| Сейчас на форуме: Rio, johnniewalker, vsv1 (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› После снятия ASPR'а прога не работает должным образом |
| Посл.ответ | Сообщение |
|
|
Создано: 29 июня 2011 05:04 · Поправил: 0xf0rd · Личное сообщение · #1 Здравствуйте, все. Проблема заключается в следующем: Программа: Recovery Toolbox for PDF v 1.0.3.0, упакована ASProtect. Оригинальная прога написана на Delphi . PeID выдает : ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov. До распаковки оригинальная программа лезет в реестр по пути: HKEY_CURRENT_USER\Software\Recovery Toolbox for PDF, и ищет там параметр «Key» - этот параметр нужен для регистрации проги. Мысль такая, что там идет проверка ключа на валидность. После распаковки утилитой DecomAS от PE_Kill (OEP==00516c24) программа почему-то проскакивает этот момент(( Была идея, что ошибка была в TLS-Callback или дело в разрушении секции «Init»? В чем может быть проблема? Очень надеюсь на вашу помощь.  |
|
|
Создано: 29 июня 2011 06:11 · Личное сообщение · #2 1.Разбежатся и попытатся лбом пробить стену(незабуть взять с собой пакет чтобы потом собрать мозги)  2.Идти горбатится и купить прогу 3.Подкароулить пе кильчика зауглом и заставить приделать к своей утили исскуственный разум 4.Найти на exelab туторы про ручную расспаковку ASPR'а от валентина(самый худший вариан уйдёт много времени и вы несможете выйти погулять:s4
|
|
|
Создано: 29 июня 2011 06:16 · Личное сообщение · #3 1. Прога рассматривается в чисто-исследовательских целях 2. Вопрос был задан для тех, кто сталкивался с подобным. |
|
|
Создано: 29 июня 2011 08:58 · Личное сообщение · #4 Есть предположение, что это апи аспра, которое камаз спатчил, а ты нет. Лучше софт выложи. |
|
|
Создано: 29 июня 2011 09:06 · Поправил: 0xf0rd · Личное сообщение · #5 Archer пишет: апи аспра, которое камаз спатчил В том и дело, что я распаковывал утилой DecomAS Ок. Вот оригинальная версия: http://zalil.ru/31352751 А вот распакованная: http://zalil.ru/31352755 и еще, по-моему дело не в функции GetFileSize |
|
|
Создано: 29 июня 2011 10:24 · Личное сообщение · #6 Аспр устроен так что инфа о ключе проверяется до прохождения OEP,в твоём случае /*4AF744*/ PUSH EBP====>HID /*4AF6E4*/ PUSH EBP====>GetDecryptProc /*4AF6F4*/ PUSH EBP====>GetEncryptProc /*4AF704*/ PUSH EBP====>GetRegistrationInformation /*4AF760*/ PUSH EBP====>GetTrialDays /*4AF784*/ PUSH EBP====>GetTrialExecs /*4AF694*/ PUSH EBP====>GetRunApplicationFunction Без ключа прога даже расспакованная будет работать в триальном режиме,это ещё слабо запакованна прога иногда до прохождения в OEP в секции BSS пишется данные и после снятия дампа прога просто будет оказыватся работать пока не обнулишь эту секцию вообще есть очень разных заморочек в распаковке аспра.. | Сообщение посчитали полезным: 0xf0rd |
|
|
Создано: 29 июня 2011 10:31 · Личное сообщение · #7 Wally пишет: инфа о ключе проверяется до прохождения OEP Я правильно понял, что перед переходом на ОЕП, выполняются вышеприведенные функции (что-то типа TLS)? |
|
|
Создано: 29 июня 2011 11:45 · Поправил: PE_Kill · Личное сообщение · #8 Wally пишет: иногда до прохождения в OEP в секции BSS пишется данные и после снятия дампа прога просто будет оказыватся работать пока не обнулишь эту секцию вообще есть очень разных заморочек в распаковке аспра.. Моя утиль это фиксит. 0xf0rd пишет: Я правильно понял, что перед переходом на ОЕП, выполняются вышеприведенные функции (что-то типа TLS)? Да, в 1.х версии аспра, его апи именно так и работают. 1.х апи моя утиль не фиксит и вообще их не трогает (кроме ASPDecryptProc), причины описаны в топике утили. ----- Yann Tiersen best and do not fuck |
|
eXeL@B —› Крэки, обсуждения —› После снятия ASPR'а прога не работает должным образом |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати