Электра 1.6- хорошая игрушка от Алавар
www.alawar.com/download/Electra.exe
Весит 4,23 метра
Пакована аспром 1.23-1.24рц4

Мои действия:

Так, как не имею опыта распаковки аспротекта, начал со статьи Valdis. Пару адресов у меня не совпало, но адрес ОЕР оказался одинаковым. Я не стал искать последнее исключение перед запуском, а воспользовался скриптом, он за меня всё правильно нашёл. Дальше поставил бряк на рет, нажал ктрл+м и на секцию коде нажал ПКМ и выбрал set memmory breakpoint on acess. По статье он говорит нажать Trace into, я нажимаю и он повисает. Если не нажимать этот Trace into, а сразу шифт+ф9, то без проблем попадаю на ОЕР, скроллю вверх и вижу спёртые байты. Но вот как их восстановить, если я не трассировал по Trace into? серый минус не помогает.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin
Электра пакована ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov

aspirin пишет:
Дальше поставил бряк на рет, нажал ктрл+м и на секцию коде нажал ПКМ и выбрал set memmory breakpoint on acess. По статье он говорит нажать Trace into, я нажимаю и он повисает. Если не нажимать этот Trace into, а сразу шифт+ф9, то без проблем попадаю на ОЕР, скроллю вверх и вижу спёртые байты. Но вот как их восстановить, если я не трассировал по Trace into?
Комп не повисает, а начинает трассировку кода. На это нужно время. Бывают проги, когда ждешь по 15-20 минут. Не переживай...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Комп не повисает, а начинает трассировку кода. На это нужно время. Бывают проги, когда ждешь по 15-20 минут.
Неужели нельзя не ждать эту трассировку кода, а просто поставить бряк на секцию кода и нажать шифт ф9, всё-равно ведь попадём на тот же ОЕР, смысл так долго ждать?
ValdiS пишет:
Не переживай...
Да я и не переживаю, просто уж больно охота научиться распаковывать аспротект. Просто не понимаю, неужели нельзя обойтись без этой трассировки?
Народ, может кто напишет тутор как восстанавливать эти спёртые байты в оле не ипользую трэйс инто?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin

На мой взгляд самый лучший тутор это - Распаковка AsProtect “Шаг за шагом”. (LaBBa & Nice)
только не помню где скачал, но вещь известная. А вообще проще пробежаться по коду.

| Сообщение посчитали полезным:

cadet спсб, а не вспомнишь, где видел статью?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

На cracklabe, но чтоб не искать скинул www.slil.ru/23086883

а вот и на сайте нашел --> Link <--

| Сообщение посчитали полезным:

cadet
Там трейсить тоже надо...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS

Согласен, просто там подробнее все это дело расписано, много примеров. А так я и говорю проще вручную тресить(интересней и быстрее в данном случае).

| Сообщение посчитали полезным:

aspirin можно не трэйсить (я никогда не трэйсил) но тогда ты должен четко представлять как должно выглядеть OEP и что будет в регистрах и стэке находясь на данной команде.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
можно не трэйсить (я никогда не трэйсил) но тогда ты должен четко представлять как должно выглядеть OEP и что будет в регистрах и стэке находясь на данной команде.
Для такого нужно немало программ "поисследовать"... Но у aspirin все впереди.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

aspirin пишет:
Неужели нельзя не ждать эту трассировку кода, а просто поставить бряк на секцию кода и нажать шифт ф9

Можно !
В аспре есть цикл, по которому эта трассировка и бегает битый час-два.
Определить цикл не сложно. Понажимай клавишу "*" в Оле. Ставишь бряк на первую команду после цикла и давишь F9, потом уже шифт+ф9. После этого весь процесс трассировки занимает минуты 3.
И спертые байты потом по "минусу" можно найти.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor, ты не мог бы сделать видео тутор, как все эти операции делаются? Просто мало, что понял, но оочень интересно, понять, о чём ты говоришь.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
не мог бы сделать видео тутор,
видео туторы ни разу не делал, да и проги для их производства у меня нет.
Попробую объяснить подробней.
Когда ты нажал Trace into в отладчике, можешь понаблюдать за процессом трассировки нажимая клавишу "*" на цифровой клавиатуре. Ты увидишь как Оля бегает по коду аспра. Примерно через пару-тройку секунд она дойдет до того самого цикла. И будет трассировать его довольно долго.
Выглядит он приблизительно следующим образом:

00A33671 41 INC ECX
00A33672 8BF9 MOV EDI,ECX
00A33674 D1C7 ROL EDI,1
00A33676 81F7 A38FD7AC XOR EDI,ACD78FA3
00A3367C 3BFB CMP EDI,EBX
00A3367E ^ 0F85 EDFFFFFF JNZ 00A33671
(пример кода взял из register.exe, т.к. сама electra.exe - распакована)
трассировать его она будет ОООчень долго. НО!!!

1. Жмешь ESC.
2. Ставишь бряк (F2) на первую команду после JNZ 00A33671 и жмешь F9.
Все. цикл обошли за 2 секунды.
После этого снова запускаешь Trace into и ждёшь буквально 5 минут. Далее делаешь как в туторе.
Весь процесс отлома аспра занимает от силы минут десять. Девять из которых уходят на трассировку.

PS. если что сморозил, ногами не пинать. Последний раз снимал аспр полгода назад.... %-)

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor пишет:
00A33671 41 INC ECX
00A33672 8BF9 MOV EDI,ECX
00A33674 D1C7 ROL EDI,1
00A33676 81F7 A38FD7AC XOR EDI,ACD78FA3
00A3367C 3BFB CMP EDI,EBX
00A3367E ^ 0F85 EDFFFFFF JNZ 00A33671
(пример кода взял из register.exe, т.к. сама electra.exe - распакована)
трассировать его она будет ОООчень долго. НО!!!
Похоже
[EXE]_cutor пишет:
1. Жмешь ESC.
2. Ставишь бряк (F2) на первую команду после JNZ 00A33671 и жмешь F9.
И срабатывает бряк на команде последующей, дальше прыгаю на ОЕР, и вижу нули, нажимаю на серый минус и возвращаюсь к трассировке цикла, спёртых байт не вижу

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
И срабатывает бряк на команде последующей, дальше прыгаю на ОЕР
а кто тебя просит туда прыгать. Я же сказал:
[EXE]_cutor пишет:
цикл обошли за 2 секунды.
После этого снова запускаешь Trace into
а не после того как дошел до ОЕР!!!
тебе надо чтобы Олли сохранила в лог трассировки команды которые были до точки входа в прогу, тогда ты увидишь спертые байты.
А сохранит она их только если запущена функция Trace into!
блин, устал объяснять.......

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

Stolen bytes нашёл, вставил, как в статье. Далее обещали в статье отчёт об ошибке, у меня его нет. И файлик тоже не запускается. Нажал трэйс инто, и остановился на

00489B13 >/$ FF15 04C14800 CALL DWORD PTR DS:[<&msvcrt.__set_app_ty>; msvcrt.__set_app_type

что подскажете делать дельше?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Чтобы проще понять, выкладываю уже распакованный файлик, может по нему кто определит в чём проблема.

-->Распакованная Электра<-- http://slil.ru/23152883

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Кстати, я думал, что что-то не так делаю и решил попробовать сделать всё как в статье slil.ru/23153517 . Даже байты взял такие же, таже байда, не хочет работать файлик.

3wget - качала раньше сайты, разработка прекращена.
Пакер: аспр 1.23
Вес: 500 кб
ссылка: slil.ru/23153531

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin че там помогать то. Распаковываешь стрипаком, потом поиск по слову Unreg, дальше сам допрешь?

Могу полностью готовый файл слить, на взлом ушло 3 минуты

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus если бы все всё распаковывали, то разработчикам не пришлось бы ломать голову над улучшением упаковщиков, а как по-другому изучать пакеры если не учиться распаковывать?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin
3wget распаковывается легко, но, когда начинаешь влазить в код, типа зарегать, начинаются приколы с открывающимся IE с адресом http://3wget.is.cracked!/ Дальше времени смотреть нет, домой пора.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS можешь сделать видео, я только про распаковку, остальное пока не интересует?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin
Извини, я видеомонтаж не делаю. Здесь все, как в Электре, правда есть мусорный код, очистка от которого хорошо описана в статье nice. Лучше пробуй и задавай вопросы с кусочками кода. Чем смогу...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Вот наклепал, гляньте, взял в пример 3 wget slil.ru/23183467

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Ну что, есть мысли в чём проблема, я просто уже не знаю как быть

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Мысли есть всегда, ну, например, мысль первая - скачал твое видео, ну и понял что там вообще незнаю что, ты пишешь что восстановил импорт, молодец, но по моему, если ты прошелся по спертому коду хоть раз, то должен был увидеть, что ОЕП было немного нетакое как у тебя (см. аттач) , мысль 2-я - а адресс ОЕП разве ненадо восстанавливать, или отладчик с прогой сами знают что делать, но хотя нет, лучше сослаться что все написанно криво, и распаковать без бубна со стриппером нельзя, но если бы ты установил ОЕП в 00474FB8, то прога даже с немного кривоватым ОЕП запустилась
P.S: я новичек, и кроме УПХ , ничего снять немогу, сорри за оффтоп.

5046_30.09.2006_CRACKLAB.rU.tgz - stolen_OEP.txt

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits пишет:
Мысли есть всегда, ну, например, мысль первая - скачал твое видео, ну и понял что там вообще незнаю что, ты пишешь что восстановил импорт, молодец
спсб
DrFits пишет:
если ты прошелся по спертому коду хоть раз, то должен был увидеть, что ОЕП было немного нетакое как у тебя (см. аттач)
а ты в видео не заметил, что код я взял из статьи, т.к. прога таже самая?
DrFits пишет:
лучше сослаться что все написанно криво
Точно, гениально!
DrFits пишет:
но если бы ты установил ОЕП в 00474FB8, то прога даже с немного кривоватым ОЕП запустилась
Попробую.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Я может что реально не врубаю, меняю ОЕР на 00474FB8 и вижу Not a valid PE file. При этом прога сразу терминатица?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Была такая тема уже- следовательно автор не юзал поиск....
Сейчас ихние игры пакуются при помощи wrapper-а,для которого есть распаковщик.
Если же речь идёт о старых версиях игры,то используйте stripper 2.xx и надо патчить API аспра

| Сообщение посчитали полезным:

более того,про распаковку Аспра 1.23 статей выше крыши,в т.ч. на этом форуме

| Сообщение посчитали полезным: