 09 февраля 2011 21:16
· Личное сообщение · #26

Если ты имел в виду меня, то это не мои статьи, я статей не пишу.
Видимо, это архангел, на этом форуме он тоже есть.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 10 февраля 2011 08:36
· Личное сообщение · #27

TLS в ASProtect не нужно восстанавливать, он ее не удаляет. Достаточно найти оригинальную в распакованном файле и поправить значения в заголовке.

-----
Yann Tiersen best and do not fuck

Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

 Создано: 10 февраля 2011 09:56
· Личное сообщение · #28

PE_Kill а вот не нашел я его .Я прочитал, что не должен портить..Пришлось ворганить новый ТЛС.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

Ранг: 87.8 (постоянный), 10thx
Активность: 0.070
Статус: Участник

 Создано: 10 февраля 2011 10:12 · Поправил: gena-m
· Личное сообщение · #29

Пришлось ворганить новый ТЛС - это как, если ее небыло в оригинале?
Возможны два варианта если есть ТЛС то она находится и переносится как сказал PE_Kill, если она не находится, в таком случае ТЛС нет и забиваются ноли.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

 Создано: 10 февраля 2011 10:16
· Личное сообщение · #30

вот она ключевая фраза, забиваются нули - заголовок нужно править после распаковки




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 10 февраля 2011 10:34
· Личное сообщение · #31

Не пойму о чем вы. Если в запакованном файле нет TLS, то и в распакованном ее не будет и не надо ничего править. Если она есть в запакованном, то ее нужно найти в распакованном.

VodoleY пишет:
а вот не нашел я его
Жертву в студию.

-----
Yann Tiersen best and do not fuck
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати