![]() |
eXeL@B —› Протекторы —› Распаковка AsProtect в OllyDbg |
<< . 1 . 2 . 3 . >> |
Посл.ответ | Сообщение |
|
Создано: 12 августа 2005 04:58 · Личное сообщение · #1 |
|
Создано: 13 августа 2005 23:11 · Личное сообщение · #2 |
|
Создано: 14 августа 2005 00:54 · Личное сообщение · #3 > могу кинуть скрит для ольки Кинь конечно, можно и в приват, ring-3 отладчики конечно суксь, но на безрыбье кек известно, да и вобще вкусы последнее время меняются =) Когда Ильфак сделает в своем отладчике все то что мы давно в десять голосов просим, тогда будет мне щастье и буду я скрипты на перле писать =) А до того что все видно, я конечно провел только беглый осмотр, а потом пошел пить вотку на выходные, но нашел я только где идет возврат в прогу, а где реальная функция вызвалась незаметил. Зато нашел больше 20 мест с POLY_BUFFER. Если в этой версии неудастся рипанут VM как обычно, то будет мне сказочный геморрой, но раз подписался надо делать, людей кидать нехорошо. ![]() |
|
Создано: 14 августа 2005 01:00 · Личное сообщение · #4 ValdiS пишет: а поподробнее о Club Timer: что за прога, вес, огграничения и т.д Прога для компьютерного клуба (имхо одна из лучших). Одну из первых ломал HEX, там была привязка клиент - сервер на проверке серийника. Сейчас в последни версиях просто упаковываются server.exe (198 Kb). Ограничение - кол-во контролируемых машин. gloom пишет: из-за того что кто-то там просит. Лучьше пусть Mario555 подскажет жертву. Пусть будет так=) ----- TBR ![]() |
|
Создано: 14 августа 2005 01:07 · Личное сообщение · #5 |
|
Создано: 14 августа 2005 01:14 · Личное сообщение · #6 |
|
Создано: 14 августа 2005 01:21 · Личное сообщение · #7 |
|
Создано: 14 августа 2005 03:06 · Личное сообщение · #8 > В Иде при записи/чтении байтов даже нельзя быть уверенным... Это какраз самая малая проблема отладчика о которой мы, давно офицально покупающие этот продукт, талдычим аффтору. Вы не поверите, но после каждой новой версии иды неделю мат RP слышно на четыре этажа в обе стороны, когда ему приходится перетачивать кучу наиценнейших непубличных плагинов под новую версию ![]() > Лучше бы Red Plait обратил свой взгляд на OllyDbg, раз уж вкусы меняются Отвратительный неуправляемый дизассемблер это самый большой косяк ольки, посмотрим что будет в следующей версии, если она таки состоится ![]() ![]() |
|
Создано: 14 августа 2005 03:10 · Личное сообщение · #9 |
|
Создано: 14 августа 2005 03:14 · Личное сообщение · #10 DrGolova DrGolova пишет: Если в этой версии неудастся рипанут VM как обычно, то будет мне сказочный геморрой, но раз подписался надо делать, людей кидать нехорошо. В этой версии VM обычная, а вот мне недавно попалась прога с последним аспром - 2.2 бэта вроде. Там VM поменялась, навороченней стала. Мне вот мысль пришла такая - если Солодовников будет менять VM с каждым релизом, что тогда ? ![]() ![]() |
|
Создано: 14 августа 2005 13:47 · Личное сообщение · #11 |
|
Создано: 15 августа 2005 06:18 · Личное сообщение · #12 inferno_mteam пишет: AlfaClock 1.82 точка входа: 004C5444 55 PUSH EBP ...... Действительно, дойти до точки входа достаточно просто (особенно через скрипт Олли). А что за функция эмулируется дальше. 00406B90 E8 6B94D500 CALL 01160000 //? и далее по коду: 01160122 FFD0 CALL NEAR EAX Адрес и код последней функции постоянно меняется (CALL EBX, Call EDX и т.д.) Может кто-нибудь прояснит, что это такое? А то, подобный способ используется и в других прогах, защищенных аспром. И я не знаю, как это обойти. Дамп, естественно, на этом шаге виснет. ![]() |
|
Создано: 15 августа 2005 07:47 · Личное сообщение · #13 |
|
Создано: 15 августа 2005 08:12 · Личное сообщение · #14 |
|
Создано: 16 августа 2005 05:09 · Личное сообщение · #15 Посмотрел материалы на этом сайте www.tuts4you.com. Там рассмотрены примеры восстановления импорта аспра демо-версии 2.х (незарег. версии). Она проще, эмулированная Api-функция видна (push 79xxxx) перед перед выходом Retn. В AlfaClock 1.82 применена зарегистрированная версия аспра, она глубже интегрируется в тело программы и восстановить импорт методом, как показано на этом сайте, не удается. ![]() |
|
Создано: 16 августа 2005 08:00 · Поправил: Getorix · Личное сообщение · #16 |
|
Создано: 16 августа 2005 09:07 · Личное сообщение · #17 |
|
Создано: 16 августа 2005 11:34 · Личное сообщение · #18 эээ... при чём тут я ? =) ну если в этом AlfaClock 1.82 нет ВМ, то начните с него, т.к. это будет проще чем сразу с полным аспром бороться... импорт в принципе не сложно восстанавливается (скриптик не большой в отличии от того который для ВМ), тут уже и инфа вроде была и ссылка на форум один тож была, ищите, исследуйте ;) ![]() |
|
Создано: 16 августа 2005 13:07 · Личное сообщение · #19 |
|
Создано: 16 августа 2005 13:32 · Личное сообщение · #20 Как один из вариантов, может пойти по такому пути. Находясь на ОЕР, смотрим "View - Intermodular Calls". Видим более десятка команд, типа Call 01160000 - это то, что нужно восстанавливать. Берем первый по выполнению кода. Ставим на него бряк и отпускаем по F9. Прога остается на месте, но меняется код вызова (например на Cal 01390004). Теперь трассируем по F7 и в конце выходим в тело API-функции. Делаем анализ кода и находим начало функции. Теперь "View calls tree" и видим название функции. Теперь можно менять: Cal 01390004 на Call 79xxxx. Правда, не везде все так просто. ![]() |
|
Создано: 16 августа 2005 17:33 · Личное сообщение · #21 |
|
Создано: 16 августа 2005 19:07 · Личное сообщение · #22 |
|
Создано: 16 августа 2005 20:21 · Личное сообщение · #23 |
|
Создано: 16 августа 2005 20:43 · Личное сообщение · #24 |
|
Создано: 16 августа 2005 20:46 · Личное сообщение · #25 |
|
Создано: 16 августа 2005 21:15 · Личное сообщение · #26 |
|
Создано: 16 августа 2005 21:40 · Личное сообщение · #27 |
|
Создано: 16 августа 2005 22:19 · Личное сообщение · #28 |
|
Создано: 16 августа 2005 23:33 · Личное сообщение · #29 |
|
Создано: 17 августа 2005 04:25 · Личное сообщение · #30 |
|
Создано: 17 августа 2005 08:41 · Поправил: Getorix · Личное сообщение · #31 |
<< . 1 . 2 . 3 . >> |
![]() |
eXeL@B —› Протекторы —› Распаковка AsProtect в OllyDbg |
Эта тема закрыта. Ответы больше не принимаются. |