 |
eXeL@B —› Протекторы —› Распаковка "ART" ASProtect 1.2x - 1.3x |
| Посл.ответ | Сообщение |
|
|
Создано: 08 июля 2005 22:37 · Личное сообщение · #1 В апреле был топик по распасовке "art" http://exelab.ru/f/action=vthread&forum=1&topic=1965&page= 0#1 где crc1 предлогал следуюшее: Делай так: Тормози на EP, далее по F10 до PUSHAD CALL 0062A00A ;тут тормозни и bpm esp-04 JMP 45BFA4F7 PUSH EBP RET 19 раз жми F5, попадешь сюда :00EC4CC1 5D POP EBP ........... ;немного кода и перед REt'ом увидишь спертые байты Уважаемые спецы помогите разобратся? почему на 19цатом "жми" у меня запускается прога. Сначало я грешил на глючную работу SoftIce в winXP, но как оказалось в 9x таже проблема. при чём и в SoftIce и TRW2000 одинаково. Не однократные попытки трассировки после 18цатого "жми" по F10 а местами по F8 к заветным спёртым байтам так и не привели. Заранее благодарен за ответы.  |
|
|
Создано: 08 июля 2005 23:25 · Личное сообщение · #2 да потому что неправельный способ что-то там считать... это ему повезло просто, на его машине, что такая случайность ... ----- Пиво, сиськи, транс |
|
|
Создано: 09 июля 2005 07:07 · Личное сообщение · #3 -= ALEX =- Всё понял. Просто выбрал самый лёгкий путь и зациклился на нём. |
|
|
Создано: 09 июля 2005 12:56 · Личное сообщение · #4 shel_nik Допустим,что отложим пока эти спёртые байты с OEP. У тебя получается с импортом разобраться (в частности как написано в статье у -= ALEX =-) ? ----- the Power of Reversing team |
|
|
Создано: 10 июля 2005 03:33 · Личное сообщение · #5 DillerInc ставлю на mapviewoffile F12 выхожу сюда :5B26B9B7 CMP EAX,EDI ставлю на getprocaddress F12 выхожу сюда :00BBABA8 MOV [00BE313C],EAX Длее 2 раза F12 попадаю сюда :00BBB93F POP EBP crc1 в том топике пищет: Тормозни на MapViewOfFile, потом на GetProcAddress (если у тебя все же не получается тормознуться на GetProcAddress, тогда ставь bpx 00EB2319, но это выход только для данной проги ) Попадешь сюда :00EB2319 MOV[EBP-08], EAX два раза F12, будешь тут :00EB2688 CALL 00EB22E0 :00EB268D CALL 00EB251C => будешь тут (Этот CALL занопить) :00EB2692 MOV EDX, [EDI] => в EDX начало таблицы импорта (005A11B8) Уж на что я только не ставил но эти процедуры так и не вышел. |
|
|
Создано: 10 июля 2005 12:30 · Личное сообщение · #6 shel_nik После того,как вывылился с отладчик после... :bpx MapViewOfFile ...надо просто убрать эту точку останова и сразу вводить следующую, т.е. не выходить из этой функции по F12 . Когда же вывалился на GetProcAddress, тогда нажимаешь F12, пока не придёшь сюда... MOV [EBP-08],EAX ...ну и далее как ты написал уже. ----- the Power of Reversing team |
|
|
Создано: 10 июля 2005 15:21 · Личное сообщение · #7 DillerInc [i][/i]Когда же вывалился на GetProcAddress, тогда нажимаешь F12, пока не придёшь сюда... Если я не снимаю бряк GetProcAddress жму F12 то брякаюсь сново. Если я снимаю бряк GetProcAddress и жму F12 то просто запустится прога. Если я снимаю бряк с GetProcAddress и ставлю бряк на RET, далее выхожу по F10 из функции и жму F12 два раза, попадаю туда куда уже писал. Если жму 3 раза запустится прога. Видимо все беды изза ненормальной работы SoftIce как я уже писал в предыдушем топике. В 98ом после вряка на MapViewOfFile получаю ошибку даже не видя окна SoftIce. Так что сиё занятие продолжу как решу проблему с SoftIce. (закажу DVDдиск c Driver ctudio 3.2) Благодарю всех за ответы. |
|
|
Создано: 31 июля 2005 17:32 · Личное сообщение · #8 DillerInc После установки Driver ctudio 3.2 удалось добратся до спёртых байт и OEP. Но я разбирался с завалявшейся на диске версией "ART 1.67SR2" А вот скачанную мной с сайта версию ART 2.03 распаковать не удалось, похоже там ASProtect другой версии. Если это так может кто подскажет про какие версии ASProtect следует читать. -= ALEX =- кстати сказать в SoftIce из Driver ctudio 3.2 удалось повторить (19 раз жми F5, попадешь сюда :5D POP EBP ) что не удалось в рипнутых SoftIce |
|
|
Создано: 31 июля 2005 19:43 · Личное сообщение · #9 shel_nik пишет: похоже там ASProtect другой версии ...PEiD показывает: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov ...а это не есть гут 
shel_nik пишет: Если это так может кто подскажет про какие версии ASProtect следует читать ...ну,чтобы уж наверняка,то я думаю про все,что выше версии 1.23  .
----- the Power of Reversing team |
|
|
Создано: 31 июля 2005 20:30 · Личное сообщение · #10 DillerInc Понял, только из всего прочитанного выше 1.23 ни чего не получается. |
|
|
Создано: 31 июля 2005 20:59 · Личное сообщение · #11 Вобшем если BPM ESP-04 то на 18 бряке выхожу на 00BE063A 8310 MOV [EAX],EDX как и в версии "ART 1.67SR2" а вот дальше идёт совсем другой код. |
|
|
Создано: 31 июля 2005 21:40 · Личное сообщение · #12 DillerInc пишет: ...PEiD показывает: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov PEiD может показывать такое даже если там Аспр более поздней версии (2.0 например). ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 02 августа 2005 16:55 · Личное сообщение · #13 [EXE]_cutor Похоже версия ASProtect выше 1.23 хотя я из тех что ниже не все распаковывал. Да и врятли ART более позней версии, запакован ASProtect более ранней. |
|
|
Создано: 04 августа 2005 04:50 · Личное сообщение · #14 - ASProtect 1.2x - 1.3x [Registered] - Find OEP and hide Olly var cbase var csize var eip_ var check gmi eip, CODEBASE mov cbase, $RESULT log cbase gmi eip, CODESIZE mov csize, $RESULT log csize eob lab1 esto lab1: mov check,0 sto log "Find anti Debugger call:" trace: inc check log check cmp check,20 je error sto mov eip_,[eip] log eip_ cmp eip_,C084D0FF jne trace cmt eip,"[ IsDebuggerPresent ]" log "call eax is found" FIND eip,#74# cmp $RESULT,0 je error eob lab3 log $RESULT bp $RESULT esto lab3: log "Change flag !ZF" mov !ZF,1 sto bc $RESULT eob lab4 esto lab4: cmt eip,"[ Anti Olly ]" mov eip_,[eip] log eip_ cmp eip_,00F88090 jne error sto sto log "Change flag !ZF" mov !ZF,1 eob end1 esto end1: bprm cbase, csize eob end eoe end esto end: cmt eip," [ OEP ]" bpmc ret error: log "Not found" MSG "Error" ret // [BACK] |
|
|
Создано: 05 августа 2005 19:00 · Личное сообщение · #15 Z0oMiK Спасибо за листинг. Вроде на этод код я не раз выходил, (только в SoftIce) буду снова смотреть. |
|
|
Создано: 05 августа 2005 19:11 · Поправил: Ara · Личное сообщение · #16 shel_nik ЛОЛ, это листинг скрипта к ОллиСкрипт.... |
|
|
Создано: 06 августа 2005 23:37 · Личное сообщение · #17 Ara Понял что лол, тем более в оле а в SoftIce то как сиё распаковывается? |
|
|
Создано: 07 августа 2005 00:19 · Личное сообщение · #18 shel_nik По-моему,не стоит тебе пока гнаться за всякими вторыми аспрами.Попробуй лучше распаковать программы,приведённые далее в том же апрельском топике - наберёшься определённого опыта в этом деле. ----- the Power of Reversing team |
|
eXeL@B —› Протекторы —› Распаковка "ART" ASProtect 1.2x - 1.3x |
Для печати