 |
eXeL@B —› Протекторы —› ASProtect 2.0x - что еще за Х? |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 06 января 2006 15:27 · Личное сообщение · #1 Доброго времени суток! Решил я тут, наконец, доломаться до истины. В общем, понадобилось мне распаковать прогу, защищенную сабжем. Написал свой скрипт для восстановления CALL 00FA0000 - с этим у меня проблем не возникло - все восстановилось полностью. Но прога все равно падает. Там помимо CALL 00FA0000 есть еще JMP 00DE0000 и т.д. Вопрос: как восстанавливать эти джампы??? ----- MicroSoft? Is it some kind of a toilet paper?  |
|
|
Создано: 11 января 2006 11:32 · Личное сообщение · #2 у меня мой скрипт грит что OEP not stolen и он прав %) а ВМ там есть, но не на ОЕПе |
|
|
Создано: 11 января 2006 13:29 · Личное сообщение · #3 Я извиняюсь, не досмотрел до конца. Есть там ВМ. У меня 0046A499 CALL 00CF0000, их там более 100 таких вызовов. |
|
|
Создано: 11 января 2006 15:42 · Личное сообщение · #4 sanniassin пишет: у меня мой скрипт грит что OEP not stolen Еще раз извиняюсь, но я его пробую с другой программой, и он говорит что stolen. |
|
|
Создано: 11 января 2006 16:39 · Личное сообщение · #5 sanniassin Скрипт наверное из статьи BiT-H@ckа! Похоже он его тетстит на всем что под руку попадается!)) |
|
|
Создано: 12 января 2006 09:43 · Личное сообщение · #6 А что по поводу внутренней защиты программы? Никто не смотрел? Я exe'шник давал. ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 12 января 2006 19:54 · Личное сообщение · #7 Tim Огромное спасибо за script! Здорово помог, а распакованный ЕХЕ не качается. |
|
|
Создано: 13 января 2006 09:09 · Личное сообщение · #8 cadet Нуежели? =) А что распаковывал? ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 13 января 2006 19:33 · Личное сообщение · #9 Tim У меня программа нужно заменить call на jmp. Script от SergSh не срабатывал и чего только я не пробовал, не получалось, чтоб функции находились на ESP +40, ESP +2C. А твои скрипт работает по другому видимо принципу, после старого нового года, посмотрю. Быстро все расставил, правда я еще с этими праздниками ничего не проверял, но таблица красивая получилась! |
|
|
Создано: 13 января 2006 20:40 · Личное сообщение · #10 cadet пишет: нужно заменить call на jmp. Script от SergSh не срабатывал и чего только я не пробовал, не получалось, Немного доработай его под свою прогу и он должен работать. Как, правило, скрипт не универсален и его надо подстроить под исследуемую прогу. |
|
|
Создано: 13 января 2006 23:54 · Поправил: Tim · Личное сообщение · #11 cadet Если тебе нужно было заменить call на jmp, тогда надо было поменять в скрипте FF15 на FF25. Хотя ты сделал это, наверное. =) Вообще-то, после отработки скрипта в таблице импорта могут остаться "левые" адреса. Это проделки Аспра и их можно удалить. Но среди них могут оказаться и настоящие, которые исправляются трейсерами для Аспра 1.22 или 1.34 (у меня, если правильно помню, это была функция GetProcAddress). А скрипт от SergSh мог не работать из-за неправильной установки бряка в функции VirtualAlloc на твоей ОС. Хотя, хз, не смотрел я его. ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 25 января 2006 08:08 · Личное сообщение · #12 Добавил в свой скрипт интерактивный режим - это для того, чтобы можно было выбирать, какой опкод ставить: FF15 или FF25.  58b4_ASProtect_2.0x_FLStudio6.osc.zip
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 25 января 2006 08:22 · Личное сообщение · #13 pavka пишет: Похоже он его тетстит на всем что под руку попадается!)) Неа, я уже тулзу написал заместо этого скрипта 
|
|
|
Создано: 25 января 2006 08:52 · Личное сообщение · #14 Bit-hack пишет: я уже тулзу написал заместо этого скрипта Выложи свой 0дей стрипер тоже потестим ;) |
|
|
Создано: 25 января 2006 15:20 · Личное сообщение · #15 Bit-hack Я то же не против потестить!)) |
|
|
Создано: 25 января 2006 19:09 · Личное сообщение · #16 Привет всем! После январских праздников и этого глобального похолодания мозги совсем не работают...  Но все же, их работы хватило, чтобы доделать дампер и выложить его для тестинга. 
Зачем это вообще нужно? 
Дампер был сделан для того, чтобы можно было дампить отдельные участки памяти в один файл. Конечно же, это не все, что он может. Сами разберетесь. 
Как это работает? 
Дампер использует таблицу памяти (memory map) из OllyDbg. Для того, чтобы начать работу с дампером, вы должны скопировать всю таблицу памяти в буфер обмена. Делается это так: нажимаете Alt+M, в контекстном меню выбираете Copy to clipboard -> Whole table. Далее вставляете эту таблицу в дампер и... Дальше - дело техники! P.S. Так как дампер парсит таблицу построчно, перед копированием рекомендуется сделать следующее: Appearance -> Default columns. Иначе таблица может вставиться некорректно. 
P.P.S. Если вы помечаете разрывный диапазон - будет создано несколько файлов. Дампер: asprdump.zip http://timqwerty.narod.ru/asprdump.zip ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 26 января 2006 06:44 · Личное сообщение · #17 Tim пишет: чтобы можно было дампить отдельные участки памяти в один файл. Интересно, я то же самое пишу на скрипте. |
|
|
Создано: 26 января 2006 19:53 · Личное сообщение · #18 tar4 Дык, что, может есть какие-нибудь идеи? 
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 26 января 2006 21:36 · Личное сообщение · #19 Tim Решил сейчас попробовать твой дампер. Скопировал таблицу, отметил сектор, а сохранить никак не получается. Пишет не могу создать и записать. По умолчанию в темр что-то сохраняет, а вот если изменить путь и дать какое-то имя файлу не идет. Посмотри на досуге, может что-то я делаю не так? классно ты придумал менюшку в скрипте! |
|
|
Создано: 27 января 2006 03:35 · Личное сообщение · #20 cadet То есть, пишет "Dumping..." и после 100% выдает, что не может сохранить, так? ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 27 января 2006 03:37 · Личное сообщение · #21 cadet пишет: По умолчанию в темр что-то сохраняет, а вот если изменить путь и дать какое-то имя файлу не идет. Что-то я ничего не понял.
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 27 января 2006 03:52 · Личное сообщение · #22 Сейчас проверил дампер под 98-ой. Работает все нормально. Только есть один косметический косячок - PIDы с отрицательными значениями. Но это делу не мешает, просто не очень красиво.
В общем, на данном этапе я не знаю как тебе помочь - нужно больше информации! 
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 27 января 2006 06:05 · Личное сообщение · #23 Tim пишет: нажимаете Alt+M А почему VirtualQueryEx не используешь? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 27 января 2006 07:05 · Личное сообщение · #24 PE_Kill пишет: А почему VirtualQueryEx не используешь? Ну хорошо, а допустим, тебе надо взломать прогу, что, ты будешь неделю писать тулзу, чтобы всего-навсего сделать дамп? Я бы не стал... По крайней мере, сейчас. 
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 27 января 2006 08:50 · Личное сообщение · #25 По моему с VirtualQueryEx быстрее получится, чем парсер писать. Ну да ладно, это твое дело. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 27 января 2006 10:08 · Личное сообщение · #26 Tim Дампер сделать проще чем ты думаешь... На каком языке пишешь? ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 27 января 2006 10:32 · Личное сообщение · #27 Аnice пишет: На каком языке пишешь? А какая разница? Там все равно голый АПИ... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 27 января 2006 10:47 · Поправил: cadet · Личное сообщение · #28 Tim Все хорошо! Все работает, просто вчера, наверное комп не в "духе" был. Сегодня с утра все сделал как надо! |
| << . 1 . 2 . |
|
eXeL@B —› Протекторы —› ASProtect 2.0x - что еще за Х? |
Для печати