ASProtect 1.23 RC4 - 1.3.08.24

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 03 марта 2009 23:48 · Поправил: coderess · Личное сообщение · #1 Добрый вечер. PEiD: ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov Скачать можно отсюда: www.aceclock.ru/files/aceclockxp.zip Пробовал сломать сабж, прога из запросов на взломов, отладчик вешает пока распаковываешь будь здоров, снял дамп и восстановил импорт, все равно не запускается. убрал несколько трюков - все равно, кто поможет добить сабж? ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

SemDJ Ранг: 114.1 (ветеран) Активность: 0.09↘0 Статус: Участник	Создано: 03 марта 2009 23:56 · Личное сообщение · #2 coderess Тоже пробовал не хрена не получилось запустить. ----- minimaL_patсh на руборде
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 03 марта 2009 23:59 · Поправил: progopis · Личное сообщение · #3 То-то я смотрю протектор лёгкий в запросах, а никто не снял. Я тоже пытался снять аспр с этой игрулины. От себя добавлю - не позволяет запускать больше одной копии. Поэтому когда висит отладчик, прога не запустится. Вот пример неких гадостей, которые можно в ней встретить после распаковки: Code: xor esi, esi lea edx, [ebp+var_20] xor eax, eax call sub_0_6BFF48 mov edx, [ebp+var_20] mov eax, ds:off_0_6E73A8 call sub_0_5055CC xor eax, eax push ebp push offset loc_0_6DE415 push dword ptr fs:[eax] mov fs:[eax], esp mov eax, esi mov edx, [eax] call dword ptr [edx+44h] xor eax, eax pop edx pop ecx pop ecx mov fs:[eax], edx jmp loc_0_6DE498 Обратите внимание на Code: xor esi, esi ... mov eax, esi ... mov edx, [eax] Это явно специально сделанное исключение. Что-то вроде jmp loc_0_6DE415
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 00:12 · Личное сообщение · #4 Вот ещё две дряни (явно против распаковки): Code: seg037:005FCCAC mov eax, ds:off_0_6E4A44 seg037:005FCCB1 add eax, 2 seg037:005FCCB4 mov eax, [eax] seg037:005FCCB6 mov eax, [eax] seg037:005FCCB8 mov ecx, eax seg037:005FCCBA movzx edx, word ptr [ecx] seg037:005FCCBD mov [ecx], dx seg037:005FCCC0 retn Следующая за ней процедура - точно такая же. Лично я патчил mov [ecx], dx на нопы
-=Hellsing=- Ранг: 25.8 (посетитель), 4thx Активность: 0.03↘0 Статус: Участник	Создано: 04 марта 2009 00:22 · Поправил: -=Hellsing=- · Личное сообщение · #5 Спасибо progopis что помог мне распаковать. Его дамп у меня тоже не получается запустить дамп первый раз вылетает по адресу 006DE403 Code: 006DE403 8B10 MOV EDX,DWORD PTR DS:[EAX] 006DE405 FF52 44 CALL DWORD PTR DS:[EDX+44] DS:[00000000]=??? EDX=00000000 Хиз знает, что должно быть в MOV EDX,??? и в оригинальной программе пока не удается посмотреть.
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 00:25 · Личное сообщение · #6 Это я описал выше. Это всего лишь SEH-трюк.
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 01:07 · Личное сообщение · #7 "HAXEPA T-I PACKOB-IP-T ¦PO+PAMMY?" программист похоже из наших...
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 04 марта 2009 01:14 · Поправил: Valemox · Личное сообщение · #8 coderess пишет: отладчик вешает пока распаковываешь будь здоров, Сними в настройках проги счетчик спидометра для мыши и удали все таймеры и будет летать в отладчике. А фокус с СЕХами весьма распостраненный для этой версии аспирина (RC4), но у меня дамп тож падает (грешу на кривой импорт).
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 01:19 · Личное сообщение · #9 Valemox Скинь плз свой импорт.
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 04 марта 2009 01:30 · Поправил: Valemox · Личное сообщение · #10 progopis пишет: Скинь плз свой импорт Приаттачить не выходит, дык кинул сюда (link del) Тока OEP походу неверный тут.
-=Hellsing=- Ранг: 25.8 (посетитель), 4thx Активность: 0.03↘0 Статус: Участник	Создано: 04 марта 2009 02:11 · Личное сообщение · #11 Valemox пишет: Сними в настройках проги счетчик спидометра для мыши и удали все таймеры и будет летать в отладчике. А фокус с СЕХами весьма распостраненный для этой версии аспирина (RC4), но у меня дамп тож падает (грешу на кривой импорт). После того как снять счетчик спидометра для мыши программа нормально запускается в отладчике там OEP даже не украдено OEP=006DE334.
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 03:59 · Поправил: progopis · Личное сообщение · #12 -=Hellsing=- OEP не украдено, но все равно байты с OEP взяты внутрь аспра, а затем прыжок не на начало OEP, а в то место до которого скопированы взятые байты. Первый раз вижу такой случай. Valemox Импорт по ходу верный у тебя. По крайней мере совпадает с моим. Только вот LoadLibraryExW у меня не было в конце.
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 14:19 · Личное сообщение · #13 Valemox Не, всё-таки LoadLibraryExW у тебя лишняя. Нет туда обращений. И не характерное местоположение у этой функции.
RSI Ранг: 284.8 (наставник), 6thx Активность: 0.15↘0 Статус: Участник	Создано: 04 марта 2009 14:31 · Личное сообщение · #14 Вот распакованный: rapidshare.com/files/205170458/aceclockxp_u.rar.html чтобы нормально работал еще нужно в ини файле поправить параметр. Correct=0 и тогда все работает!!!
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 04 марта 2009 14:38 · Поправил: daFix · Личное сообщение · #15 Распаковывал сам, поэтому на ошибку указать не могу. Тоже работает))) http://rapidshare.com/files/205172465/aceclockxp_unp.rar.html http://rapidshare.com/files/205172465/aceclockxp_unp.rar.html RSI пишет: чтобы нормально работал еще нужно в ини файле поправить параметр. Correct=0 и тогда все работает!!! Странно, ничего не менял ----- Research For Food
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 14:45 · Личное сообщение · #16 RSI У меня твой дамп не пашет. Даже с "Correct=0"
huckfuck Ранг: 49.6 (посетитель), 9thx Активность: 0.03↘0 Статус: Участник	Создано: 04 марта 2009 15:20 · Поправил: huckfuck · Личное сообщение · #17 Чтобы прога была зареганой, нужно чтобы AL=1 вот здесь: 006B94C0 . 8882 39060000 MOV BYTE PTR DS:[EDX+639], AL Чтобы прога не падала на исключениях, надо по этим адресам поставить RET'ы: 005FCC7C $ C3 RETN 005FCCAC C3 RETN 005FCCC4 $ C3 RETN 005FCCD8 $ C3 RETN 005FCD04 $ C3 RETN 005FCD2C C3 RETN
RSI Ранг: 284.8 (наставник), 6thx Активность: 0.15↘0 Статус: Участник	Создано: 04 марта 2009 15:35 · Личное сообщение · #18 daFix на твой дамп ругается "Порядковый номер 951 не найден в библиотеке DLL kernel32.dll" зря импорт только по ординалам прикручивал. progopis странно. мне кажется тут лучше всего инлайн сделать и не парится с распаковкой. Хотя после распаковки и обрубания исключений стала шустрее работать.
huckfuck Ранг: 49.6 (посетитель), 9thx Активность: 0.03↘0 Статус: Участник	Создано: 04 марта 2009 15:35 · Личное сообщение · #19 Вот распакованный, восстановленный и пропатченный вариант: slil.ru/27021019 775 кб.
RSI Ранг: 284.8 (наставник), 6thx Активность: 0.15↘0 Статус: Участник	Создано: 04 марта 2009 16:39 · Личное сообщение · #20 rapidshare.com/files/205209086/aceclockxp_inline.rar.html
SpoliatoR Ранг: 39.1 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 04 марта 2009 17:06 · Личное сообщение · #21 Хорошо что одолели... Только вот было бы интересно что бы кто нибудь нормально рассказал, что и как делалось. На будущее. Потомкам
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 04 марта 2009 18:09 · Поправил: Valemox · Личное сообщение · #22 RSI у меня наоборот твой дамп робит, а от daFix выдает ту же MB с 951-м номером. Кста, где нужно брякаться, чоб дамп содрать, не то на 006DE334 пролетает (верно первые 8 байт протом эмуляться у себя). progopis, насчет LoadLibraryExW, ты прав - это шлак.
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 18:32 · Поправил: progopis · Личное сообщение · #23 Брякаться нужно на HR ESP-4 потом два раза нажать на F9. Так ты придёшь на мусорный код, где выполняются спёртые байты. Если долго его трассировать по F7 (собирая спёртые байты), то можно придти сюда: Code: 00C56F44 68 3CE36D00 PUSH 6DE33C; OEP-8 00C56F49 68 CB6CC500 PUSH 0C56CCB 00C56F4E C3 RETN ...; много нулей Потом, когда ты узнал недоOEP (0x6DE33C), можешь ставить бряк на него, чтобы каждый раз так не париться. Вообще можно скрипт написать лёгкий для этого. Способ универсальный для всех прог, защищённых этой версией аспра. P.S. Кстати, кто знает почему в этой проге спёртые байты не спёрты? То есть стоят на своём месте, хотя не запускаются с родного места.
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 04 марта 2009 19:12 · Личное сообщение · #24 Чот тут не то, се равно, уж всяко пробовал, дампил на 6DE33C и даже импорт от анпака RSI прикручивал, а все также при запуске падает
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 04 марта 2009 19:22 · Личное сообщение · #25 Valemox Ты вот это патчил? Code: seg037:005FCCBD mov [ecx], dx Таких мест два - они рядом друг с другом.
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 04 марта 2009 19:28 · Поправил: Valemox · Личное сообщение · #26 Забыл про эту шнягу совсем, но она беспонту в дампе, теперь итак все пашет
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 04 марта 2009 20:02 · Личное сообщение · #27 progopis пишет: почему в этой проге спёртые байты не спёрты? Дык..тупо "забыли" затереть, такое раз пять встречалось, и на сишных и на дельфовых сабжах. ----- Чтобы юзер в нэте не делал,его всё равно жалко..

Для печати