Здравствуйте!
Пытаюсь распаковать прогу.

Дохожу до куска типа:
00489EE6 0000 ADD BYTE PTR DS:[EAX],AL
00489EE8 0000 ADD BYTE PTR DS:[EAX],AL
00489EEA 0000 ADD BYTE PTR DS:[EAX],AL
00489EEC 0000 ADD BYTE PTR DS:[EAX],AL
~~~~~~~~~~~~~~~~~~~~~~~
00489F0E 0000 ADD BYTE PTR DS:[EAX],AL
00489F10 0000 ADD BYTE PTR DS:[EAX],AL
00489F12 00FF ADD BH,BH
00489F14 15 F8C04800 ADC EAX,Electra.0048C0F8
00489F19 59 POP ECX
00489F1A 830D 84B24900 FF OR DWORD PTR DS:[49B284],FFFFFFFF
00489F21 830D 88B24900 FF OR DWORD PTR DS:[49B288],FFFFFFFF
00489F28 FF15 F4C04800 CALL DWORD PTR DS:[48C0F4] ; MSVCRT.__p__fmode

00489EE6 - ОЕП.
То есть имею более 40 спертых байт.
Как их найти?
Пытался по статье, но у меня не работает команда TC EIP>00900000.
Если и работает то пошагово, Enter - Шаг. Мож что в настройках?

| Сообщение посчитали полезным:

В общем такая проблема. Не получается добить до конца гаму от Алавара (Brave Gnomes).
Качать тут http://www.alawar.ru/download/BraveDwarvesRus.exe (7 метров)
Аспр снимается без проблем. ОЕР: 0044B434
Краденые байты:
PUSH 60
PUSH 4A61A0
PUSH 44B43B
Ограничения: доступное время игры 1 час (убивается нопом 1-го CALL'а) и кол-во доступных уровней (MAX - 4 уровня, ВАЖНО) После 4 уровней прога их больше не грузит и выходит в главное меню.
Не совсем понятно как гама палит что она НЕ зареганая. Regmon показывает обращение к 2 ключам в реестре:
1. HKLM\Software\GameOverGames\BraveDwarvesBFT\crc
2. HKCU\Software\GameOverGames\BraveDwarves\TrialTime
Если посмотреть их через Regedit то рядом есть ключики - "Key" (пустые). Но ни гама ни регистратор туда ничего не пишут. Снял аспр и с регистратора, но он тож ничо не пишет в реестр (видать записывает только если введён верный рег. код).
В общем need some help !

PS Просьба не расценивать пост как запрос на кряк, т.к. необходима просто небольшая наводка от чего плясать дальше (а именно как отрубить ограничение по кол-ву загружаемых уровней).
Вообще есть подозрение что это демка и там всего 4 уровня, хотя может я и не прав.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor
Поковырявшись вышел на такой код
00417528 |. 8A15 4C09A700 MOV DL,BYTE PTR DS:[A7094C]
0041752E |. F6DA NEG DL
00417530 |. 68 680C4A00 PUSH Gnomes_c.004A0C68 ; UNICODE "Menu_Begin"
00417535 |. B9 68A54B00 MOV ECX,Gnomes_c.004BA568
0041753A |. 1BD2 SBB EDX,EDX
0041753C |. 81E2 818080FF AND EDX,FF808081
00417542 |. 81C2 FFFFFF00 ADD EDX,0FFFFFF
00417548 |. 8BEA MOV EBP,EDX
0041754A |. E8 F1390000 CALL Gnomes_c.0041AF40
0041754F |. 50 PUSH EAX
00417550 |. 68 2C0A4A00 PUSH Gnomes_c.004A0A2C ; UNICODE "%s"
00417555 |. 68 D805A700 PUSH Gnomes_c.00A705D8
0041755A |. E8 11410000 CALL Gnomes_c.0041B670

Это подготовка главного меню. Скролим ниже...
00417788 |. A0 4C09A700 MOV AL,BYTE PTR DS:[A7094C]
0041778D |. 84C0 TEST AL,AL
0041778F |. 74 6B JE SHORT Gnomes_c.004177FC ;Интересный переход
00417791 |. 68 F00B4A00 PUSH Gnomes_c.004A0BF0 ; UNICODE "Menu_Buy"
00417796 |. B9 68A54B00 MOV ECX,Gnomes_c.004BA568
0041779B |. E8 A0370000 CALL Gnomes_c.0041AF40
004177A0 |. 50 PUSH EAX
004177A1 |. 68 2C0A4A00 PUSH Gnomes_c.004A0A2C ; UNICODE "%s"
004177A6 |. 68 D805A700 PUSH Gnomes_c.00A705D8
004177AB |. E8 C03E0000 CALL Gnomes_c.0041B670
004177B0 |. 83C4 0C ADD ESP,0C
004177B3 |. 68 F00B4A00 PUSH Gnomes_c.004A0BF0 ; UNICODE "Menu_Buy"
004177B8 |. B9 68A54B00 MOV ECX,Gnomes_c.004BA568
004177BD |. 8BD8 MOV EBX,EAX
004177BF |. E8 7C370000 CALL Gnomes_c.0041AF40
004177C4 |. 50 PUSH EAX
004177C5 |. A1 CC8D4B00 MOV EAX,DWORD PTR DS:[4B8DCC]
004177CA |. 8D1440 LEA EDX,DWORD PTR DS:[EAX+EAX*2]
004177CD |. A1 C88D4B00 MOV EAX,DWORD PTR DS:[4B8DC8]
004177D2 |. 8D0C50 LEA ECX,DWORD PTR DS:[EAX+EDX*2]
004177D5 |. 8BC3 MOV EAX,EBX
004177D7 |. 99 CDQ
004177D8 |. 68 2C0A4A00 PUSH Gnomes_c.004A0A2C ; UNICODE "%s"
004177DD |. 2BC2 SUB EAX,EDX
004177DF |. 68 FFFFFF00 PUSH 0FFFFFF
004177E4 |. D1F8 SAR EAX,1
004177E6 |. 51 PUSH ECX
004177E7 |. BA F4010000 MOV EDX,1F4
004177EC |. 2BD0 SUB EDX,EAX
004177EE |. 52 PUSH EDX
004177EF |. 68 D805A700 PUSH Gnomes_c.00A705D8
004177F4 |. E8 873F0000 CALL Gnomes_c.0041B780
004177F9 |. 83C4 18 ADD ESP,18
004177FC |> 57 PUSH EDI
004177FD |. E8 1E210100 CALL Gnomes_c.00429920


Ставим хардваре бряк на адрес A7094C. Перезапускаем программу... Остановка...
00411E43 68 F006A700 PUSH Gnomes_c.00A706F0 ; Интересный адресок
00411E48 |. C605 4C09A700 00 MOV BYTE PTR DS:[A7094C],0 ; |
00411E4F |. FF15 44F24900 CALL DWORD PTR DS:[<&kernel32.lstrlen>] ; \lstrlenA
00411E55 |. F7D8 NEG EAX
00411E57 |. 1AC0 SBB AL,AL
00411E59 |. 68 4008A700 PUSH Gnomes_c.00A70840 ; /Buffer = Gnomes_c.00A70840
00411E5E |. FEC0 INC AL ;
00411E60 |. 68 00010000 PUSH 100 ; |BufSize = 100 (256.)
00411E65 |. A2 4C09A700 MOV BYTE PTR DS:[A7094C],AL ; |

Найди свободное место в программе (я взял адрес 49E360), запиши туда свое имя. Подправь
00411E43 PUSH Gnomes_c.00A706F0
на
00411E43 PUSH Gnomes_c.0049E360

Сохрани изменения, перезапусти программу. Результат на лицо...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

А никто не ковырял игру Маленькие бомберы возвращаются от той же Alawar www.alawar.ru/download/LittleBombersRus.exe 3,5 М. А то я дамп снял, спёртые байты нашёл а из импорта находится всего две функции. Игра на дельфях. Хотя стриппер снимает и импорта там намного больше. И ещё вопрос: как найти аспровую проверку имени в снятой стриппером проге.

| Сообщение посчитали полезным:

ValdiS ок!
пасиб. Заработало.

только небольшой ?.
вот до этого места:
.........0041752E |. F6DA NEG DL
00417530 |. 68 680C4A00 PUSH Gnomes_c.004A0C68 ; UNICODE "Menu_Begin"
00417535 |. B9 68A54B00 MOV ECX,Gnomes_c.004BA568............. и т.д.
дошел через Search for -> All referenced text string's или как то иначе.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor
Честно говоря, проводил визуальный анализ кода. И эти строки сразу бросились в глаза. А далее все просто. Но можно, наверно, и через Search for -> All referenced text string's. Здесь не пробовал.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
С этой прогой понятно,аспр не новый.
А вот что делать с аспр 2.11?Начало обычное,бряк на секции кода выкидывает на call.Ставишь на память,в vm попадаешь.После востановления iat,оказывается это место жетмодульнхандле...,а оер до сих пор найти не могу.Ту что пеид показывает,имрек килять отказывается.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
http://exelab.ru/rar/dl/CRACKLAB.rU_24.rar
Статья SergSh должно помочь!

| Сообщение посчитали полезным:

pavka
Мне понравилась статья,грамотно оформленно
Но с аспром есть ньюансы,особенно если это Resource Builder 2.4.0.
Тут VOEP есть,а как его в имреке прибить?То что пеид плагином находит,имрек не видит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

А тебе зачем его прибивать! Найди RVA оно там явно видно! Востанови импорт. А потом OEP Займешся!

| Сообщение посчитали полезным:

pavka
С IAT то уже разобрался.В статье пример шикарный,да и скрипт после правки в нём адресов пашет,как миленький.Кстати огромное СПАСИБО автору статьи.
А вот с ....Займёшся!....чё то туго.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Технология востановления ОЕР там хорошо описана!

| Сообщение посчитали полезным:

pavka
Зацепил всё таки на тот ОЕР,что пеид намекает.Но 10 % не определяется.
VM впендюрил.Пока болт.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

В 2,11 VM реализована слабо. Если после последнего исключения попадаешь на СЕLL в проге, то попробуй ещё пару раз Shiht+F9, и скорее всего окажешься на ОЕР. Сдаётся мне ты всё ещё находишся в теле аспра. Дело в том, что некоторые билды аспра используют функции пакованной проги перед переходом на ОЕР. Обычно это функции проверки наличия ключа в реестре.

| Сообщение посчитали полезным:

Bronco пишет:
скрипт после правки в нём адресов пашет,как миленький
А я вот сейчас сам AsProtect 2.11 ковыряю, так вот там ничего не восстанавливается.
Там функции вызываются сразу, а не через VirtualAlloc+Call Patch. Пришлось свой скрипт писать.
А еще там 6 полностью эмулируемых ф-ций + ХЗ сколько переходников (как раз с ними и разбираюсь) .

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

SergSh
Пару раз маловато,чуть больше(кажись 5-6).
Но всё равно за ТРУДЫ СПАСИБО.Очень ГРАМОТНЫЕ статьи.
С НОВЫМ ГОДОМ!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

SergSh
Повозился 2 вечера с IconLover.4.0.Возни конечно больше чем в предыдущей версии.Попатчил для запуска существенно + добавил 5 секций.
Но было интересно.Где там проверка на рег?А то About жить мешает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Этот вопрос я не изучал, мне это было не интересно.

| Сообщение посчитали полезным:

SergSh
Утречком добил.
Не знаю какие там ещё ограничения,но кому интересно можете потестировать:
_http://rapidshare.de/files/10470048/IconLover.4.0_crack.rar.html
_http://aha-soft.com/iconlover/iconlove.zip
К модератору воврос.
Не нарушаю правила форума,скидывая ссылки?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Как точно определить версию протектора?
пеид говорит что использовали аспр 2.хх
QUP говорит что ето был аспр 1.23
так же версию 1.23 подтвердил еще один сканер
Чему довериться?

| Сообщение посчитали полезным:

Я тоже распаковал эту прожку.
Bronco твой крак даже не запускается, пока не смотрел, почему.
Проверки рега ты там не найдешь, потому что АСПР хитро делает:
Он криптует код, проверяющий рег., а затем, при запуске проги он пытается раскриптовать этот код по регу. А в самой проге этот участок выглядет так:
jmp @NotRegistered
мусор; <-
мусор; <- это нераскриптованая процедура проверки рега
мусор; <-
@NotRegistered:
Так что, пока не введешь правельный рег, не увидишь и процедуры проверки...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Обязательно ли аспр 1.2 и выше, прячет байты проги?
как на них выйти?

| Сообщение посчитали полезным:

Saniych скачай, любую версию и попробуй защитить какую нибудь прогу и сам все поймешь.
Bronco разобрался, почему незапускается:
00405ECE . 50 PUSH EAX ; /String2
00405ECF . 8D85 E3FEFFFF LEA EAX,DWORD PTR SS:[EBP-11D] ; |
00405ED5 . 50 PUSH EAX ; |String1
00405ED6 . E8 89B4FFFF CALL <JMP.&kernel32.lstrcpy> ; \lstrcpyA

в стеке адрес возврата после этой ф-ции 5С317E4F - сам понимаешь, что после этого она вылетает.
в оригинальной проге в стеке EB0370

Кстати, а зачем ты там столько секций наделал, у меня все в .adata влезло.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

я ни че не делал , все автоматически делалось
Я ж говорил что я токо учусь
За подсказку пасибо приду домой разберусь

| Сообщение посчитали полезным:

Да уж аспр настолько хитро делает проверку!
Иногда настолько хитро что убивается правкой 0 на 1!
Barakuda прав! Некотрые хваленые защиты снимаются буквально за секунды!
Вот пример Clip Plus 4.0 пакована ASProtect 2.1x SKE -> Alexey Solodovnikov
0040E7C1 00 на 01 и все! Сделать лоадер то же секунды!
А распаковка заняла часа три ! Так это еще аспр без наворотов! Самой простой комплектации!
Так есть ли смысл всегда стремиться распаковать?

| Сообщение посчитали полезным:

PE_Kill
Не наю,у меня пашет без ошибок.Был на ДРождения,там проверял тоже пашет.
По поводу секций,по пути НС( наименьшего сопротивления),В .adata не влазило,дампил регионами,также и прилипил.
Патчил конечно дофига,и импорт левый откудо то вылазит.
Из демо кажись только наг на входе и выходе, и триал.Триал ушёл,после аспра.Для Нага рубил вызовы,тупо нопил.Ну и так по мелочам.
Ты кстати какою версию ковырял?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Ты кстати какою версию ковырял?
4.0 что на сайте у них.

А невлазило у тебя в .adata потому, что ты лишние нули не отрезал.

Я наг не так убрал. Там глюк какойто с триалом. Перед нагом (не помню где) проверяются три метки.
Я одну из них занопил и наг не появился не при запуске, не при закрытии. Правда появилась надпись EXPIRED! в заголовке, но это тоже дело 1-го нопа.

Может у меня не запускается из-за винды (XP SP2 + All patches >100)
Ты попробуй на Win98 запусти. Я после этого 3 бага пофиксил с импортом.
Попробую дома твой крак запустить, может там запустится.

pavka я и неспорю, если не использовать АПИ АСПРА на полную катушку, то нахрена вообще его вешать на программу IMHO. Слей Frigate 3.0 и попробуй распаковать. Нет ты конечно распакуешь и поменяешь 0 на 1, и он даже работать будет. НО! Найди, где там проверяется рег и выводится - зарегана прога или нет. Подсказка. Найди в нете сериал, зарегай и убедись, что 1/10 проги при старте расшифровывается.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Мне в принципе глубоко фиолетово сколько 1/10 или половина! Если можно с минимальными затратами времени все это обойти! Не вижу смысла тратить время, тем более результат тот же!
А что просто Registered что Registered " Name" какая разница!

| Сообщение посчитали полезным:

pavka ты сам то понял, что сказал? (без обид).
Если 1/10 проги покриптована и не выполняется, пока не введешь рег (даже в распакованой) то как ты это собрался обходить? Брутфорс RSA (а может и не RSA), не зная даже что получиться должно?
И еще - функция проверки рега не занимает 1/10 программы, просто в пошифрованом виде ее быстрее всего найти не вводя сериал. Там также пошифрованы ф-ции работы с некоторыми плагинами и т.д.
И вообще это похоже на крипто макросы, может они в приват версии АСПРа имеются...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Может и имеются! Но большинство протектит по самому минимуму! VM и то встретишь достаточно редко!
Чего гадать может не может будет конретный случай буду смотреть!

| Сообщение посчитали полезным:

Bronco блин я уже задолбался твой крак отлаживать, не могу понять, почему адреса возврата в стеке нет. Скажи у тебя на машине Делфи стоит? А то карак падает, как раз после проверки на присутствие Делфи. Может если не стоит, то прога раньше из процедуры выходит и не доходит до этого места?

ЗЫ У меня Делфи стоит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: