Вот длл'ка зашифрована сабжем посоветуйте как найти OEP желательно OllyDbg, хотя SICE тож сойдёт. Заранее спасибо.
З.Ы. Кстати есть какие-нибудь отличия для снятия ASPRа с DLL от снятия с EXE? Что поставить на OllyDbg чтобы его не обнаруживал ASPR?

Искал статьи, подходящего ничего не нашёл...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro, длл куда-нибудь выложи

| Сообщение посчитали полезным:

Вот сама DLL вообще Source Wizard для Delphi, там длл для D5,6,7. Для D7 крякнутая длл в сети есть, а для D6 нет... Сам буду ломать.
Вот урл: softsl.hut1.ru/fclick/fclick.php?fid=207 (823кб)- компонент, аттач сама длл:

28b5_SourceWizard_D6.dll

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

...и ещё может кто знает где найти AsprDbgr ???

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro

вот такой ?

b9f9_AsprDbgr_build_106.zip

| Сообщение посчитали полезным:

Если собрался пользоваться аспрдебугом, а не вручную снимать,то лучше юзай AsprStripper и не парься. Качать с syd.nightmail.ru .

-----
SaNX

| Сообщение посчитали полезным:

трэйсю OllyDbg'rom по SHIFT+F9 или гружу аспрдебугом и мне аспр выдаёт Что "в системе отладчик" и.т.д. Как это обойти? Кстати AsprStripper распаковывает, но с импортом глюк... Так что нужно как-то OEP найти... Идеи хоть какие-нибудь конструктивные есть?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Всё со скрытием дебаггега справился(Olly_Invisible_0.9.0.6)... Вот что я делал дальше:
Гружу прогу в Olly жму F9, останавливаюсь на EXCEPTION'e далее считаю нажатия SHIFT+F9 до
"Initialzation of debugged DLL finished", делаю всё сначала но жму SHIFT+F9 на 1 раз меньше останавливаюсь на:

00B63CFB 31C0 XOR EAX,EAX
00B63CFD 64:FF30 PUSH DWORD PTR FS:[EAX]
00B63D00 64:8920 MOV DWORD PTR FS:[EAX],ESP
00B63D03 3100 XOR DWORD PTR DS:[EAX],EAX <<<<<<<<<<<<<здесь остановились
00B63D05 64:8F05 00000000 POP DWORD PTR FS:[0]
00B63D0C 58 POP EAX
00B63D0D 833D BC7EB600 00 CMP DWORD PTR DS:[B67EBC],0
00B63D14 74 14 JE SHORT 00B63D2A
00B63D16 6A 0C PUSH 0C
00B63D18 B9 BC7EB600 MOV ECX,0B67EBC
00B63D1D 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00B63D20 BA 04000000 MOV EDX,4
00B63D25 E8 E6D2FFFF CALL 00B61010
00B63D2A FF75 FC PUSH DWORD PTR SS:[EBP-4]
00B63D2D FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00B63D30 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00B63D33 8338 00 CMP DWORD PTR DS:[EAX],0
00B63D36 74 02 JE SHORT 00B63D3A
00B63D38 FF30 PUSH DWORD PTR DS:[EAX]
00B63D3A FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00B63D3D FF75 EC PUSH DWORD PTR SS:[EBP-14]
00B63D40 C3 RETN



далее MemoryMap ставлю "Memory breakpoint on access" на

~~~~~~~~~~~~~~~~~~~~~~~~
00970000 00001000 SourceWi PE header Imag R RWE
00971000 00008000 SourceWi code Imag R RWE <<<<<<<<<<<<<сюда ставлю бряк
00979000 00001000 SourceWi Imag R RWE
0097A000 00001000 SourceWi Imag R RWE
0097B000 00004000 SourceWi Imag R RWE
0097F000 00001000 SourceWi exports Imag R RWE
00980000 00001000 SourceWi Imag R RWE
00981000 0000C000 SourceWi .rsrc resources Imag R RWE
0098D000 00015000 SourceWi .data SFX,data,imp Imag R RWE
009A2000 00001000 SourceWi .adata Imag R RWE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


жму SHIFT+F9...попадаю сюда:


009785AD 83 DB 83
009785AE 97 DB 97
009785AF 00 DB 00
009785B0 55 DB 55 ; CHAR 'U' <<<<<<<<<<<<<здесь
009785B1 8B DB 8B
009785B2 EC DB EC
009785B3 83 DB 83
009785B4 C4 DB C4



далее SHIFT+F9 и точно такие же куски кода мало похожего на OEP...
Что не так?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro CTRL+A -> Analise Code ;)

| Сообщение посчитали полезным:

ОК жму CTRL+A и несколько раз SHIFT+F9 получаю:


009712E0 /$ B8 00909700 MOV EAX,SourceWi.00979000
009712E5 |. E8 8EFEFFFF CALL SourceWi.00971178 ; JMP to rtl60.@System@RegisterModule$qqrp17System@TLibModule
009712EA \. C3 RETN
009712EB 90 NOP
009712EC . BA 00909700 MOV EDX,SourceWi.00979000 <<<<<<<<<здесь
009712F1 . 837D 0C 01 CMP DWORD PTR SS:[EBP+C],1
009712F5 . 75 2A JNZ SHORT SourceWi.00971321
009712F7 . 50 PUSH EAX
009712F8 . 52 PUSH EDX
009712F9 . C605 00A09700 >MOV BYTE PTR DS:[97A000],1
00971300 . 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
00971303 . 890D 0CA09700 MOV DWORD PTR DS:[97A00C],ECX
00971309 . 894A 04 MOV DWORD PTR DS:[EDX+4],ECX
0097130C . C742 08 000000>MOV DWORD PTR DS:[EDX+8],0
00971313 . C742 0C 000000>MOV DWORD PTR DS:[EDX+C],0
0097131A . E8 C1FFFFFF CALL SourceWi.009712E0
0097131F . 5A POP EDX
00971320 . 58 POP EAX
00971321 > FF35 10A09700 PUSH DWORD PTR DS:[97A010]
00971327 . B9 18909700 MOV ECX,SourceWi.00979018
0097132C . E8 B7FDFFFF CALL SourceWi.009710E8 ; JMP to rtl60.@System@@StartLib$qqrv
00971331 . C3 RETN
00971332 8BC0 MOV EAX,EAX
00971334 . 55 PUSH EBP
00971335 . 8BEC MOV EBP,ESP
00971337 . 33C0 XOR EAX,EAX
00971339 . 55 PUSH EBP

где же OEP?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

спёртых байтов нет (вроде аспр в длл их вообще не тырит), oep: 003a85b0

делаю так, дохожу до последнего исключения, ставлю бряк чуть ниже на retn, отпускаю по shift+f9, жду пока брякнется, убираю бряк, ставлю новый на секцию кода, отпускаю - oep

| Сообщение посчитали полезным:

Av0id: Хм, попробовал сделать так как ты написал, всё равно тот же самый результат...

Av0id пишет:
oep: 003a85b0
как это может быть OEP, если тогда RVA=003a85b0-00400000=FFFFFFFFFFFA85B0? Да и Import REConstructor пишет Invalid OEP...

Может я что-то неправильно понял?

Ещё идеи есть?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro
Ты уверен, что ImageBase у неё = 00400000?

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

да, тот же самый Import REConstructor пишет именно 00400000

а вот из дампа Olly Dbg:
00400134 00004000 DD 00400000 ; ImageBase = 400000

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

З.Ы. Дамп PE- хидера

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro
ну и что? длл может грузится по разным адресам, что тут и произошло

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice там ДЛЛ 120 кб сам скачай посмотри не выходит так как пишет Av0id!

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

...творческие идеи исчерпаны...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

stripper 2.07 распаковывает это чудо
можно также инлайн патч

| Сообщение посчитали полезным:

r99 пишет:
stripper 2.07 распаковывает это чудо
так интереснее и познавательнее это чудо вручную распаковать-то, а тут даж OEP почему-то правильный найти даж никто не может...
Странная какая-то ДЛЛ...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Всё таки хоть кто-нибудь вручную нашёл в этой ДЛЛ OEP?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

я нашёл и даже распаковал и пофиксил iat

| Сообщение посчитали полезным:

Ради интереса попробовал Stripper. Вот что заметил:
Stripper пишет что OEP=000085b0
Av0id пишет что OEP=003a85b0
А я вылетаю здесь:

009785AD 83 DB 83
009785AE 97 DB 97
009785AF 00 DB 00
009785B0 55 DB 55 ; CHAR 'U' <<<<<<<<<<<<<здесь
009785B1 8B DB 8B
009785B2 EC DB EC
009785B3 83 DB 83
009785B4 C4 DB C4

Как то странно всё завязано на 85b0....
nice пишет:
длл может грузится по разным адресам, что тут и произошло

хм, а чем же тогда и как определить этот адрес?

2Av0id обьясни как...

З.Ы. кстати ASProtect 1.23 RC4 Registered

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

2Av0id: а какой ты брал ImageBase при вычислении RVA и как ты его искал?

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

я смотрел imagebase не в lordpe, а в imprec'e после выбора dll и в опция галочку убирал "use pe header from disk" и вводил следующие данные:

- oep: 85b0
- rva: b000
- size: 1500 (и долгий trace)

| Сообщение посчитали полезным:

Viktoro
пишет что OEP=000085b0 Av0id пишет что OEP=003a85b0

походу там Image Base 3a0000

| Сообщение посчитали полезным:

надо же imprec пишет тоже самое

| Сообщение посчитали полезным:

файл

29bd_dumped_.rar

| Сообщение посчитали полезным:

Av0id а длл'ка-то твоя не пашет что-то забыл походу

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

варианта два, неполностью импорт восстановил или imagebase нужно вернуть на прежний, а через олькин dll-load грузится нормально :\

| Сообщение посчитали полезным: