Программа Space Plasma 3D Screensaver 1.5
www.digimindsoft.com/dl.php?id=8 (1.6 Мб)

Тренируюсь на данной программе распаковывать аспр, но что-то руки кривят где не понимаю.

Итак по-порядку что я делаю.

Переименовал .scr в .exe, добавил в олли аргумент /s, сделал hide debuger.
По shift-f9 прохожу 26 екшепшенов до кода:

00B439EC xor dword ptr ds:[eax],eax
00B439EE pop dword ptr fs:[0]
00B439F5 pop eax
00B439F6 cmp dword ptr ds:[B47EB0],0
00B439FD je short 00B43A13
00B439FF push 0C
00B43A01 mov ecx,0B47EB0
00B43A06 lea eax,dword ptr ss:[ebp-8]
00B43A09 mov edx,4
00B43A0E call 00B40B40
00B43A13 push dword ptr ss:[ebp-4]
00B43A16 push dword ptr ss:[ebp-8]
00B43A19 mov eax,dword ptr ss:[ebp-C]
00B43A1C cmp dword ptr ds:[eax],0
00B43A1F je short 00B43A23
00B43A21 push dword ptr ds:[eax]
00B43A23 push dword ptr ss:[ebp-10]
00B43A26 push dword ptr ss:[ebp-14]
00B43A29 retn

на retn ставлю F2, затем по shift-f9 перехожу на бряк. убираю бряк. открываю по alt-m карту памяти, на секцию код ставлю Set breakpoint on memoru access. По shift-f9 попадаю на распакованный участок оригинальной программы. получаю OEP = 44DDF9

Смотрю выше call'a - там нули. Украденные байты. Нахожу эти украденные байты, вот код:
PUSH EBP
MOV EBP,ESP
PUSH -1
PUSH 484090
PUSH 454694
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,58
PUSH EBX
PUSH ESI
PUSH EDI
MOV DWORD PTR SS:[EBP-18],ESP

стандартный код начала программ на vc++, важно было только узнать какие адреса заносятся двумя push'ами. Это всё узнал. Сместил точку входа в дампеном .езе так, чтоб начало было как у всех прог.

Затем запускаю ImportRec, пишу в OEP - 4ddf9, autosearch.
Затем GetImport - получаю все импорты. С помощью плагина для импрека (аспр1.22) получаю все импорты в нормальном виде, делаю фикс дампа с галочкой Add new section.
Запускаю .ехе получившийся и выдается мне окошко что-то ок и всё валится.

что делать?

| Сообщение посчитали полезным:

liky возможно CRC проверочка

| Сообщение посчитали полезным:

там условных переходов никаких. прямой код. и валится на странном месте. забыл его записать.

| Сообщение посчитали полезным:

Z0oMiK пишет:
возможно CRC проверочка
нет там проверок (хотя я может не эту версию ломал )

| Сообщение посчитали полезным:

вот, доковырял опять до такого.

мессаджбокс:
--------------заголовок-------------
Space Plasma 3D Screensaver:
---------текст------------------
CSaverApp::Run()

"Unknown Error"
---------кнопочка------------------
ОК
---------------------------

а валится вот как. линейно идет код и тут валится. щас найду быстренько приведу текст. может кто скачает прогу - покопает, не дайте умереть хочу научиться распаковывать хоть часть аспров, вроде уже на финишной прямой же.

| Сообщение посчитали полезным:

Переименую обратно в .scr

| Сообщение посчитали полезным:

и похоже каким-то чудом вызывается TerminateProcess... непойму где и как

| Сообщение посчитали полезным:

agentru
нет, оригинальный scr файл запускается как переименованный .ехе прекрасно. не в этом дело.

| Сообщение посчитали полезным:

Тогда это может быть фишка разработчика. В этом аспре ели не ошибаюсь ещё не было проверок на распаковку. Сегодня может гляну.

| Сообщение посчитали полезным:

ну точно, терминейтпроцесс валит... блин

| Сообщение посчитали полезным:

Скорее всего это проверка имени юзера. Там должен быть адрес на имя и он указывает в никуда. (это только мои догадки)

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

так и куда копать тогда

| Сообщение посчитали полезным:

ну посмотри для начала, как это код проходиться в оригинальной проге

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

вот допер уже буду смотреть после распаковки как оно проходит...
что-то с вечера ступил, сидел весь день уже матом начал на эту прогу ))
никто смотреть не хочет? поможет мож кто...

| Сообщение посчитали полезным:

liky пишет:
буду смотреть после распаковки как оно проходит
Смотри в отладчике параллельно, оригинал и дамп. Иногда помогает.

| Сообщение посчитали полезным:

всё понял. там почему то в дампеной проге вызывается TerminateProcess, а должна в оригинале быть другая функция. подменил адреса и всё заработало.
ура. вручную распаковал аспр... щас пойду на других програмках тренироваться, в списке лежат куча прог, а тормозится всё аспром...

| Сообщение посчитали полезным:

liky пишет:
всё понял. там почему то в дампеной проге вызывается TerminateProcess, а должна в оригинале быть другая функция

liky пишет:
С помощью плагина для импрека (аспр1.22) получаю все импорты в нормальном виде

Скорее всего тут и ошибка...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

утро вечера мудреннее всем спасибо за наводящие мысли...

Кто-нибудь копал BulletProof FTP Server и Animabilis RS File Encryption ? там в первой ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov, а во второй ASProtect 2.0x Registered -> Alexey Solodovnikov [Overlay]

Я так понял со второй я обломаюсь да?

| Сообщение посчитали полезным:

я читал что импрек имеют глюки с нахождением некоторых функций. дайте плиз урл на последний исправленный импрек.

| Сообщение посчитали полезным:

liky пишет:
всё понял. там почему то в дампеной проге вызывается TerminateProcess, а должна в оригинале быть другая функция. подменил адреса и всё заработало.
Можно занопить следущие команды
004ADC5E FF30 PUSH DWORD PTR DS:[EAX]
004ADC60 8F00 POP DWORD PTR DS:[EAX]
И работает...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

0041364E FF35 60014800 push dword ptr ds:[480160]
00413654 B8 5CDC4A00 mov eax,4ADC5C
00413659 FFD0 call eax

вот этот call превращался в TerminateProcess.

push dword ptr ds:[480160] заменил на Push b50780 который подсмотрел в оригинальной программе после её распаковки в память и всё заработало

| Сообщение посчитали полезным: