PEiD пишет ASProtect 1.2x [New Strain] как эту хрень можно распаковать.

| Сообщение посчитали полезным:

Эту хрень распаковывает Stripper 2.07 или выше

| Сообщение посчитали полезным:

stripper v207f распаковывает, но программа после этого не запускается, может я что-то не так делаю, подскажите похожую статейку.

| Сообщение посчитали полезным:

Simons пишет:
stripper v207f распаковывает, но программа после этого не запускается, может я что-то не так делаю
Да, точно, не так делаешь, делай по другому.

| Сообщение посчитали полезным:

Но а как по другому.

| Сообщение посчитали полезным:

Simons
http://www.exelab.ru/art/

| Сообщение посчитали полезным:

Там ничего нет про Stripper.

| Сообщение посчитали полезным:

Simons
Тогда поищи на Google файл справки и Руководство пользователя:
StripperHelp.chm
StripperManual.chm

| Сообщение посчитали полезным:

Нет там ничего. Может кто распаковывал Kassy03d.

| Сообщение посчитали полезным:

Simons
Если пишешь про какую-то прогу, надо давать прямую ссылку на файл и его размер.

| Сообщение посчитали полезным:

www.stampz.ru/kassy/kassy03d.zip

| Сообщение посчитали полезным:

RideX пишет:
StripperHelp.chm
StripperManual.chm
LOL

| Сообщение посчитали полезным:

Simons пишет:
Kassy03d.
там дема.

| Сообщение посчитали полезным:

Всё ясно, а где взять не демку, может кто знает.

| Сообщение посчитали полезным:

Simons
Э, дружище, ты же распаковать хотел? Так тренируйся, а то я уже за тебя всё сделал

OEP: 00097F4C

Stolen:
55 push ebp
8BEC mov ebp,esp
83C4F0 add esp,-010
53 push ebx
B8347D4900 mov eax,000497D34
E817EAF6FF call 000406974

IAT RVA: 00300154, Length: 000006D8
См. аттач

668276838__IAT.txt

| Сообщение посчитали полезным:

Честно скажу, я ничего не понял.

| Сообщение посчитали полезным:

RideX пишет:
Э, дружище, ты же распаковать хотел?
По ходу он распакованную хотел

-----
Всем не угодишь

| Сообщение посчитали полезным:

Simons пишет:
Честно скажу, я ничего не понял.
Да, ну и х.. с ним, мне объяснять лень

| Сообщение посчитали полезным:

По ходу он распакованную хотел
Нет, но хотя-бы можно немного объяснить начинающему, как всё это делается.

| Сообщение посчитали полезным:

RideX Обьясни как получил файл 668276838__IAT.txt

| Сообщение посчитали полезным:

Simons, оставь АсПротект пока в покое, и возьми например UPX или AsPack распаковывать.

| Сообщение посчитали полезным:

Simons
Всему свое время. Сначала простой взлом, потом уже с распаковкой.

| Сообщение посчитали полезным:

Я бы рад, но у меня 2 CD mega-soft и там всё запаковано ASProtect. да и в инете не дураки, знают что труднее взломать.

| Сообщение посчитали полезным:

Simons, бесполезно распаковывать Аспротект, не зная азов ручной распаковки. Поэтому прислушайся к советам и начинай с более легкого.

| Сообщение посчитали полезным:

А новый стриппер старый аспр не берет?
МОжно еще caspr'ом попробовать

| Сообщение посчитали полезным:

Ура распаковал автоматически программой stripper_v211rc2
взял:
www.wasm.ru/tools/6/stripper.zip
А вы говорите бесполезно распаковывать Аспротект.

| Сообщение посчитали полезным:

WELL пишет:
А новый стриппер старый аспр не берет?
Неа, только 1.3х - 2.х

WELL пишет:
МОжно еще caspr'ом попробовать
caspr [New Strain] не знает.

Simons
Вот подробнее:
Брякаешься здесь: 00C63579, здесь формируется IAT, в eax ложаться адреса API, смотришь на стек 00700154 - 00400000 = 00300154 (начало IAT). Call по адресу 00C63579 занопить (после выхода из цикла восстановить) чтобы получить чистый импорт.
00C6356F 56 PUSH ESI
00C63570 8B450C MOV EAX,DWORD PTR SS:[EBP+C]
00C63573 50 PUSH EAX
00C63574 E843FCFFFF CALL 00C631BC
00C63579 E87EFEFFFF CALL 00C633FC ;<= здесь nop's
00C6357E 8B17 MOV EDX,DWORD PTR DS:[EDI]
00C63580 8902 MOV DWORD PTR DS:[EDX],EAX
00C63582 EB7E JMP SHORT 00C63602
00C63584 83FB 06 CMP EBX,6
00C63587 7405 JE SHORT 00C6358E
00C63589 83FB03 CMP EBX,3
00C6358C 7537 JNZ SHORT 00C635C5

00C755D4 8D81B555C700 LEA EAX,DWORD PTR DS:[ECX+00C755B5]
00C755DA 2BC1 SUB EAX,ECX
00C755DC FF502C CALL DWORD PTR DS:[EAX+2C] ;<=заходишь, там дампишь, здесь Stolen с мусором
00C755DF 0FE8EB PSUBSB MM5,MM3
00C755E2 55 PUSH EBP

Вот они:
55 push ebp
8BEC mov ebp,esp
83C4F0 add esp,-010
53 push ebx
B8347D4900 mov eax,000497D34

Вот добрался до OEP: 00097F4C - 00400000 = 00097F4C
сюда потом в дампе впишешь stolen bytes
00497F47 000C7D 49000000 ADD BYTE PTR DS:[EDI*2+49],CL
00497F4E 0000 ADD BYTE PTR DS:[EAX],AL
00497F50 0000 ADD BYTE PTR DS:[EAX],AL
00497F52 0000 ADD BYTE PTR DS:[EAX],AL
00497F54 0000 ADD BYTE PTR DS:[EAX],AL
00497F56 0000 ADD BYTE PTR DS:[EAX],AL
00497F58 E817EAF6FF CALL 00406974
00497F5D 8B1DA45E4C00 MOV EBX,DWORD PTR DS:[004C5EA4]

Всё, в ImpRec'е вписываешь найденный OEP, получаешь чистый импорт и прикручиваешь к дампу, ну или Save Tree и прикручиваешь в аттач на форуме ;)

Вот и всё, в этом случае никаких заковырок нет, всё проходит идеально, успехов ;)

| Сообщение посчитали полезным:

Simons пишет:
распаковал автоматически программой stripper_v211rc2
Что-то странно, в readme написано:
* what is new in 2.11
- aspr 1.3 - 2.0 unpacking (to unpack aspr < 1.3 and aspack use stripper 2.07f)

| Сообщение посчитали полезным:

Simons пишет:
А вы говорите бесполезно распаковывать Аспротект.
Ну дак учись унпачить руками.. а не автоматами.

| Сообщение посчитали полезным:

Дык ща стриппер последний выложили вы че думаете кто -то ручками захочет распаковывать, им же лень учится...

| Сообщение посчитали полезным: