Здраствуйте, я занимаюсь изучением распаковки программа, накрытых аспротектором. Скачал с сайта tuts4you проги, пакованные разными версиями аспра. Что понравилось, то что там есть версии от A до G, по уровню сложности. Я был знаком с антидампом в аспре вида Call 01220000 по rar-статьям тут на сайте научился его снимать, даже скрипт написал сам.
Но вот в программе Unpackme_Asprotect.SKE.2.11.f.exe столкнулся с антидампами вида Call 01220004. На конце всегда цифра 4, но вот про этот вид антидампа на сайте ничего не нашел. Руками я научился его чинить, как я понял в них обычно 2-3 процедуры, а после прыжок в середину АПИ-функции. А теперь хочу научиться делать скрипты, потому что руками слишком много чинить.
Подскажите, пожалуйста, с написанием скрипта для этого. За что тут можно взяться ? Вот в первом типе антидампа используется LoadLibrary, которая возвращает имя и базу, которые мы может передать GetProcAddress и получить адрес апи. Поэтому тут все понятно как делать скрипт.
А вот что во втором типе антидампа взять за основу. Подскажите, пожалуйста.

| Сообщение посчитали полезным:

kola1357 пишет:
Здраствуйте, я занимаюсь изучением распаковки программа, накрытых аспротектором. Скачал с сайта tuts4you проги, пакованные разными версиями аспра. Что понравилось, то что там есть версии от A до G, по уровню сложности. Я был знаком с антидампом в аспре вида Call 01220000 по rar-статьям тут на сайте научился его снимать, даже скрипт написал сам.
Но вот в программе Unpackme_Asprotect.SKE.2.11.f.exe столкнулся с антидампами вида Call 01220004. На конце всегда цифра 4, но вот про этот вид антидампа на сайте ничего не нашел. Руками я научился его чинить, как я понял в них обычно 2-3 процедуры, а после прыжок в середину АПИ-функции. А теперь хочу научиться делать скрипты, потому что руками слишком много чинить.
Подскажите, пожалуйста, с написанием скрипта для этого. За что тут можно взяться ? Вот в первом типе антидампа используется LoadLibrary, которая возвращает имя и базу, которые мы может передать GetProcAddress и получить адрес апи. Поэтому тут все понятно как делать скрипт.
А вот что во втором типе антидампа взять за основу. Подскажите, пожалуйста.


Учи физику процесса. Анализируй сам прот и не будь макакой, которая что видит - то повторяет. Иначе такие вопросы ты будешь задавать вновь и вновь. Не умея разбирать алгоритмы и обучаясь тупо по туторам - далеко не уедешь. Задавай себе вопросы вида "А почему так, а не иначе" и ищи ответы в сети и PE формате. Уловишь суть - за аспром дело не встанет, т.к. все они однотипные, только механизмы реализации разные.

| Сообщение посчитали полезным:

Rainbow пишет:
Не умея разбирать алгоритмы и обучаясь тупо по туторам - далеко не уедешь.
Почему же ? Я же не сказал, что я все действия повторял как попугай, не понимая что делаю. Естественно всегда стараюсь разобраться и понять, почему автор в туторе делает именно так.

Вот по поводу антидампов вида Call 0122004. Там я говорил, что до выхода на апи функцию идет 2-3 процедуры, но как понять, что мы вышли на апи функцию ? У меня идея следить за регистром EIP и как только он указывает в секции длл типа kernel32, то считать, что мы уже в апи попали.

Но еще проблема с этим же видом дампа, то что он короткие апи функции полностью копирует, то есть вот функция IsDebuggerPresent состоит из 3 строк всего, и пакер ее всю скопирует в свою секцию, то есть прыжка в секцию kernel32 не будет. Поэтому вопрос как с этим быть в скрипте ? Самое примитивное, что пришло в голову, это сравнивать выполняемые команды с командами апи, которые прот эмолирует, но это не очень красиво получается. Есть ли более общее решение для этого ?

| Сообщение посчитали полезным:

Для того что бы сэмулить/своровать - надо сперва получить ее адрес, выделить место под StolenCode, прочитать (задизасмить), заморфить/замусорить, выправить секцию кода (поставить обработчик). Выбирай любое место и отучай его так делать любым доступным для тебя способом на любом из перечисленных этапов.

| Сообщение посчитали полезным:

50Hz_220B_1200W пишет:
Не задавай вопросы, а разбирайся сам.Местное *censored* тебе ничем все равно не поможет, только оскорбит и потроллит.

kola1357 пишет:
Ну значит они неудачники по жизни, таким можно только посочуствовать.

Не ребят, это видимо у вас мания величия.. И неудачники это не они, а вы, потому что они научились чему хотели. А вот вы еще ничего не сделав вообразили себя сверхудачными и всезнающими, при этом задавая реально тупые вопросы, не хотя даже просто поискать.

Добавлено спустя 0 минут
P.S. Если здесь все тупые, зачем пришли ?

| Сообщение посчитали полезным:

Rainbow пишет:
Выбирай любое место и отучай его так делать любым доступным для тебя способом
То есть тут тоже есть вариант типа Magic Jump, который решает делать антидамп или не делать ? Я обычно стараюсь как раз находить такой прыжок, чтобы иат самому не восстанавливать, а править переход и позволить пакеру заполнить иат верными адресами. А с антидампом такая техника тоже возможна ?

Добавлено спустя 42 минуты
Rainbow пишет:
Не ребят, это видимо у вас мания величия.. И неудачники это не они, а вы
У нас ? Это у вас, вы же сказали, что вопрос тупой, а в чем его тупость, мне вот интересно разбираться и изучать что-то новое.
Неудачники это те, кто тут троллит и оскорбляет, а делают это от недостатка ума.

Добавлено спустя 45 минут
Rainbow пишет:
не хотя даже просто поискать.
А тут вы не правы, я всегда сначала ищу в гугле, если найти не получается, пробую другие варианты. А про антидамп 2 типа можете сами поискать в гугле, я кучу туторов перерыл и тут, и на tuts4you. Это самые известные сайты по крекингу, но нет про это или упоминается вскользь. Антидампы 1-ого типа, про это много туторов, а вот со 2-ыми облом.

Добавлено спустя 46 минут
kola1357 пишет:
Если здесь все тупые
А вот и не все тут тупые, есть на форуме адекватные люди, которые стараются помочь, направить в нужную сторону.

| Сообщение посчитали полезным:

у меня есть ощущение, что kola1357 - твинк какого-то старожила, которому стало скучно.
С одной стороны он pe в блокноте редактирует, с другой - отчаянно борется с аспром. И это ещё не самые яркие перлы.

| Сообщение посчитали полезным: ClockMan, plutos

ТС уже не в первый раз замечен за постингом одного и того же по несколько раз. В следующий раз будет бан.

| Сообщение посчитали полезным: