Доброго всем времени суток!
Недавно решил попробовать распаковать ASProtect,обчитался уже всяких статей,но так и не выходит...
Значит цель - Advanced Registry Tracer 2.01 http://www.elcomsoft.com/download/art.zip
Размер - 778240 байт
Пытаясь найти OEP,пробую делать так:
в SoftIce останавливаюсь на EP(00401000),далее bpx MapViewOfFile,точка останова срабатывает,удаляю её,bpx GetProcAddress,и программа вместо того,чтобы прерваться на GetProcAddress,просто стартует.Вопрос как такое может быть?
Пытался также делать следующее:
останавливаюсь в SoftIce на EP,набираю bpm esp-4,далее F5,оказываюсь тут:
PUSHAD
CALL 0062A00A
JMP 45BFA4F7
PUSH EBP
RET
...
...если нажать F5 ещё раз - запустится программа,а что делать в этом куске кода - ума не приложу,т.к. в распаковке я ещё совсем зелёный .

Очень надеюсь на какие-нибудь советы,разъяснения с вашей стороны,господа.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Дамп полностью рабочий,upx снимешь сам ключ [-D] не ниже [v1.25].
hxxp://www.webfile.ru/320574

| Сообщение посчитали полезным:

Ruller
За дамп спасибо, но буду стараться сам. В принципе я до ОЕР дошел, дамп снял, краденные байты восстановил, сейчас проблема с импортом. У меня 3 плагина к ImpREC для ASP-ta, но ни один пока не помог. Слишком много неопределившихся call-ов. Буду искать далее...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

А мой файл у тебя запускается нормально?
Расскажи как мне раскопать валидный ключик желательно поподробнее,а то у меня не получается.

| Сообщение посчитали полезным:

Ruller пишет:
А мой файл у тебя запускается нормально?
Да, без проблем. Спасибо.


Ruller пишет:
Расскажи как мне раскопать валидный ключик желательно поподробнее,а то у меня не получается.
Используй hashgen, чтобы заменить валидный hash из проги, я об этом писал выше. А иначе надо брутить, а это . 36 в степени 10 - это только, если в регистрации одни цифры...

Ruller
Какие у тебя есть примочки к ImpREC? Поделись, плз

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Ruller
Это начало валидных хешей в твоем файле
004C5C9C . FFFFFFFF DD FFFFFFFF
004C5CA0 . 20000000 DD 00000020
004C5CA4 . 39 42 36 31 43>ASCII "9B61CAA5B1162984"
004C5CB4 . 43 30 39 33 45>ASCII "C093E1205CE2A4F7"
004C5CC4 . 00 ASCII 0
004C5CC5 00 DB 00

А это конец
004FB3AE 00 DB 00
004FB3AF 00 DB 00
004FB3B0 . FFFFFFFF DD FFFFFFFF
004FB3B4 . 20000000 DD 00000020
004FB3B8 . 44 44 43 31 41>ASCII "DDC1A2E21E005E76"
004FB3C8 . 37 31 34 45 38>ASCII "714E885D35C8D4F2"
004FB3D8 . 00 ASCII 0
004FB3D9 00 DB 00
004FB3DA 00 DB 00

И между ними ещё туева куча, меняй любой и будет тебе счастье.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Да мне не чтобы менять а где и как происходит сравнение,я немогу понять.

| Сообщение посчитали полезным:

Процедура генерации хеша - начало:
004C4854 /$ 55 PUSH EBP
004C4855 |. 8BEC MOV EBP,ESP
004C4857 |. 83C4 E4 ADD ESP,-1C
004C485A |. 894D F8 MOV DWORD PTR SS:[EBP-8],ECX
004C485D |. 8955 E4 MOV DWORD PTR SS:[EBP-1C],EDX
.
.
.

004C5116 |. 8B55 EC MOV EDX,DWORD PTR SS:[EBP-14]
004C5119 |. 0150 08 ADD DWORD PTR DS:[EAX+8],EDX
004C511C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
004C511F |. 8B55 E8 MOV EDX,DWORD PTR SS:[EBP-18]
004C5122 |. 0150 0C ADD DWORD PTR DS:[EAX+C],EDX
004C5125 |. 8BE5 MOV ESP,EBP
004C5127 |. 5D POP EBP
004C5128 \. C2 0400 RETN 4

Это конец.
Далее идет процедура сравнения (внимательно смотри на значения стека)

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Всем
Какие у кого есть примочки к ImpREC? Кому не жалко поделитесь, плиз.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Если ко может то подскажите как восстановить 9 неопреелившихся апи ф-цй после аспра!?

| Сообщение посчитали полезным:

ValdiS пишет:
Какие у кого есть примочки к ImpREC?

Ты напиши, какие есть у тебя.

| Сообщение посчитали полезным:

Antibug
ты статьи читал??

там же есть вид наиболее часто неопределяющихся функций

| Сообщение посчитали полезным:

ValdiS

ValdiS пишет:
Какие у кого есть примочки к ImpREC?

...например,ASProtect 1.22...НО!!! - не знаю как в Olly,а SI после того,как заNOPишь процедуру,которая генерирует переходники для импорта,необходимо её затем восстановить,иначе ASProtect покажет тебе дулю в ImpRec,обнаружив изменения в своём коде.А вот если в нужный момент восстановить её,тогда в ImpRec не определятся лишь 8-9 каких-нибудь функций,которые уже можно будет восстановить с помощью плагина ASProtect 1.22 .

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Halt пишет:
Antibug
ты статьи читал??
Читал иначе бы не спрашивал но там лажа какая-та!Они не совпадают(код переходников не совпадает)!

| Сообщение посчитали полезным:

DillerInc пишет:
тогда в ImpRec не определятся лишь 8-9 каких-нибудь функций,которые уже можно будет восстановить с помощью плагина ASProtect 1.22
А подробнее, вчера ручками более 300 функций восстанавливал...

NIKOLA
Список моих plugin в аттаче


f0e6_ImpREC plugin.bmp

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Блин, снял дамп, присобачил импорт, восстановил краденные байты, но по ошибке вылетает... Что делать?
В аттаче мой импорт и крад. байты. Может кто проверит у себя...
Да, а в каком месте надо делать дамп (до запуска кр. байт, до их затирания, до tempOEP, ...)? Может дело в дампе? Удалять секции аспра необходимо или можно оставить в принципе (как в ASPack)? Какие еще могут быть заморочки?

2e40_arch.rar

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Antibug
а dizasm функций слабо привети (тока в оттаче) а то у меня таблы со святым духом, я функции на расстоянии не определяю еще пока ))

| Сообщение посчитали полезным:

ValdiS
у тя FindResourceA - нормально определлась или ты руками определял? если руками то как - плагином или действительно руками ??

просто я тут уже писал у регет делюкс версии 4,1 build 240 с таким же аспром эта функция оказалась не FindResourceA а DialogBoxParamW - почему - х.з. тока руками определил а до этого прога вылетала с ошибкой

ps не пинать - факт- вещь не оспоримая ))

ну и никуда не делся вариант неправильног импорт/определения спертых байт

| Сообщение посчитали полезным:

Halt пишет:
у тя FindResourceA - нормально определлась или ты руками определял? если руками то как - плагином или действительно руками ??
Не помню, но kernel32 функции почти все восстанавливал ручками...
А определял без плагина: при помощи ImpRECa (ПКМ->Disassemble/Hex view и т.д.).

Ruller
С хешами разобрался или как?

Всем
Никто не заценил мой импорт и краденные байты? И что с плагинами к ImpRECу?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
И что с плагинами к ImpRECу?

Выбирай.



0175_Snap2.png

| Сообщение посчитали полезным:

NIKOLA
К ASProtect все и ACProtect, плз. Выложи где-нибудь или ссылку дай...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
К ASProtect все и ACProtect, плз. Выложи где-нибудь или ссылку дай...

держи...


63b2_Plugin.rar

| Сообщение посчитали полезным:

arnix
Спасибо

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

>С хешами разобрался или как?
Неа нифига я непонимаю что делать,кукундель уже съехал в конец,решил взять передышку.

| Сообщение посчитали полезным:

Ruller пишет:
кукундель уже съехал в конец
И такое бывает...
Задавай вопросы, чем смогу, тем помогу.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Наконец-то, заработало...
Дамп был нормальный, а восстановленный импорт кривоват. Использовал плагины к ImpREC (arnix еще раз спасибо), все хорошо. Да, это было непросто (все таки первый раз), но опыт получен незаменимый...

Ruller
Как ты настолько уменьшил дамп: у тебя - 1 747 968 байт, у меня - 2 367 488 байт. Простое удаление секций ASprotect'a такого результата не дает. Объясни, как получилось... Заранее благодарен.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Я честно сказать уже не помню,как там всё происходило,сколько времени уже прошло,попробуй ребилд
сделать на своём дампе.Нодо будет Sabbath Black предложить перевести прогу на русский.
Да вот всё хотел спросить, [HashGen.exe] не запускается,я так и не понял для чего он?

| Сообщение посчитали полезным:

Ruller пишет:
[HashGen.exe] не запускается
Как не запускается?!
Собираешь 2 тома архива, получаешь 1 файл. Запускаешь его: в верхней строке вводишь свою регистрацию (должна быть 36 символов!!!), как только будет 36, то в нижней строке появится сгенеренный хеш. Им (сгенеренным хешем) заменяешь прописанный в программе (из списка выше по топику), потом запускаешь прогу (ART), вводишь свою регистрацию (она хранится в реестре в открытом виде), и прога зарегистрена. И не нужно брутить. Я уже проверил, работает на все 100%.

Ruller пишет:
попробуй ребилд
сделать на своём дампе
Чем посоветуешь?


f4f8_Hashgen.bmp

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Ну блин не запускается,толко сейчас ещё раз скачал и нифига.
Кто чем ребилдит,попробуй [PE Optimizer1.4]

| Сообщение посчитали полезным:

Ruller пишет:
Ну блин не запускается
Что пишет-то?

Всем
Кто-нибудь еще проверял, у кого как?! Посмотрите, плз.

Ruller
Попробуй по ссылке, пароль: 12321

webfile.ru/327715 до 00:05 14.06.2005

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Ruller пишет:
попробуй [PE Optimizer1.4]
Линк есть или как обычно в поисковик залазить?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным: