Сабж

57cc_Распаковываем AlterWind Log Analyzer Professional 3.0.rar

| Сообщение посчитали полезным:

Ошибка 404 - файл не найден. Ну ниче так понравилась

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Ой, нах. Тама пробелы

8157_РаспаковываемAlterWindLogAnalyzerProfessional3.0.r ar

| Сообщение посчитали полезным:

такая же трабла

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Блин, опять не хочет

1df8_mystate.rar

| Сообщение посчитали полезным:

ну ниче молодец. понравилось впринципе. тока давай серьезней писать научишься.. а то похоже пишешь то что в голову придет... знаешь по обкурке мона и не такое написать ;) так что давай серьезней....

ЗЫ мой ник пишеЦЦа -= ALEX =-, марио - Mario555 (слитно) ;)

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Щас поправим А это было достаточно серьёздно (спрашиваю как нового модера статей)?

| Сообщение посчитали полезным:

Bit-hack впринципе ты рассматриваешь прием написания собственного скрипта... интересно вроде как не простое тыканье мышкой.... а насчет стиля написания - его надо менять.

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Ок, щас поменяю, подредактирую, всё сделаю и перевыложу.

| Сообщение посчитали полезным:

Bit-hack
Угу, стиль не очень катит. И построй статью по другому - убери апзац, где импорт без скрипта восстанавливал - он не нужен имхо.
Сделай упор на скрипт - откамменти его полностью, объясни, почему именно ЭТО действие делает такой-то кусочек кода скрипта, и выложи его все-таки в архиве отдельно Попробуй на других прогах и отметь в статье, что в скрипте будет унивесальным, что надо поменять под конкретную прогу. Может, надо будет его подредактить.
Вообще по сути статью надо назвать "Восстановление импорта в Аспр 2.0.". Получится реальная статья.

ЗЫ: если в скрипт добавить поиск ОЕР, то это будет полноценный распаковывающий скрипт - дампь и правь импорт. Поиск ОЕР сделать легко, если не брать во внимание VM.

| Сообщение посчитали полезным:

Да, поиск в OllyScript реализован криво, так что ты правильно написал свой поиск.

| Сообщение посчитали полезным:

Ara пишет:
Поиск ОЕР сделать легко
А не подскажешь, как, кроме hr esp-24, есть ли более надёжный способ?

| Сообщение посчитали полезным:

Bit-hack
В приват ушло.

| Сообщение посчитали полезным:

Стиль поправил, щас Araины замечания начну.

| Сообщение посчитали полезным:

Тфу ты бин

5dc1_mystate.rar

| Сообщение посчитали полезным:

Последняя версия

8651_state.rar

| Сообщение посчитали полезным:

Bit-hack
Статья классная...
1. Но, если возможно, добавь немного скринов, это будет нагляднее и информативнее.
2. По поводу анализа call (п.1) неплохо бы показать на примере, т.е. более конкретно с цифрами, а не просто "Смотрим на первый байт инструкции. Смотрим на следующий DWORD. Ага, всё понятно – это относительный call. Т.е. начальное смещение – инструкция следующая за call`ом, т.е. достаточно взять адрес call`а, добавить к адресу 1, взять dword, добавить к текущему адресу 4, взять адрес и добавить к нему смещение полученное из байт call`а, а далее проверить: выходит ли адрес call`а за границы файла" На мой взгляд, лучше 1 раз показать с арифметикой, где сразу понятно что и куда, чем несколько раз перечитывать объяснения "на пальцах".

И вообще (только без обид), когда закончишь тех. часть, займись оформлением: абзацы, переносы, орфография... Правда, статья классная, но из-за оформления читается плохо: текст сливается в кучу.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Правда, статья классная, но из-за оформления читается плохо: текст сливается в кучу.

Это точно, я все допер только с третего раза, хотя тугоумием не страдаю, но статья всё равно класс.

| Сообщение посчитали полезным:

Bit-hack
Можно подробнее в статье изложить момент, как ты узнал, что нет VM и не надо восстанавливать таблицу инициализации ? Или же ссылку дай на инфу об этом.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Bit-hack
К сожалению я не могу в полной мере заценить работу, т.к. она ориентирована на использование Olly, но по части оформления я солидарен с Valdis'ом - всё же её приятнее будет читать,если она будет похожа на настоящую статью.Сейчас же она,по-моему,больше подобна некоему черновику.

P.S. Опять-таки - без обид .

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Да и вот это:

>жмём по Shift+F9 раз 25

Зачем, откуда 25? Надо бы объяснить.
И линка на прогу не помешает.

-----
TBR

| Сообщение посчитали полезным:

ВСЁ вышесказанное будет исправлено.

| Сообщение посчитали полезным:

Я пытался этот скрипт (т.е. часть скрипта) применить в проге альфаклок (рассматривается в другом топике) - скрипт не проходит до конца. Да и сам алгоритм поиска адреса ари-функции в коде программы - чрезвычайно медленный. Вот, если бы можно было аргумент команд find или findop (#....#) ввести как-нибудь через переменную. И еще. Если условие в скрипте cmp iatcell, realfunction не выполняется (realfunction нет в IAT), цикл будет бесконечным. Лучше ввести принудительный выход из цикла при достижения границы IAT.

| Сообщение посчитали полезным:

Bit-hack
В топике про АльфаКлок была описана методика, которая позволяет дойти до ОЕР без 25 Shift+F9
для этого после запука программы нужно зайти в меню window->log data
и посмотреть адрес последнего исключения, например
Log data, item 1
Address=00B29BF7 Message=Access violation when writing to [00000000]
Переходим на адрес 00B29BF7 (Ctrl+G) и ставим Hardware breakpoint на одну команду выше

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Статья хорошая. Но нет ничего про эмуляцию GetProcAddress. И почему-то восстановление IAT ориентировано на существующие там функции, хотя аспр часть адресов функций коверкает. Может это сязано только сэтой прогой?

| Сообщение посчитали полезным:

SergSh пишет:
хотя аспр часть адресов функций коверкает
в том то и прикол, что в этой проге всё на месте. Зацените новую статью. Там скриптик добавлен новый

b6fd_state.rar

| Сообщение посчитали полезным:

Bit-hack пишет:
Зацените новую статью
Bit-hack, статья практически не отличается от предыдущих.
Bit-hack пишет:
ВСЁ вышесказанное будет исправлено.
Этого не произошло. Теории практически нет. Почти ничего не объясняешь. Просто, если эта статья предназначена для "продвинутых", то она им и не нужна, сами распаковывают. А если для начинающих исследователей ASProtect 2.хх, то было бы желательно чуток объяснять.
И поменяй стиль статьи, а то читается, как журнал для подростков "прЮвет куль хацкеры...".

Bit-hack, надеюсь, без обид. Просто подобные статьи нужны, но хочется, чтобы они были написаны нормальным языком и их было приятно, а главное полезно читать...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Согласен с SergSh. А как быть, когда в IAT нет этих функций. В том же АльфаКлоке более 80 вызовов типа
Call 000f1000. А в IAT присутствует, например, только только пять основных функций из Kernel32. Поэтому так просто менять Call на соотвествующий jmp не получается. Я написал скрипт, который выделил адреса
20 из этих функций (по ходу выполнения проги). Их можно добавить в IAT с помощью любого РЕ-редактора, но ведь это в ручную. Есть идеи, как добавить их с помощью скрипта?

| Сообщение посчитали полезным:

tar4 пишет:
Их можно добавить в IAT с помощью любого РЕ-редактора, но ведь это в ручную. Есть идеи, как добавить их с помощью скрипта?
А ты не заценил новый скрипт? Там это реализовано!
ValdiS пишет:
Этого не произошло.
Я этим ещё не занимался (пока), надеюсь скоро найду время для дописания.

| Сообщение посчитали полезным:

Bit-hack пишет:
Я этим ещё не занимался (пока), надеюсь скоро найду время для дописания.
Ладно, будем ждать с нетерпением.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным: