Привет всем!
Тут возникла такая вот проблемма:
Давно использую программу Advanced Serial Port Monitor 3.0.2 build 11
(url: [url=http://www.aggsoft.com/download/update/aspm302b11.zip)
]http://www.aggsoft.com/download/update/aspm302b11.zip)
[/url]
Размер: 948.744 байт.

Очень полезная прога для тех, кто работает с внешними устройствами.

Но она работает только 15 дней и ограничение на количество передаваемых и принимаемых пакетов 1024. Пакована ASProtect-ом 1.23 RC4 Registered (по крайней мере так сказал peid).

Решил распаковать, используя множество руководств как с данного сайта, так и с других. Но так ничего и не получилось.
При запуске уже исправленного дампа винда матерится: обнаружена ошибка. Приложение будет закрыто и т.д.

Что самое интересное, следуя разным руководствам получал разные OEP

Может кто подскажет, где все-таки реальное OEP и где искать stolen bytes и как до этого добрались, а дальше я попробую сам восстановить. (Все-таки первый раз распаковываю, так охота вкупиться в эту тему ).

| Сообщение посчитали полезным:

vdv
Если в Ollydebugger то без проблем находиться просто перед
последним исключением жмешь "SHIFT+F7" и ставишь Set Memory breakboint on access и F9.Только окажешься немного
ниже места где настоящий ОЕР.Но его там не будет -Stolen Bytes нули на этом месте.Дальше не знаю.можешь попробовать
скрипт Mario555.

| Сообщение посчитали полезным:

test

А где взять скрипт mario555?

| Сообщение посчитали полезным:

vdv
почитай, там ссылки тоже есть
hice.antosha.ru/AsProtect.rar

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice

Как раз это руководство я и изучал перед тем как
попытался распаковать.
Но как мне кажется как-то там все бело и пушисто:
вот, пожалуйста, OEP; вот и stolen bytes,
я все делал, следуя руководству, но увы..... ,
не запускается.
Может у кого есть еще примеры распаковки на
собственном опыте. Был бы очень признателен за
любую информацию по этой теме.

| Сообщение посчитали полезным:

vdv.
Дак ты чем пользуешся? айсом или Olly?

| Сообщение посчитали полезным:

DFC

Вообще пытался распаковать в Olly (полностью следуя инструкции), но тишина........

| Сообщение посчитали полезным:

Возьми стриппер =)

| Сообщение посчитали полезным:

WELL

После стриппера не запускается!

| Сообщение посчитали полезным:

Stripper 2.11 rc 2 by syd

| Сообщение посчитали полезным:

Да скорее всего там триал на аспр просто завязан. Ты распакованную прогу в олли открой и запусти. Она вывалится на каком-нибудь мемори аксес. Ну ты это обращение занопь и т.д. пока не запустится. Просто программа обращается к адресам аспра что бы узнать сколько времени работать осталось а тк аспра нет то и памяти нет.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

И вообще дай ссылку.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

vdvВсе скрипты я беру здесь-http://ollyscript.apsvans.com/

| Сообщение посчитали полезным:

упс подслеповат стал

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

NIKOLA

Ни Stripper 2.07F, ни Stripper 2.11 RC2 не справляются.
Пытаюсь руками распаковать.

| Сообщение посчитали полезным:

Styx

Спасибо за совет, попробую.
А ссылка как ты уже увидел в самом начале

| Сообщение посчитали полезным:

а там проверо к больше 30, возьми пока другую программу или исследуй тщательно после распаковки, в часности, помню там проверяется РЕ заголовок, который отличается от распакованого и программа искуственно себя убивает

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

vdv
Кстати после стриппера полностью распакованный файл получается.Остается только подправить ОЕР там не верный
и восстановить краденные байты вот
ОЕР толко я занопил нули для наглядности
004076A5 90 NOP
004076A6 90 NOP
004076A7 90 NOP
004076A8 90 NOP
004076A9 90 NOP
004076AA 90 NOP
004076AB 90 NOP
004076AC - FF25 34E35C00 JMP DWORD PTR DS:[<&kernel32.GetModuleFileNameA>] ; kernel32.GetModuleFileNameA
004076B2 8BC0 MOV EAX,EAX
004076B4 - FF25 30E35C00 JMP DWORD PTR DS:[<&kernel32.GetModuleHandleA>] ; kernel32.GetModuleHandleA
004076BA 8BC0 MOV EAX,EAX
004076BC - FF25 2CE35C00 JMP DWORD PTR DS:[<&kernel32.LocalAlloc>] ; kernel32.LocalAlloc
004076C2 8BC0 MOV EAX,EAX
004076C4 - FF25 28E35C00 JMP DWORD PTR DS:[<&kernel32.TlsGetValue>] ; kernel32.TlsGetValue
004076CA 8BC0 MOV EAX,EAX
004076CC - FF25 24E35C00 JMP DWORD PTR DS:[<&kernel32.TlsSetValue>] ; kernel32.TlsSetValue

| Сообщение посчитали полезным:

vdv.
Ну че примолк? Как успехи? nice в последнем посте дал тебе хороший совет, или бери другую или смотри где у тебя в дампе происходит ExitProcess и распакуй лучше stripper'ом.

| Сообщение посчитали полезным:

Эта прога весьма не простая ;)

| Сообщение посчитали полезным:

Asterix.
Да, я согласен с тобой, проверок там напичкано, и nice об этом написал...но я оживил дамп, и вот думаю написать микротутор об оживлении дампа или это нафиг ни кому не надо...vdv упорно молчит.

| Сообщение посчитали полезным:

DFC
Конечно напиши, т.к. это мало освещено в часности в моей статье такого нет

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Согласен DFC.Хотелось бы почитать.

| Сообщение посчитали полезным:

nice,NIKOLA.
Ну, вот вроде написал как смог, сильно то не пинайте, если что не так правда может и не микротутор получился, ну да бог с ним, ответить в выходные не смогу, статью приаттачил.

877212__raspm.zip

| Сообщение посчитали полезным:

что-то в твоём минитутрое нет описания проверок... тоесть написано типа "вот тут в запакованной прыгает, а в распакованной нет"... А смысл проверок где ? что именно проверяется ?
Вот например по поводу:

:0045EF4B mov esi, dword ptr [005C04DC]

:0045EF51 mov eax, dword ptr [esi+3C]

:0045EF54 mov eax, dword ptr [esi+eax+28]

:0045EF58 cmp ax, 1000

(это я из тутора взял, самой проги у меня нет)

скорее всего это проверка адреса точки входа, т.к. если в [005C04DC] лежит ImageBase, то всё очень красиво получается:

:0045EF4B mov esi, dword ptr [005C04DC] // ImageBase

:0045EF51 mov eax, dword ptr [esi+3C]     // Offset to PE signature

:0045EF54 mov eax, dword ptr [esi+eax+28] // PE + 28h

:0045EF58 cmp ax, 1000

в [PE + 28h] как известно лежит EP. А в зааспреных прогах оно обычно именно 1000h...
PS но это только предположение ;) потому что, как уже говорил выше, прогу я не качал...
PPS хотя почему проверяется только ax непонятно... чем им весь eax не понравился

| Сообщение посчитали полезным:

DFC.
Спасибо.

| Сообщение посчитали полезным:

Чёта у меня нагов ни каких нет.

| Сообщение посчитали полезным:

защита не в аспре. стриппером снимается. могу пропатчить что не будет наг скрина и в эбауте имя будет, но совсем не факт что ограничение на пакеты снимется

| Сообщение посчитали полезным:

DFC

Я решил, что эта прога мне не по зубам
и поэтому плюнул на все.

А за тутор огромное спасибо.

Я тут немного добавил (снятие ограничения на передачу
максимум 1024 в spy mode). Пишу минитутор первый раз,
так что извиняюсь если что не так.

_1514660180__Дополнение к статье DFC.doc

| Сообщение посчитали полезным:

vdv.
Что то я не могу скачать твой аттач, ты лучше зазипируй его и прикрепи снова.
Что касаемо моего тутора, учитывая справедливое замечание Mario555, я откорректировал его, скажем так, с более детальным описанием проверок в этой проге.
Ограничение на количество пакетов я просто не смотрел, основной целью было оживление дампа.

| Сообщение посчитали полезным: