Эта тема по распаковке AsProtect'a последних версий, для надругательств выбрана программа: AlfaClock 1.82
сайт программы: www.alfasoftweb.com/rus/
прямая ссылка: www.alfasoftweb.com/rus/AlfaClock_rus.exe

В этот раздел можно постить всё что касается защиты в этой программе, а также скрипты для распаковки, утилиты для снятия, ссылки на статьи.

За флейм будем наказывать!

Нашел ОЕР inferno_mteam
004C5444 55 PUSH EBP
004C5445 8BEC MOV EBP,ESP
004C5447 83C4 C0 ADD ESP,-40
004C544A 53 PUSH EBX
004C544B 33C0 XOR EAX,EAX
004C544D 8945 D4 MOV DWORD PTR SS:[EBP-2C],EAX
004C5450 8945 D0 MOV DWORD PTR SS:[EBP-30],EAX
В Ольке можно быстро попасть на ОЕР сл. образом, открываем программу, жмем Ctrl+G (перейти на строку) вбиваем туда ОЕР=04С5444, правой кнопкой мыши: Breakpoint->Hardware, on execution
после чего отключаем все Exceptions: menu->Options->Exceptions и ставим все галочки, .теперь нажите F9 и вы на ОЕР

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Z0oMiK
Эмм... либо автор статьи уже обновил своё произведение, что мало вероятно. Либо меня глючит:
Теперь убираем брейкпоинт и жмем Alt+M и видим карту памяти находим наш процесс и ставим Set Memory Breakpoint on Access на первой секции. Почему первой? Потому что OllyDbg написал, что она содержит code и до упаковки ASProtectом там был код программы, следовательно и OEP.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

"Теперь убираем брейкпоинт и жмем Alt+M и видим карту памяти находим наш процесс и ставим Set Memory Breakpoint on Access на первой секции. Почему первой? Потому что OllyDbg написал, что она содержит code и до упаковки ASProtectом там был код программы, следовательно и OEP. "
Просто мне понравилось это, я посчитал его исчерпывающим. Неужели и слова повторять нельзя. На счёт процесса не подумал.

| Сообщение посчитали полезным:

Посмотрите ещё тут hxxp://webfile.ru/602580
Там наброски по Распаковка ASProtect 2.13 на примере Icolover.exe. Сразу скажите, что не так.

| Сообщение посчитали полезным:

SergSh Еще желательно свои настройки ОЛЬКИ бы показал ... у меня после этого места в статье ->
Как я нашел это место? Если сделать Shift+F9 еще раз, то программа запустится. Теперь выделим 00ЕЕА7АD и поставим на него брейкпоинт (точка останова) (F2). Это необходимо чтобы отработал обработчик исключений и программа остановилась. Жмём Shift+F9. И окажемся на 00ЕЕА7АD. Теперь убираем брейкпоинт и жмем Alt+M и видим карту памяти находим наш Exeшник и ставим Set Memory Breakpoint on Access на секции code. В ранних версиях ASProtectа после срабатывания этой точки останова мы оказывались на ОЕР, посмотрим, что произойдёт сейчас. Делаем Shift+F9 и оказываемся здесь:
Все время такая надпись -> breakpoint removed .... и все и дальше никуды... CTRL+F2

| Сообщение посчитали полезным:

Z0oMiK пишет:
Все время такая надпись -> breakpoint removed ....

У тебя наверно SP 2. У меня такаяже хрень.

| Сообщение посчитали полезным:

NIKOLA Станно у меня стоит SP1

| Сообщение посчитали полезным:

Z0oMiK пишет:
у меня стоит SP1

А я думал из-за сервис пака такая хрень.
Значит дело в настройках.

| Сообщение посчитали полезным:

NIKOLAЯ уменя есть настройки hacnho вроде работает нормально но потом ollydbg.exe вызвала ошибку и тд и тп.....
SergSh прилепи свои настройки Ольки плиз

| Сообщение посчитали полезным:

Вот гляньте .. кто нить знает как это лечиться ?


8368_ollydbg.PNG

| Сообщение посчитали полезным:

Z0oMiK

У меня точно такоеже окно всплывает.

| Сообщение посчитали полезным:

Чёт не пойму, VirtualAlloc не всегда чтоль используется в аспровых call'ах ? к примеру попробовал запачить аспром 2.1 winrar - почему то бряки не срабатывают внутри VirtualAlloc...

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Так с настройками разобрался .. юзал настройки чела -> hacnho
а теперь ImpRec 1.6Final начал мозговать
вот че это такое ? чего он орет что нехватает места и не может создать секцию =(((
Как это лечиться ?
NIKOLA если настройки нужны приатачу

6b30_imprec_error.PNG

| Сообщение посчитали полезным:

Я чесно сказать в этих настройках не силён, только учусь.
Там ошибка не надо сного дампить, просто этот не исправленный код скопировать в наш дамп. Не получается что-то залить продолжение. Но спасибо, что заинтересовались.
Было бы здорово, если бы кто-нибудь взялся написать часть про инлайн патч этой программы.

| Сообщение посчитали полезным:

SergSh Я бы сделал мувик если бы не глюки с Олькой и ImpRec

| Сообщение посчитали полезным:

SergSh Кстати у меня после скрипта
var addr
var voep
mov voep, 010C0294
mov addr,00EEA76A
eoe Label
run
Label:
cmp eip,addr
je rrr
esto
rrr:
add addr, 43
bp addr
esto
bc addr
bphws voep, "x"
run
bphwc voep
ret
не останавливается как ты писал на VOEP ... у мя он берет и запускает прогу

| Сообщение посчитали полезным:

Попробуй сделать Жёстко, хотя у меня работает так и так.
bp voep
run
bc voep

| Сообщение посчитали полезным:

Z0oMiK пишет:
не останавливается как ты писал на VOEP - извиняюсь за вмешательство, но наверное у тебя адрес последнего исключения не 00EEA76A, или виртуальный OEP не 010C0294

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Z0oMiK ïèøåò:
SergSh Кстати у меня после скрипта
var addr
var voep
mov voep, 010C0294
mov addr,00EEA76A
я опять не читал ничего, но вообще-то такие скрипты расчитаны на одну машину (ось) и не являются универсальными, т.к. эти адреса явно из аллоченной памяти =)) зачем нужны такие скрипты тоже не понятно, другое дело универсальные, которые в любой проге с пределённой версией аспра работают ;)

| Сообщение посчитали полезным:

SergSh
спасибо за статью пр iconlover.
начал по ней прогу ковырять,
и сразу вопрос:
как ты определил конец IAT?
почему именно 6E1B08?

зы: почемуто статья оканчивается на
'Видим в оригинале, что кода там не много и копируем всё в нашу секцию как и при восстановлении CALL EAX. Трассируем дальше. Падаем здесь:'

это так и было задумано? )

| Сообщение посчитали полезным:

Mario555
как зачем, для удобства отлома данной конкретной проги.
у меня тоже ось не совпадает с осью SergSh'а, так имхо
это даже интересней, походу разбираться приходится )

| Сообщение посчитали полезным:

Z0oMiK пишет:
если настройки нужны приатачу

Буду благодарен.

| Сообщение посчитали полезным:

Конечно так не задумано, это всего лишь черновик. Просто не могу слить постоянно срывается.

| Сообщение посчитали полезным:

Вот залил. hxxp://webfile.ru/604625
Главнвный вопрос, а стоит ли продолжать. Я так прикинул до полной распаквки ещё страниц 5 получится или больше.

| Сообщение посчитали полезным:

SergSh Сделай лучше Flash Movie прогой Instant Demo .. если у тебя выйдет DOC файл 5-6 страниц то он весить будет 7-8 метров... а в SWF меньше 2-3

| Сообщение посчитали полезным:

SergSh пишет:
Главнвный вопрос, а стоит ли продолжать

Если ты из-за картинок, то можно их в png конвертнуть и оптимизировать в фотошопе.
Размер получается раза в три меньше, чем оригинал.

| Сообщение посчитали полезным:

Mario555
var addr var voep mov voep, 010C0294 mov addr,00EEA76A
В том то и дел что это мои адреса

| Сообщение посчитали полезным:

SergSh
>Главнвный вопрос, а стоит ли продолжать
конечно!

| Сообщение посчитали полезным:

assassin ïèøåò:
как зачем, для удобства отлома данной конкретной проги.
гы, ерунда это, под каждую прогу скрипт писать, нужно всё делать максимально универсальным (в разумных пределах конечно), иначе если уже в скрипте для нахождения оеп делать какие-то параметры которые нужно ставить вручную, то страшно будет смотреть на скрипт сделанный для снятия ВМ =))
PS короче делайте поиск нужных мест в коде аспра по сигнам, а не вбивайте адрса ;)

| Сообщение посчитали полезным: