Электра 1.6- хорошая игрушка от Алавар
www.alawar.com/download/Electra.exe
Весит 4,23 метра
Пакована аспром 1.23-1.24рц4

Мои действия:

Так, как не имею опыта распаковки аспротекта, начал со статьи Valdis. Пару адресов у меня не совпало, но адрес ОЕР оказался одинаковым. Я не стал искать последнее исключение перед запуском, а воспользовался скриптом, он за меня всё правильно нашёл. Дальше поставил бряк на рет, нажал ктрл+м и на секцию коде нажал ПКМ и выбрал set memmory breakpoint on acess. По статье он говорит нажать Trace into, я нажимаю и он повисает. Если не нажимать этот Trace into, а сразу шифт+ф9, то без проблем попадаю на ОЕР, скроллю вверх и вижу спёртые байты. Но вот как их восстановить, если я не трассировал по Trace into? серый минус не помогает.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin - вот, смотри что у меня получилось ТЫЦ http://www.upload2.net/page/download/FXED5MqalsM7DxC/Dumped_1_1_vithout_res.rar.html , в аттаче ход моих мыслей по восстановлению спертого ОЕП + маленький эскурс в историю с другого топега.

dc63_01.10.2006_CRACKLAB.rU.tgz - my_minds.rar

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Может я действительно что-то не так делаю, дубль 2 : slil.ru/23193040 . Очень прошу помочь, уже просто не понимаю

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Ну вы даете
У мну диалап - дороговато каждый раз качать видео по времени т.к. нет доп работы, из твоего видио - ясно, что ты либо устал, либо несовсем понял как ОЕП пишется, т.к. Image Base = 400000, то OEP надо ставить не 00474FB8 , а 00074FB8.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits пишет:
Ну вы даете

DrFits пишет:
ясно, что ты либо устал, либо несовсем понял как ОЕП пишется, т.к. Image Base = 400000, то OEP надо ставить не 00474FB8 , а 00074FB8.
Инст совсем меня измотал, насчёт ОЕР никогда не заморачивался, ибо распаковкой совсем недавно занялся, в общем не знал я, спасибо большое, выпрос отпал. всё заработало, наконец-то я умею теперь распаковывать аспр 1.24!
Одно не понял я, почему после трейса было так мало спёртых команд, что вставляя их вместо нулей, нули остаются, т.е. не хватает примерно 3. 4 команды, в таких случаях и надо брать ОЕР из готовых прог?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
Одно не понял я, почему после трейса было так мало спёртых команд, что вставляя их вместо нулей, нули остаются, т.е. не хватает примерно 3. 4 команды
В основном, все нули заменяются спертыми байтами. Очень редко, когда остается 1 или 2 нуля, но они относятся к команде из адреса ниже ОЕР. Чаще бывает, что аспр заменяет 1 спертую команду на несколько, как в этом случае, что наоборот увеличивает размер, и должно усложнить восстановление спертых байт.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Извиняюсь, что немного торможу, но
1) Долго ли трейсить нужно?(желательно ответ в минутах, ато я трейсю уже минут 30 - нифига не брякаюсь)
2) Что такое "серый минус"?
3) Valdis, статья просто отличная - Respect

| Сообщение посчитали полезным:

1-й вопрос отпадает - я таки брякнулся на том же месте, где я был при Shift+F9.
И Stolen bytes вверху теже, но... почему у меня их всего 7(строчек вида add byte ... -3шт*2 +1)?
Будем догонять дальше

| Сообщение посчитали полезным:

Viper_Ya пишет:
1) Долго ли трейсить нужно?(желательно ответ в минутах, ато я трейсю уже минут 30 - нифига не брякаюсь)
Это зависит от мощности компа и особенностей самой проги. Бывает ждешь пару-тройку минут, а бывает и пару часиков.

Viper_Ya пишет:
2) Что такое "серый минус"?
Клавиша минус на цифровой секции клавиатуры.

Viper_Ya пишет:
И Stolen bytes вверху теже, но... почему у меня их всего 7(строчек вида add byte ... -3шт*2 +1)?
Будем догонять дальше
Кусочек кода бы, чтобы не на пальцах...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Viper_Ya пишет:
строчек вида add byte - это наверное из-за того, что у тебя неверно дизассемблировались команды
ValdiS пишет:
а бывает и пару часиков - можно пример такой программы в студию?

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Viper_Ya пишет:
1) Долго ли трейсить нужно?(желательно ответ в минутах, ато я трейсю уже минут 30 - нифига не брякаюсь)
Попробуй секунд через 10 после того как начал трассировать нажать на паузу, а потом на старт (Ф9). Я тоже курил полчаса, а потом оказалось, что достаточно секунд пять подождать.

| Сообщение посчитали полезным:

DrFits пишет:
можно пример такой программы в студию?
Вот http://mirror3.alawar.com/BacktoEarthRus.exe
Игруха от алавар Back to Earth, размер дистра - 3 844 752 байт. После последнего эксепшина запускаешь трассировку, предварительно поставив бряку на секцию кода, и ждеш-шь...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Sturgeon пишет:
Попробуй секунд через 10 после того как начал трассировать нажать на паузу, а потом на старт (Ф9)

Уже сделано!!!

ValdiS пишет:
Клавиша минус на цифровой секции клавиатуры.
Спасибо, сейчас начну сначала.

| Сообщение посчитали полезным:

У меня после восстановления прога не падала, все отлично заработало. Вместо рег. имени (мусор) залил свой ник и ВСЕ. Только не могу понять, почему достаточно просто снять Аспр, чтобы зарегистрировать Электру? Может это быть из-за того, что я как-то немного похимичил с ключами прота в реестре? Хотя запакованная прога нормально выдает незарегистрированность.

offtop
Поздравьте меня - сегодня сдал механику на 5.

| Сообщение посчитали полезным:

Подскажите плс. По статье ValdiS'а нашёл OEP, сдампил, восстановил импорт и спёртые байты. Но прога
падает немного не там, как описано в статье:

0044A952 55 PUSH EBP
0044A953 68 909D4000 PUSH dumped+S.00409D90
0044A958 55 PUSH EBP
0044A959 6A 65 PUSH 65
0044A95B 53 PUSH EBX
0044A95C FF15 DCC14800 CALL DWORD PTR DS:[48C1DC] ; <-Падаем!
0044A962 3BC5 CMP EAX,EBP
0044A964 75 0F JNZ SHORT dumped+S.0044A975
0044A966 B8 01000000 MOV EAX,1
0044A96B 5F POP EDI
0044A96C 5E POP ESI
0044A96D 5D POP EBP
0044A96E 5B POP EBX
0044A96F 83C4 7C ADD ESP,7C
0044A972 C2 1000 RETN 10
0044A975 83F8 02 CMP EAX,2
0044A978 75 27 JNZ SHORT dumped+S.0044A9A1
0044A97A 6A 01 PUSH 1
0044A97C 55 PUSH EBP
0044A97D 55 PUSH EBP
0044A97E 68 80504900 PUSH dumped+S.00495080 ; ASCII "Register.exe"
0044A983 68 E8484900 PUSH dumped+S.004948E8 ; ASCII "open"
0044A988 FF15 14C24800 CALL DWORD PTR DS:[48C214] ; USER32.GetDesktopWindow
0044A98E 50 PUSH EAX
0044A98F FF15 C4C14800 CALL DWORD PTR DS:[<&shell32.ShellExecut>; shell32.ShellExecuteA

В чем грабли грабли и как это вылечить?
Распакованный файл в аттаче.


c310_15.10.2008_CRACKLAB.rU.tgz - dumped+SB_.rar

| Сообщение посчитали полезным:

Что за программа сдамплена? Почему нету ссылки на дистриб? Если это игрушка, то тебе сюда

| Сообщение посчитали полезным:

Не весь импорт восстановил, смотри рисунок 18 в статье и читай внимательно про восстановление импорта.

| Сообщение посчитали полезным:

А смысл распаковывать игры от алавар? Там защищен тока сам раппер. Настоящий ехе переименован в другое расширение и не тронут, за исключением того что оеп изменена на ерунду. Так что весь кряк сводится к переименовыванию настоящего ехе игры и исправления в нем точки входа на правильную, которую в большинстве случаев можно найти по Getprocesshandlea. Да и вообще полно анврапперов, которые сделают все сами. Кстати теперь алавар вроде обновили версию аспра

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

tempread прога-см. тема топика, ссыль где-то в начале.
cadet ок, поштудирую вечерком статью...

| Сообщение посчитали полезным:

Восстановил импорт успешно. Но остался один вопрос: почему при запуске оригинального екзешника Imprec не находил функцию DialogBoxParamA, а при запуске из-под ольки нашёл влегкую?

| Сообщение посчитали полезным: