 |
eXeL@B —› Протекторы —› ASProtect 1.22-1.23 Beta 21 |
| << . 1 . 2 . 3 . 4 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 апреля 2005 00:01 · Личное сообщение · #1 Доброго всем времени суток! Недавно решил попробовать распаковать ASProtect,обчитался уже всяких статей,но так и не выходит... 
Значит цель - Advanced Registry Tracer 2.01 http://www.elcomsoft.com/download/art.zip Размер - 778240 байт Пытаясь найти OEP,пробую делать так: в SoftIce останавливаюсь на EP(00401000),далее bpx MapViewOfFile,точка останова срабатывает,удаляю её,bpx GetProcAddress,и программа вместо того,чтобы прерваться на GetProcAddress,просто стартует.Вопрос как такое может быть? Пытался также делать следующее: останавливаюсь в SoftIce на EP,набираю bpm esp-4,далее F5,оказываюсь тут: PUSHAD CALL 0062A00A JMP 45BFA4F7 PUSH EBP RET ... ...если нажать F5 ещё раз - запустится программа,а что делать в этом куске кода - ума не приложу,т.к. в распаковке я ещё совсем зелёный  .
Очень надеюсь на какие-нибудь советы,разъяснения с вашей стороны,господа. ----- the Power of Reversing team  |
|
|
Создано: 03 мая 2005 10:01 · Личное сообщение · #2 Ara Ara пишет: У тебя чистое ОЕР ...да,по-видимому,так и есть,но если,поставив правильную точку входа,оставить всё как есть,то программа рпи запуске начинает вываливаться с какой-то огромной цепочкой ошибок так,что приходится её через Диспетчер задач вырубать  .
Ara пишет: распаковка непонятной проги Программа называется Color Wheel Pro 2.0(ссылка того товарища вроде работает). ----- the Power of Reversing team |
|
|
Создано: 04 мая 2005 12:11 · Личное сообщение · #3 DillerInc Спасибо! а мог бы прислать распакованный файл на мыло al-open@yandex.ru у меня с распаковской плохо 
|
|
|
Создано: 04 мая 2005 20:49 · Личное сообщение · #4 aL MIR Вот если товарищи с форума помогут до конца разобраться со спёртыми командами,тогда вышлю  .
----- the Power of Reversing team |
|
|
Создано: 05 мая 2005 12:17 · Личное сообщение · #5 Вот только что-то не очень торопятся 
|
|
|
Создано: 05 мая 2005 12:33 · Личное сообщение · #6 DillerInc пишет: Вот если товарищи с форума помогут до конца разобраться со спёртыми командами Где твои байты? То, что ты привёл в недавнем посте и есть ОЕР(кажись). Посмотри, в какой секции лежит код, если в первой, тогда ОЕР и без спёртых байт. А вообще, в аспаке нет спёртых байт и не будет(наверное  . Ты наверное с импортом накосячил. Прога скомпилена не борландским компиллером? Если им, тогда размер импорта в ImpRec делай заранее 1000, бери импорт, отрезай неопознаные.
|
|
|
Создано: 10 мая 2005 21:52 · Личное сообщение · #7 Народ,вновь обращаюсь за помощью по поводу той программы - Color Wheel Pro 2.0 http://www.color-wheel-pro.com/downloads/color-wheel-pro.exe .Заканала она меня совсем  .
Проблема опять со спёртыми байтами.Путь прохождения к т.н. Temp OEP и возможные спёртые команды я описал выше в этом топике,а на самой этой временной точке входа творится следующее: 004C527B [EAX],AL ; если считать все эти нули,то получается,что ... 004C528D [EAX],AL ; буд-то спёрто аж 18 байтов 004C528F CALL 00406A78 XOR EAX,EAX ; <- оказываемся тут PUSH EBP PUSH XXXXXXXX PUSH DWORD PTR FS:[EAX] MOV FS:[EAX],ESP PUSH XXXXXXXX ... Я не могу понять на какой компилятор похож этот стартовый код и соответственно непонятно какие спёртые команды тут могут присутствовать.Ну и в конце концов,где эта долбаная OEP? ----- the Power of Reversing team |
|
|
Создано: 11 мая 2005 06:26 · Личное сообщение · #8 DillerInc Там был дельфи ;) Если есть желание могу дома глянуть каких там байтов не хватает ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 11 мая 2005 16:52 · Личное сообщение · #9 nice nice пишет: Если есть желание могу дома глянуть каких там байтов не хватает ...было бы очень здорово,т.к. если это Delphi,то там какая-то нетривиальная ситуация получается  .
----- the Power of Reversing team |
|
|
Создано: 19 мая 2005 14:34 · Личное сообщение · #10 Ну вот,это называется "обещанного три года ждут" .
----- the Power of Reversing team |
|
|
Создано: 19 мая 2005 18:12 · Поправил: nice · Личное сообщение · #11 DillerInc забыл... там 16 байт 1БАЙТ PUSH EBP 2 MOV EBP,ESP 3 ADD ESP,-14 2 XOR EAX,EAX 3 MOV [EBP-14],EAX 5 MOV EAX,04XXXXX ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 20 мая 2005 16:32 · Личное сообщение · #12 Доброго времени суток ALL! Совсем нет времени заходить на форум, работа забирает все время, но иногда мозги надо проветривать
DillerInc. Дружище nice привел тебе спертые байты. Вообще интересная эта фича. Если ты в дамп допишешь спертые байты, правильно восстановишь импорт он у тебя все равно не запустится. Там встроена проверка на упакованность ASPr'ом. Почитай здесь на сайте мою статью, тут точно такая проверка как в статье, ну почти такая , чуть болше. Можешь в дампе сделать поиск на эти проверки, т.е. по какой-нибудь строчке кода, из статьи, надеюсь сообразишь. На всякий случай можешь качнуть мой рабочий дамп, и посмотреть, как я обошел эти проверки. Попробуй поразбираться, вижу, что тебе интересно
Ссылка: www.webfile.ru/312665 Password:dfc Не знаю, когда смогу еще ответить. Good Luck. |
|
|
Создано: 20 мая 2005 16:54 · Поправил: crc1 · Личное сообщение · #13 DillerInc aL MIR Прога Color Wheel Pro Распаковывается легко, но PEiD говорит ASProtect 1.23 RC4 Registered Поэтому не все так просто OEP 004C527C Краденные байты PUSH EBP MOV EBP,ESP ADD ESP,-14 PUSH EBX PUSH ESI PUSH EDI XOR EAX, EAX MOV [EBP-14], EAX MOV EAX,004C4E94 После распаковки и восстановления импорта прога не запустится т.к. в нее зашита проверка на наличие протектора и может еще чего Падать прога будет тут Это процедура на проверку OEP. У ASPR'а OEP = 1000h без Image Base, у распакованной нет :0040D9E8 push ebp :0040D9E9 mov ebp, esp :0040D9EB push ecx :0040D9EC mov [ebp-01], 00 :0040D9F0 mov eax, dword ptr [004C7C5C] :0040D9F5 cmp byte ptr [eax], 00 :0040D9F8 jne 0040DA13 :0040D9FA push esi :0040D9FB mov esi, dword ptr [004C9718] :0040DA01 mov eax, dword ptr [esi+3C] :0040DA04 mov eax, dword ptr [eax+esi+28] :0040DA08 cmp ax, 1000 => вот она проверочка :0040DA0C je 0040DA12 => надо прыгнуть :0040DA0E or byte ptr [ebp-01], 01 :0040DA12 pop esi :0040DA13 cmp byte ptr [ebp-01], 00 :0040DA17 je 0040DA2C :0040DA19 xor ecx, ecx :0040DA1B mov dl, 01 :0040DA1D mov eax, dword ptr [00407BA0] :0040DA22 call 0040B660 :0040DA27 call 00403FA8 :0040DA2C pop ecx :0040DA2D pop ebp :0040DA2E ret |
|
|
Создано: 20 мая 2005 20:15 · Личное сообщение · #14 Благодарю всех за участие! Будем пробовать. ----- the Power of Reversing team |
|
|
Создано: 24 мая 2005 00:12 · Поправил: ValdiS · Личное сообщение · #15 DillerInc пишет: решил попробовать распаковать ASProtect,обчитался уже всяких статей,но так и не выходит... Значит цель - Advanced Registry Tracer 2.01 Блин, пошел я этим же путем. Думаю: "Эта версия аспра ничего, надо же и протекторы начинать "юзать"".  Больше ничего и не скажешь! Пока не получается. Исследовал в Олли. Останавливался на Call после pushad, переход на esp-4, бряк хардваре на доступ, F9 .... В конце концов эксепшин, пробиваешься с шифтом, прога запускается... ОбЫдно...
Зато увидел я в коде проги кучу хешей, заинтересовался. Взял делфи и налабал процедуру получения оных, т.е. вводишь 36 значный регистрационный номер, а получаешь хеш. В проге их хранится почти 8000 шт. Добавил пару процедурок, получился брут, правда пока корявый, но находится в развитии. Вопрос - кто исследовал данную прогу скажите, под один хеш подходит только 1 регистрационный номер или нет? Сами понимаете даже 10 в 32 степени - это круто! А если добавить буквочки (прописные да строчные, лат да рус) -  . В том то и вопрос: стоит брутить далее или забить. Может мысли какие есть, жду совета.
PS Да, а если кому не ломы, то можно алго действий для правильной распаковки данной проги под Олькой. И желательно не сильно привязываться к данной проге, а более универсально. Плз.
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 00:59 · Личное сообщение · #16 ValdiS пишет: В проге их хранится почти 8000 шт Прошу прощения, ввел в заблуждение - 4976 шт. Но все равно немало...
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 01:16 · Личное сообщение · #17 ValdiS если хеши получены одной из публичных хеш-функций, то забей. (md5,sha-1, ect) ----- once you have tried it, you will never want anything else |
|
|
Создано: 24 мая 2005 01:21 · Личное сообщение · #18 ValdiS пишет: под один хеш подходит только 1 регистрационный номер или нет?
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 01:27 · Личное сообщение · #19 Если кому интересно, то в аттаче прикреплены все хеши, единственно я добавил апострофы и запятые, чтобы легче было вставлять в Делфи проект.  dc1a_hash_got.rar
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 01:28 · Личное сообщение · #20 ValdiS это из опредиления хеш-функции известно. Одно сообщение => один хеш Другое сообщение => другой хеш ----- once you have tried it, you will never want anything else |
|
|
Создано: 24 мая 2005 01:36 · Личное сообщение · #21 gloom Спасибо. Тогда я думаю даже не стоит, тем более, что защита данной проги снимается правкой пары-тройки байт (в памяти исправлял - работает). Но только бы её расковырять и заставить дамп работать.
ValdiS пишет: Да, а если кому не ломы, то можно алго действий для правильной распаковки данной проги под Олькой. И желательно не сильно привязываться к данной проге, а более универсально. Плз. И желательно без плагинов и т.п., а вручную, главное - понять смысл, овладеть техникой, а остальное придет с опытом.
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 02:00 · Личное сообщение · #22 А это HashGen, я думаю, что после распаковки можно будет внедрить свой хеш вместо одного из стандартных и получить зарегистрированную прогу. 
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 02:02 · Личное сообщение · #23 |
|
|
Создано: 24 мая 2005 02:03 · Личное сообщение · #24 |
|
|
Создано: 24 мая 2005 14:13 · Личное сообщение · #25 Никто не хочет помочь с распаковкой?
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 24 мая 2005 18:13 · Личное сообщение · #26 ValdiS Посмотри в начало топика - там nice предлагает свою статью по распаковке ASProtect'а с помощью как раз Olly. ----- the Power of Reversing team |
|
|
Создано: 25 мая 2005 02:10 · Личное сообщение · #27 ValdiS У меня сохранился распакованный могу выложить если надо. |
|
|
Создано: 26 мая 2005 00:00 · Личное сообщение · #28 Ruller пишет: У меня сохранился распакованный могу выложить если надо. Да все это хорошо, можешь выложить, хотя лучше самому.
Лучше советом...
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 26 мая 2005 00:10 · Личное сообщение · #29 А каким советом,я его распаковщиком распаковывал,только не ломал на первой странице давал ссылку, но там наверное уже нету,завтра выложу снова. |
|
|
Создано: 26 мая 2005 00:58 · Личное сообщение · #30 Ruller пишет: я его распаковщиком распаковывал Нет, я хочу научиться ручками, а уже потом - буду распаковщиками.
Ruller пишет: завтра выложу снова Спасибо DillerInc пишет: Посмотри в начало топика - там nice предлагает свою статью по распаковке ASProtect'а с помощью как раз Olly DillerInc Спасибо, я ее уже прочитал n-цать раз, но пока никак...
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 26 мая 2005 01:04 · Личное сообщение · #31 Ruller пишет: только не ломал Его ломать нечего: берешь вводишь любую регистрацию, смотришь ее хеш в проге (можно в моем HashGen'e), находишь список валидных хешей в дампе, заменяешь своим, сохраняешься, опять вводишь свою регистрацию... И все ок. Но... Нужен работоспособный дамп...
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
| << . 1 . 2 . 3 . 4 . >> |
|
eXeL@B —› Протекторы —› ASProtect 1.22-1.23 Beta 21 |
Для печати