 |
eXeL@B —› Протекторы —› Люди дайте информации про распак aspr 1.23 rc4 |
| Посл.ответ | Сообщение |
|
|
Создано: 10 октября 2005 13:48 · Поправил: Модератор · Личное сообщение · #1 дайте побольше инфы про распак aspr 1.23 rc4 желательно при помощи olly можно и при помощи ice ЗАРАНЕЕ ВАМ СПАСИБО.  |
|
|
Создано: 10 октября 2005 13:51 · Личное сообщение · #2 А той, что есть, разве мало?? |
|
|
Создано: 10 октября 2005 13:53 · Личное сообщение · #3 Ara ДА как то не получается той |
|
|
Создано: 10 октября 2005 13:56 · Личное сообщение · #4 ну тогда и вопрос ставь поточнее, что не получается, чем пользуешся, что делаешь? ну и т.д. |
|
|
Создано: 10 октября 2005 14:00 · Личное сообщение · #5 Ну тогда действуй в таком порядке: 1. Stripper 2. Статьи: http://exelab.ru/rar/dl/CRACKLAB.rU_4.rar http://exelab.ru/art/arc4.php 3. Йад |
|
|
Создано: 10 октября 2005 14:02 · Личное сообщение · #6 Гружу прогу в OLLy дохожу до 01FC39EC 3100 XOR DWORD PTR DS:[EAX],EAX 01FC39EE 64:8F05 0000000>POP DWORD PTR FS:[0] 01FC39F5 58 POP EAX 01FC39F6 833D B07EFC01 0>CMP DWORD PTR DS:[1FC7EB0],0 01FC39FD 74 14 JE SHORT 01FC3A13 01FC39FF 6A 0C PUSH 0C 01FC3A01 B9 B07EFC01 MOV ECX,1FC7EB0 01FC3A06 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 01FC3A09 BA 04000000 MOV EDX,4 01FC3A0E E8 2DD1FFFF CALL 01FC0B40 01FC3A13 FF75 FC PUSH DWORD PTR SS:[EBP-4] 01FC3A16 FF75 F8 PUSH DWORD PTR SS:[EBP-8] 01FC3A19 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 01FC3A1C 8338 00 CMP DWORD PTR DS:[EAX],0 01FC3A1F 74 02 JE SHORT 01FC3A23 01FC3A21 FF30 PUSH DWORD PTR DS:[EAX] 01FC3A23 FF75 F0 PUSH DWORD PTR SS:[EBP-10] 01FC3A26 FF75 EC PUSH DWORD PTR SS:[EBP-14] 01FC3A29 C3 RETN 01FC3A2A 5F POP EDI 01FC3A2B 5E POP ESI 01FC3A2C 5B POP EBX 01FC3A2D 8BE5 MOV ESP,EBP 01FC3A2F 5D POP EBP 01FC3A30 C3 RETN на retn ставля бряк затем брякаюсь пишу TC EIP<90000 и меня выкидывает вот тут 01FD7F3D /64:EB 01 JMP SHORT 01FD7F41 ; Superfluous prefix <=тут стоим 01FD7F40 |0FF3EB PSLLQ MM5,MM3 01FD7F43 02CD ADD CL,CH 01FD7F45 2064EB 01 AND BYTE PTR DS:[EBX+EBP*8+1],AH 01FD7F49 C7 ??? ; Unknown command 01FD7F4A 8D6424 F4 LEA ESP,DWORD PTR SS:[ESP-C] 01FD7F4E 83C4 66 ADD ESP,66 ну и де ОЕР?????????????????????????? |
|
|
Создано: 10 октября 2005 14:04 · Личное сообщение · #7 Ara Stripper распаковывает ! ДА но дамп кривой получается я это уже пробовал Да и мне интересно ручками распаковать. |
|
|
Создано: 10 октября 2005 14:07 · Личное сообщение · #8 Ara читал я это все |
|
|
Создано: 10 октября 2005 15:11 · Личное сообщение · #9 А чё за прога, дай народу ссылку. |
|
|
Создано: 11 октября 2005 02:16 · Личное сообщение · #10 SLayer Сылки нету есть диск |
|
|
Создано: 11 октября 2005 02:20 · Личное сообщение · #11 said100 А название у проги есть, версия? Может подобный диск есть у других... 
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 11 октября 2005 02:32 · Личное сообщение · #12 ValdiS Прога кликается "АвтоПредприятие"ver 6.9.48 |
|
|
Создано: 11 октября 2005 02:36 · Личное сообщение · #13 said100 Ну ты сложный человек! Я же тебе сказал, что ты в виртуальной машине сидишь! Тут 2 варианта: 1. Идти до RET, это долго 2. Нажми Alt+M и поставь бряк (F2) на секцию твоей программы, а потом F9 3. Сделать TC ещё 1 раз ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 11 октября 2005 02:48 · Личное сообщение · #14 nice Привет! Делал все не помогает или выкидывает совсем или возврат на место |
|
|
Создано: 11 октября 2005 03:14 · Личное сообщение · #15 said100 01FD7F3D /64:EB 01 JMP SHORT 01FD7F41 ; Superfluous prefix <=тут стоим А когда это происходит Олька что пишет? Exceptions? и просит нажать SHift+F9 ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 11 октября 2005 03:20 · Личное сообщение · #16 nice после jmp если нажал Shift+9 выбрасывает 00250048 C2 0400 RETN 4 < сюда 0025004B 0000 ADD BYTE PTR DS:[EAX],AL 0025004D 0000 ADD BYTE PTR DS:[EAX],AL 0025004F 0000 ADD BYTE PTR DS:[EAX],AL 00250051 0000 ADD BYTE PTR DS:[EAX],AL 00250053 0000 ADD BYTE PTR DS:[EAX],AL |
|
|
Создано: 11 октября 2005 03:27 · Личное сообщение · #17 said100 после Shift+F9 когда тебя выбросит на 00250048 ставь бряку на секцию кода твоей программы ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 11 октября 2005 03:34 · Личное сообщение · #18 nice выкинуло вот 004265A6 33C0 XOR EAX,EAX ; ntdll.RtlRaiseException < --сюда 004265A8 5A POP EDX 004265A9 59 POP ECX |
|
|
Создано: 11 октября 2005 03:40 · Поправил: nice · Личное сообщение · #19 said100 Ну вот, поздравляю теперь ты в секции кода своей программы, но то что я вижу означает, что аспр выше версии 1.23, т.к. часть твоей процедуры съел аспр. (в 1.23 он забирал байты до первого CALL) То есть при запуске программы(когда аспр уже распаковал программу), например, не найден был какой то файл или запись в реестре, программа не может его ткрыть/прочитать возникает исключение: 01FD7F3D /64:EB 01 JMP SHORT 01FD7F41 ; Superfluous prefix <=тут стоим ты нажимал F9 программу прибивала система нажал Shift+F9 и обработчик ошибок от работал. Теперь тебе нужно исследовать все что выше вырезая по кусочкам свою программу из тела аспра ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 11 октября 2005 17:37 · Личное сообщение · #20 nice Ладно буду воевать дальше ну если что еще обращусь. |
|
|
Создано: 11 октября 2005 17:53 · Личное сообщение · #21 а dll-ок аспрнутых там нет? и какой версией стриппера пользовался? я как-то ef commander (то же 1.23rc4) распаковал только последним 2.11rc2 стриппером |
|
|
Создано: 12 октября 2005 16:44 · Личное сообщение · #22 r99 DLL нету, стриппер 2.11 RC2 тоже не берет |
|
eXeL@B —› Протекторы —› Люди дайте информации про распак aspr 1.23 rc4 |
Для печати