 |
eXeL@B —› Протекторы —› Подскажите в распаковке SLS2008 Aspr2.xx |
| Посл.ответ | Сообщение |
|
|
Создано: 20 августа 2008 16:33 · Личное сообщение · #1 Занимался распаковкой простых прог... А тут попалась посерьезнее прога "Справочник лекарственных средств 2008" (SLS2008)... Прога познавательная для дома, для быта... но ограничения!.. Защищена Аспром. PEID и DiE вроде показали на 2.хх. Ключ не нашел. Попробовал сам распаковывать (полуавтоматически). Потренировался сначала по туториалам на Аспре 1.2-1.3. Почитал и по 2.хх... Но на этой проге не получается никак... Воспользовался скриптом Aspr2.XX Unpacker 1.0SE для Олли (все кстати ломаю в этом отладчике, цивильный и вообще хороший!) получил дамп (не рабочий) и лог: Script Log Window Address Message EF011A AsprAPIloc: 00F3269C EF011A Aspr1stthunk: 0073AC84 F1600C SDK stolen code sections = 00000004 EF0024 Total API in this Asprotect = 0000000D EF0024 GetHardwareID 0072CA80 EF0024 GetModeInformation 0072CAA0 EF0024 GetKeyExpirationDate 0072CAE0 EF0024 GetKeyDate 0072CB10 EF0024 CheckKey 0072CB40 EF0024 RemoveKey 0072CB50 EF0024 GetRegistrationInformation 0072CB60 EF0156 CRC check at 0072BA70 72ABC8 SDK stolen code section address = 02000000 EF0030 SDK stolen code section address = 02010000 EF0030 SDK stolen code section address = 02020000 EF0030 SDK stolen code section address = 02030000 EF0030 Address of IAT = 0073A280 EF0030 RVA of IAT = 0033A280 EF0030 Size of IAT = 00000A88 EF0079 Address of OEP = 0072ABC8 EF0079 RVA of OEP = 0032ABC8 Затем ImpREC-ом по данным лога пытался восстановить IAT, ввел RVA of IAT, Size of IAT и Address of OEP из лога скрипта. Часть функций не восстановилось и судя по всему там и содержаться функции которые будут представлять интерес для инлайн-патча типа: CheckKey, GetRegistrationInformation и пр. Но как раз эти библиотеки и вызовы не знаю как восстановить в IAT. Пробовал плагин Aspr 2.xx для ImpREC-ка, безрезультатно. Может еще что-то со спертыми байтами надо делать? Короче затык! Прошу методической помощи!!! Или туториалы у кого есть, где показано как подобное решить в полуавтоматической распаковке... Короче, жду помощи!  |
|
|
Создано: 20 августа 2008 16:56 · Поправил: YDS · Личное сообщение · #2 PE40Rin Для распаковки с эмуляцией Аспровых API воспользуйся более свежей версией скрипта (есть на www.tuts4you.com). Сам прогу не смотрел (за этим к PE_Kill ;) ), но практически уверен в наличии в ней криптованных участков кода, т.е. вероятнее всего без ключа полноценно не распаковать. |
|
|
Создано: 20 августа 2008 18:00 · Личное сообщение · #3 YDS пишет: но практически уверен в наличии в ней криптованных участков кода Ты прав на 100... В свое время я ее тоже ковырял... ключ нужен однозначно.... + база данных лекарств которую можно скачать только купив ключ. ----- aLL rIGHTS rEVERSED! |
|
|
Создано: 20 августа 2008 21:15 · Поправил: Konstantin · Личное сообщение · #4 PE40Rin Какую версию проги ломаеш? Какой релиз - demo или retail? На ru-board выложена ломанная версия SLS 2008.0.0.6 *Russian* - Retail. Посмотри как там сделано, может поможет. В этом форуме загляни в раздел "RAR-статьи" там куча статей по распаковке аспра. CheckKey, GetRegistrationInformation и пр. Но как раз эти библиотеки и вызовы не знаю как восстановить в IAT. Эти функции ты импреком не восстановишь(это функции виртуальной dll аспра), их нужно либо фиксить в коде программы при этом удаляя их из импорта, скрипт от VolX вроде так и делает, либо самому создавать dll в которой они будут корректно фикситься). А вот это: 72ABC8 SDK stolen code section address = 02000000 EF0030 SDK stolen code section address = 02010000 EF0030 SDK stolen code section address = 02020000 EF0030 SDK stolen code section address = 02030000 Либо ручками, либо StripperX(может и не восстановить, зависит от версии аспра) |
|
|
Создано: 22 августа 2008 11:19 · Личное сообщение · #5 PE40Rin все уже сломано, да и без ключа все равно не сломать. Если не на паблик могу дать для исследования последнюю ПРОФ(!) версисю, которую ломал. ----- StarForce и Themida ацтой! |
|
|
Создано: 25 августа 2008 23:25 · Личное сообщение · #6 Konstantin пишет: Эти функции ты импреком не восстановишь(это функции виртуальной dll аспра), их нужно либо фиксить в коде программы при этом удаляя их из импорта, скрипт от VolX вроде так и делает, либо самому создавать dll в которой они будут корректно фикситься). Maximus пишет: PE40Rin все уже сломано, да и без ключа все равно не сломать. в своё время тоже пробовал распаковать... но ничего не получилось! в сети давно есть ломанная версия.... и там дейсвительно там некоторые апишки в отдельной длл-ке только вот прога будет полностью работоспособной, за исключением работы с интернетом. Интернет работать не будет, так как проверяется ключ на стороне keepsoft'a вот ссылка: dl2.filepost.ru/www9/files4/293bf10b2b2aff482420b1cbb54f8e8f/0473396148866873/6136890/SLS.2007.Incl.Cracked-Mr.Rex.zip если первая работать не будет сдесь всё необходимое в минимальном пакете: slil.ru/26088275 |
|
eXeL@B —› Протекторы —› Подскажите в распаковке SLS2008 Aspr2.xx |
Для печати