![]() |
eXeL@B —› Протекторы —› Распаковка AsProtect >1.23 - от А до Я. |
<< . 1 . 2 . 3 . 4 . 5 . |
Посл.ответ | Сообщение |
|
Создано: 18 августа 2005 11:56 · Поправил: nice · Личное сообщение · #1 Эта тема по распаковке AsProtect'a последних версий, для надругательств выбрана программа: AlfaClock 1.82 сайт программы: www.alfasoftweb.com/rus/ прямая ссылка: www.alfasoftweb.com/rus/AlfaClock_rus.exe В этот раздел можно постить всё что касается защиты в этой программе, а также скрипты для распаковки, утилиты для снятия, ссылки на статьи. За флейм будем наказывать! Нашел ОЕР inferno_mteam 004C5444 55 PUSH EBP 004C5445 8BEC MOV EBP,ESP 004C5447 83C4 C0 ADD ESP,-40 004C544A 53 PUSH EBX 004C544B 33C0 XOR EAX,EAX 004C544D 8945 D4 MOV DWORD PTR SS:[EBP-2C],EAX 004C5450 8945 D0 MOV DWORD PTR SS:[EBP-30],EAX В Ольке можно быстро попасть на ОЕР сл. образом, открываем программу, жмем Ctrl+G (перейти на строку) вбиваем туда ОЕР=04С5444, правой кнопкой мыши: Breakpoint->Hardware, on execution после чего отключаем все Exceptions: menu->Options->Exceptions и ставим все галочки, .теперь нажите F9 и вы на ОЕР ----- Подписи - ЗЛО! Нужно убирать! ![]() |
|
Создано: 30 октября 2005 00:01 · Поправил: [HEX] · Личное сообщение · #2 Z0oMiK Эмм... либо автор статьи уже обновил своё произведение, что мало вероятно. Либо меня глючит: Теперь убираем брейкпоинт и жмем Alt+M и видим карту памяти находим наш процесс и ставим Set Memory Breakpoint on Access на первой секции. Почему первой? Потому что OllyDbg написал, что она содержит code и до упаковки ASProtectом там был код программы, следовательно и OEP. ----- Computer Security Laboratory ![]() |
|
Создано: 30 октября 2005 05:31 · Личное сообщение · #3 "Теперь убираем брейкпоинт и жмем Alt+M и видим карту памяти находим наш процесс и ставим Set Memory Breakpoint on Access на первой секции. Почему первой? Потому что OllyDbg написал, что она содержит code и до упаковки ASProtectом там был код программы, следовательно и OEP. " Просто мне понравилось это, я посчитал его исчерпывающим. Неужели и слова повторять нельзя. На счёт процесса не подумал. ![]() |
|
Создано: 30 октября 2005 06:55 · Личное сообщение · #4 |
|
Создано: 30 октября 2005 20:34 · Личное сообщение · #5 SergSh Еще желательно свои настройки ОЛЬКИ бы показал ... у меня после этого места в статье -> Как я нашел это место? Если сделать Shift+F9 еще раз, то программа запустится. Теперь выделим 00ЕЕА7АD и поставим на него брейкпоинт (точка останова) (F2). Это необходимо чтобы отработал обработчик исключений и программа остановилась. Жмём Shift+F9. И окажемся на 00ЕЕА7АD. Теперь убираем брейкпоинт и жмем Alt+M и видим карту памяти находим наш Exeшник и ставим Set Memory Breakpoint on Access на секции code. В ранних версиях ASProtectа после срабатывания этой точки останова мы оказывались на ОЕР, посмотрим, что произойдёт сейчас. Делаем Shift+F9 и оказываемся здесь: Все время такая надпись -> breakpoint removed .... и все и дальше никуды... CTRL+F2 ![]() ![]() |
|
Создано: 30 октября 2005 21:26 · Личное сообщение · #6 |
|
Создано: 30 октября 2005 21:43 · Личное сообщение · #7 |
|
Создано: 30 октября 2005 21:45 · Личное сообщение · #8 |
|
Создано: 30 октября 2005 21:57 · Личное сообщение · #9 |
|
Создано: 30 октября 2005 22:03 · Личное сообщение · #10 |
|
Создано: 30 октября 2005 23:40 · Личное сообщение · #11 |
|
Создано: 30 октября 2005 23:44 · Личное сообщение · #12 |
|
Создано: 31 октября 2005 02:21 · Личное сообщение · #13 Так с настройками разобрался .. юзал настройки чела -> hacnho а теперь ImpRec 1.6Final начал мозговать ![]() вот че это такое ? чего он орет что нехватает места и не может создать секцию =((( Как это лечиться ? NIKOLA если настройки нужны приатачу ![]() ![]() |
|
Создано: 31 октября 2005 07:04 · Личное сообщение · #14 Я чесно сказать в этих настройках не силён, только учусь. Там ошибка не надо сного дампить, просто этот не исправленный код скопировать в наш дамп. Не получается что-то залить продолжение. Но спасибо, что заинтересовались. Было бы здорово, если бы кто-нибудь взялся написать часть про инлайн патч этой программы. ![]() |
|
Создано: 31 октября 2005 07:07 · Личное сообщение · #15 |
|
Создано: 31 октября 2005 08:37 · Поправил: Z0oMiK · Личное сообщение · #16 |
|
Создано: 31 октября 2005 10:28 · Личное сообщение · #17 |
|
Создано: 31 октября 2005 11:09 · Личное сообщение · #18 |
|
Создано: 31 октября 2005 11:12 · Личное сообщение · #19 Z0oMiK ïèøåò: SergSh Кстати у меня после скрипта var addr var voep mov voep, 010C0294 mov addr,00EEA76A я опять не читал ничего, но вообще-то такие скрипты расчитаны на одну машину (ось) и не являются универсальными, т.к. эти адреса явно из аллоченной памяти =)) зачем нужны такие скрипты тоже не понятно, другое дело универсальные, которые в любой проге с пределённой версией аспра работают ;) ![]() |
|
Создано: 31 октября 2005 11:13 · Личное сообщение · #20 SergSh спасибо за статью пр iconlover. начал по ней прогу ковырять, и сразу вопрос: как ты определил конец IAT? почему именно 6E1B08? зы: почемуто статья оканчивается на 'Видим в оригинале, что кода там не много и копируем всё в нашу секцию как и при восстановлении CALL EAX. Трассируем дальше. Падаем здесь:' это так и было задумано? ) ![]() |
|
Создано: 31 октября 2005 11:17 · Личное сообщение · #21 |
|
Создано: 31 октября 2005 11:30 · Личное сообщение · #22 |
|
Создано: 31 октября 2005 12:41 · Личное сообщение · #23 |
|
Создано: 31 октября 2005 12:57 · Личное сообщение · #24 |
|
Создано: 31 октября 2005 13:51 · Личное сообщение · #25 |
|
Создано: 31 октября 2005 16:31 · Личное сообщение · #26 |
|
Создано: 31 октября 2005 16:40 · Личное сообщение · #27 |
|
Создано: 31 октября 2005 16:52 · Личное сообщение · #28 |
|
Создано: 31 октября 2005 22:10 · Личное сообщение · #29 assassin ïèøåò: как зачем, для удобства отлома данной конкретной проги. гы, ерунда это, под каждую прогу скрипт писать, нужно всё делать максимально универсальным (в разумных пределах конечно), иначе если уже в скрипте для нахождения оеп делать какие-то параметры которые нужно ставить вручную, то страшно будет смотреть на скрипт сделанный для снятия ВМ =)) PS короче делайте поиск нужных мест в коде аспра по сигнам, а не вбивайте адрса ;) ![]() |
<< . 1 . 2 . 3 . 4 . 5 . |
![]() |
eXeL@B —› Протекторы —› Распаковка AsProtect >1.23 - от А до Я. |