Проблема в следующем. Заинтересовался я взломом и защитой и в качестве бодопытного приложения выбрал "Домашняя бухгалтерия 4". запакована ASProtect 1.23 RC4 . Прочитал пару статей по распаковке принялся получать OEP, PE-Tools'ом загрузил в SoftIce 4.2.7 установил bpm esp-4 ....
пошаговой трасировкой дошел до такого места
push 00XXXXX1 ; насколько я понимаю это OEP
push 00XXXXX2
Ret

на рет её зациклил слил в дам потом пробую зять е неё импорт c помощью тулзы ImpRec 1.6 FINAL указываю OEP нажимаю IAT AutoSearch и получаю сообщение что OEP неправельный.
перелопатил пол инета(в поиске информации про OEP) нашел еще кучу сомнительных программ и каждая указывает разный OEP в конце концов PEID сообщает другой OEP.

Объясните мне начинающиму горе крякеру что есть OEP и как правильно его искать.

и еще вопросы(раз уж решился спросить)
1. размер проги 1.8 мегов дамп больше 6 мегов почему. предполагаю что там находится еще слепок данных оперативной памети и если да то надоли его отрезать и как правильно это делать.

2. если идти в SoftIce по запакованному коду то не вооруженным глазом видно что после выполнения безобидных команд (таких как push, pop, mov, add ...) соседние команды меняются с чем это связанно?

3. не могу понять где прога хранить информацию о треальности делал слепки реестра стравнивал мониторил файловую систему ничего не заметил.

| Сообщение посчитали полезным:

oops пишет:
push 00XXXXX1 ; насколько я понимаю это OEP
push 00XXXXX2
Ret
Не правильно понимаешь, если уж и OEP, то тока push 00XXXXX2 OEP в ImpRec вводи c вычитом ImageBase...

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

oops пишет:
push 00XXXXX1 ; насколько я понимаю это OEP
push 00XXXXX2
Ret
А кажись в аспре один push перед переходом на ОЕР. Если ты мечешься, где оер, где не оер, почитай мою статью(на кряклабе - Распаковка? Это легко!). По моей сатье ты точно найдёшь оер(если всё правильно будешь делать).
пацан, кажись в этой проге аспр по умному навешан.

| Сообщение посчитали полезным:

Спасибо за советы вечером после работы обязательно попробую.

| Сообщение посчитали полезным:

Гы-гы-гы
Я вот сломал эту прогу.
Выложил на [url=http://www.rockteam.org
]www.rockteam.org
[/url]
А автор саложонок долбаный настучал хостеру.
Пришлось кряк убрать с сайта.

Буду выкладывать где-нить в другом месте.


P.S. Если у кого есть куда выложить - пишите в ПМ плиз

| Сообщение посчитали полезным:

WELL пишет:
А автор саложонок долбаный настучал хостеру.
LOL!
Ну наказание для него придумать надо =))
Залей кряку на известные сайты и всего дело (стучать нехорошо)

| Сообщение посчитали полезным:

Дык завтра как раз займусь этим праведным делом =))

| Сообщение посчитали полезным:

не получается наверное руки не от туда растут
в одном и томже месте при разных запусках OEP разный так должно быть ?

пытаюсь отрезать секцию упаковщика как описанно в статье "Распаковка? Это легко!!!" PE-Tools 1.5 после выполнения команды контекстного меню
#Load Section from disk# PE-Tools вылетает с ошибкой.
пробывал в разных OC.

PE-Tools 1.5.400.2003 by NEOx

| Сообщение посчитали полезным:

oops пишет:
#Load Section from disk# PE-Tools вылетает с ошибкой.
NEOx, появись, меня этот глюк уже зае... приходится LordPe запускать, который я очень не люблю Вот какраз новый релиз к новому году будет опять Xmas edition Кстати, глюк вылетает не на всех прогах!

| Сообщение посчитали полезным:

Существует ли универсальный способ нахождения OEP или какой нибуть способ его проверить.

| Сообщение посчитали полезным:

Bit-hack
На самом деле я научился, но это танеец с бубном, а вот у Астерикса и команды uinc.ru есть исправленная...

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

oops
врядли, т.к. много протекторов в последнее врема "съедают ОЕР" заливая его мусором.

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Щас немного побаловался Olly как описанно в статье "Распаковка AsProtect “Шаг за шагом”. (LaBBa & Nice)"
получаю OEP постоянно =0085f1fc


когда я баловался с SoftIce то доходил до такой строки
push 0085f1fc
push 100E5B9 ; это значение не постоянное
Ret

-= ALEX =- говорил что команда: push 0085f1fc это не есть OEP но в Olly скрипт упорно говорит OEP=0085f1fc. ImpRec импорт не получает.

Ничего не понимаю

WEEL ты вроде сломал её какой OEP у неё.

| Сообщение посчитали полезным:

oops просто если стоит push XXXXXXXX потом ret, то прыжок будет точно на XXXXXXXX. Ну потом конечно мож и 0085f1fc при деле окажется, при последующем ret

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

что прыжок будет это понятно.
(когда то давно изучал ассемблер но болшего внимания не уделял заголовку файла exe. наверное зря) я не понимаю одного OEP всегда один и тодже или он меняется от загрузки программы.

| Сообщение посчитали полезным:

oops
Всегда одинаковый(если это не вирус-полиморф , только помни про краденные байты, количество которых в аспре может различаться...

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice спасибо за ответ с OEP уже разобрался пришлось поднять тучу документайции

я нашел себе новую игрушку под нозвание AsProtect.

еще такой вопрос реально ли выдрать код распаковщика из программы и на его основе построить утилиту ?
думаю стоит ли пробывать или нет.

да еще .
Есть такая утилита "Merge" которая позволяет сравнивать два текстовых файла используется обычно в команде разработчиков ПО для сравнения файлов перед тем как ложить в СОС. Есть ли такая утелита для .exe фалов (только не говорите про ITCompare) так что бы она дезасемблировала а дальше как "Merge" или посоветуте какойнибуть дезасемблер командной строки.

| Сообщение посчитали полезным:

Я только начал изучать статьи с этого сайта(затягивает) и столкнулся с проблемами. Вот одна из них: я хотел исследовать Alcohol 120 % как описано в статье TITBITA'а, она упакована UPX'ом ( мне удалось его распаковать благодаря статье MozgC). Дальше я хотел дисассемблировать получившуюся прогу WinDasm'ом но при этом он зависает, так же он зависает при попытке дисассемблировать упакованный файл. Раньше я такого не видел поэтому обращаюсь к вам.

| Сообщение посчитали полезным: