Есть прога, протек4ена сабжом. Я так понимаю ето не хухры-мухры (по крайней мере для мня =)) и собсно хотел спросить, не знает ли кто-нить каких-нить тутороф, штоб сабж замочить. Остновная трабла (а может и не трабла, ето я собираюсь выяснить =)) в том, что в с@бже нету исклю4ений, а во всех туторах, какие я читал/видел/слышал при распакоффке опираюца на долбаные исключения. Ну и я, понятно, не знаю с чего начать. Мож кто подкинет урлу, даст х0р0шый совет по анпаку етого Zверя, буду ве$ьма благодарен.

| Сообщение посчитали полезным:

Почистил топик и перенес.

| Сообщение посчитали полезным:

а чё не за прога?

| Сообщение посчитали полезным:

Прога короче "PLTable Версия 4.0" Чёто так кажеца написана на дельфях, но ваще хз.
Там триал (помойму не аспровский), 30 дн триал. Где слить прогу не знаю, её дал один чел, вот сайт проги: www.chemtable.com. Аффтар сцуко навесил прот последний.

| Сообщение посчитали полезным:

попробуй почитать тутор PE-Kill'а(в рар статьях), он писал про распаковку второй ветки аспра, правда версий постарее, но всё же...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Если я не ошибаюсь, то для этой версии тутор усторел. т.к. там переписали вм

| Сообщение посчитали полезным:

Та статья вроде тоже с исключениями. Поковыряли бы хоть прогу-то. Она вродь небольшая.

| Сообщение посчитали полезным:

Luminescent
Если ты без эксепшнов на оеп не можешь выйти какой смысл тебе ковырять ее, помести в запросы мож кто возьмется!

| Сообщение посчитали полезным:

Если ты не будишь писать декомпиль для новой VM, то можешь сразу засунуть эту прогу в топку. А про ОЕП... На www.unpack.cn в разделе Olly Scripts есть глюковатый скрипт для прохождения к OEP , он тебе поможет. Но опять же декомпилей для VM нет. А если прога не на Delphi, то нужен декомпиль еще и для VM API. Так что с лету сломать не получится... Да и не слету, если сам писать ничего не будешь.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Если ты без эксепшнов на оеп не можешь выйти какой смысл тебе ковырять ее
Так я таких статей не видел, чтоб без эксепшнов оеп находить. В рар статьях я чёто ничё не нашел. В аспре я конечно ломок пока, вм конечно я хрен долбану, ну мож тогда кто даст статейку какую-нить, без етих ексепшнов, чтоб хоть дело продвигалось. А чужые скрипты мне не ф кайф юзать, я б хотел сам разобраца, чтоб понимать как ето работает.

| Сообщение посчитали полезным:

Не ф кайф скрипты юзать, и ... Включаешь все экзепшены в Олли, жмешь 2 раза shift+F9, включаешь игнорирование всех экзепшинов, ставишь мемори бряк на секцию с кодом, жмешь опять shift+F9, и прерываешься на OEP если оно не сперто, если сперто - смотришь в стэк, и получаешь адрес для спертого кода.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits пишет:
жмешь 2 раза shift+F9...
Я _один_ раз жму и прога запускаеца. Я ж говорю, нет ексепшнов ВАЩЕ, хоть ты игноры врубай хоть вырубай. Наерно то чё ты мне предложил для етой версии не прокатит, но на других я попробую

| Сообщение посчитали полезным:

Luminescent
Нет ексепшнов так это же здорово! Меньше клаву топтать! Оеп и без них найти не проблема!
Притом способов притом разными способами! Как вариант можно посмотреть как заполняется иат по окончанию поставить мемори бряк на секцию кода и т.д
Ты прочти внимательно пост PE_Killа

| Сообщение посчитали полезным:

Ну дал для азмышлений, например у меня, адрес функции в IAT пишется по такому VA - 00583430, ставлю сюда мемори бряк на запись, и когда вставляется сюда адрес функции, то код полностью распакован, после вставка идет переходников для спертого импорта (например CALL 01510000), после этого можешь ставить мемори бряк на секцию с кодом и попадешь на EP программы (у меня тут 0054B596 CALL 1510000)
DrFits пишет:
смотришь в стэк, и получаешь адрес для спертого кода - теперь думаю напишешь статью про декомпиляцию ВМ ;)
P.S.: прога написана в Borland C++ 2005

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

pavka пишет:
Ты прочти внимательно пост PE_Killа
Да слил я етот скрипт, запускаю, он на полиморф выежжает, становица на call, в котором тоже полиморфный бред, и спрашивает "ето столен код?". На других версиях аспра у меня скрипт не работает.
Вот еще вопрос: как узнать адрес IAT. Я сморел в хедере, а там IAT_rva = 0, IAT_size = 0. Я вот тут попробовал ставить бряк на GetProcAddress, чтоб посмотреть куда полученные адресочки пишуца, но ничё неполучаеца, т.к. все вызовы из сус. длл

| Сообщение посчитали полезным:

Luminescent пишет:
спрашивает "ето столен код?".
Он не спрашивает, а сообщает. Это и был OEP, а

Luminescent пишет:
он на полиморф выежжает, становица на call, в котором тоже полиморфный бред
а это не полиморфный бред, а VM аспра. Видать не читал ты мою статью...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Luminescent пишет:
Я ж говорю, нет ексепшнов ВАЩЕ
В принципе, такое возможно, если Exception'ы в настройках Olly заигнорены...

| Сообщение посчитали полезным:

PE_Kill прочитал всю статью. Хорошая статья. Спасибо. Тока ты там писал, чтоб найти IAT нужно в секции кода найти любую АПИ, и смореть откуда идёт вызов. Но эт мона тока тогда када ты нашол ОЕП, а чтоб найти ОЕП мне сказали ставить бряк на запись на последний адрес в IAT... я чето не догоняю... Мож ещё как мона оеп найти, без бряка в иат?
Koluchy чё умный штоль? Что ты хотел сказать своим постом?

| Сообщение посчитали полезным:

Сорри - невнимателен...

| Сообщение посчитали полезным: