При помощи мануалов старших товарищей разобрался, как распаковывать вручную, с помощью Olly exe-шников, упакованных ASPack-ом. Спасибо. А как распаковать упакованную .dll ? Также открываю в Olly, нахожу POPAD и сразу ниже JNZ, тут я понимаю и будет OEP а дальше как? Как дампить?

| Сообщение посчитали полезным:

в ret заходишь и дампишь с помощью lordpe, когда будешь фиксить iat с помощью imprec'a смотри imagebase именно в imprec'e, oep=imagebase-eip, адрес iat скорее всего придётся определять вручную

| Сообщение посчитали полезным:

Я когда открываю .dll в Olly она говорит что из .dll сделает .exe . И когда выбираешь наш процесс в PEditor-е то видишь второй ексешник от оли, только зелёный. Если ему делать полный дамп то он и сохраняется ексешником а не .dll, я до востановления импорта ещё не дошёл, я тут забуксовал javascript:di('','');

| Сообщение посчитали полезным:

Av0id пишет:
ret заходишь и дампишь с помощью lordpe

Да зачем такие сложности?

trabs
Когда доходишь до ret прога уже распакована в памяти - дампь плагином для олли OllyDump ничего там не меняя, после этого восстановишь таблицу импортов ImpRec'ом.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

НО, проще всего обойтись без импрека, сдампить в нужном месте
и пофиксить в заголовке базу, релоки и таблицу импорта, вбив правильные
значения в соответствующие поля в заголовке файла

| Сообщение посчитали полезным:

trabs Грузи в ольку DLL потом ищи это

PUSH 0
RETN

после подымешся чуть выше увидишь JMP на OEP ... ставишь бряк на него и ты на OEP

| Сообщение посчитали полезным:

Z0oMiK
Чего - то ты опаздал немного
Речь не о нахождении оеп, а о дампе

Asterix
Не всем это легче

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

всем легче, инструментов меньше юзать к тому же

| Сообщение посчитали полезным:

4kusNick Да я понял уже
trabs чего за DLL то ? мож помочь ? заодно и видео накатаю ;)

| Сообщение посчитали полезным:

Z0oMiK пишет:
заодно и видео накатаю ;)

У тебя что, "Z0oMiK Production"

| Сообщение посчитали полезным:

Asterix я собственно все эти инструменты увидел позавчера, это к вопросу о лёгкости. Мне нужно не легко а наглядно и понятно. Начну сначала:
Дошли до сюда
009F70B7 61 POPAD
009F70B8 75 06 JNZ SHORT AudioShe.009F70C0 <<-- Это надо пологать и есть OEP
009F70BA 6A 01 PUSH 1
009F70BC 58 POP EAX
009F70BD C2 0C00 RETN 0C

Выделяем строку с ОЕП давим F2, потом F9 и перелетаем сюда

00A3B530 C700 7FECC512 MOV DWORD PTR DS:[EAX],12C5EC7F
00A3B536 18A4B5 A31F4265 SBB BYTE PTR SS:[EBP+ESI*4+65421FA3],AH
00A3B53D 20C6 AND DH,AL
00A3B53F 5F POP EDI
00A3B540 67:64:8F06 0000 POP DWORD PTR FS:[0]
00A3B546 83C4 04 ADD ESP,4

потом F8, видим Registere (FPU) справа, были красные стали белые больше ничего не происходит
Выбираем в меню Plugins - OllyDump - Dump debugged process
Где то ошибся? Что дальше? С этого места поподробнее пожалуйста.

| Сообщение посчитали полезным:

trabs пишет:
я собственно все эти инструменты увидел позавчера, это к вопросу о лёгкости.

а почему ты решил что в этом случае лучше спросить на форуме,
но не прочитать для начала все статьи что есть на сайте?
Может тогда вопросы отпадут сами собой..

| Сообщение посчитали полезным:

[b]Asterix[/b] Статьи я читал вчера , а теперь перешёл к практике. Да и не всё находишь в статьях. Живым людям нужно живое слово и помощь наставников.

| Сообщение посчитали полезным:

trabs пишет:
Это надо пологать и есть OEP
Это надо пологать прыжок на PUSH OEP
А вот там уже ОЕР.
Делаешь прыжок, потом два шага и ты на точке входа.

-----
TBR

| Сообщение посчитали полезным:

NIKOLA Ну вроде того хотя я уже делал видео
trabs Выкладывай свою DLL'ky

| Сообщение посчитали полезным:

Grey пишет:
А вот там уже ОЕР.
Делаешь прыжок, потом два шага и ты на точке входа.
Как только окажешься на точе входа, дампь процесс, далее восстанавливай импорт.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

народ, не забываем при распаковке ДЛЛ про релоки, иначе в большинстве случаев ДЛЛ
работать не будет, либо будет работать только в идентичной системе ;)

| Сообщение посчитали полезным:

Так, ни чего у меня не получается куда прыгать, куда потом шагать. Нельзя ли по доходчивей и пошагово. Z0oMiK жду твоего видео. Dll-ку выложил сюда:
www.webfile.ru\643216 На тебя последняя надежда брат.

| Сообщение посчитали полезным:

trabs

ASProtect 2.1x SKE -> Alexey Solodovnikov

| Сообщение посчитали полезным:

trabs Ну ты даешь читай хотя бы внимательно ...
ASPack и ASProtect разные вещи

| Сообщение посчитали полезным:

Z0oMiK ты сам невнимательный, моя dll'ка запакована ASPack 2.12 а о чём говорит Dred это что то другое. Так подскажет кто то пошагово?

| Сообщение посчитали полезным:

trabs пишет:
ты сам невнимательный


06d8_PEID.jpg

-----
TBR

| Сообщение посчитали полезным:

trabs Я не буду спорить но Grey сделал скрин на котором четко и ясно написано что DLL упакована ASProtect v2.1 SKE

| Сообщение посчитали полезным:

Не знаю как тут прикрутить скрин, но поверьте мне наслово что у меня PEiD v0.92 определяет её как ASPack 2.12. Может в этом и есть сырмяжная правда. Но всёже распаковать её можно?

c6fd_imd.jpg

| Сообщение посчитали полезным:

trabs пишет:
у меня PEiD v0.92 определяет её как ASPack 2.12
А как у тебя с сигнатурками?

-----
TBR

| Сообщение посчитали полезным:

Grey пишет:
А как у тебя с сигнатурками?
MZP - если я правильно понял вопрос. Если это ASProtect v2.1, то тогда понятно почему проблемы с востановлением импорта. Сейчас поищу PEid v.094

| Сообщение посчитали полезным:

Поставил PEid v.094 и он стал показывать что файл упакован ASProtect 2.1x SKE, значит вопрос перешёл на другой уровень . А с сигнатурами было всё нормально.

| Сообщение посчитали полезным: