ПРЕДИСЛОВИЕ : Очень надо было потестить прогу TheBat! Password Recovery v.1.1.035))
...выдала, что в триал версии, как хорошо она восстанавливает пароли-не покажет!!! Вобщем через пару дней я сдался-нашел добрых людей, потестил, решил-куплю обязательно . Но за эти пару дней она меня достала. Кажется случай интересный. Помогите пожалуйста понять как распак., снять протект, а не сломать саму программу
ДЕЛО : В запакованной проге 2 интересные секции .upx0 и .adata... PEiD v.0.93 говорит(Nothing found *)...PETools->PeSniffer(ASProtect v1.2x (New Strain))...ProtectID(ASProtect v1.23 detected !). Во всех случаях Entry Point(Section)=<empty>. Любые попытки распаковать стандартными распак. -> не ASProtect !!!
Гружу в ОllyDbg.
Нахожу последний Access Violation.
После него на JMP -> breakpoint.
Alt+M->на секцию code (410000) тоже breakpoint...
...SHIFT+F9...
...убираю breakpoint...трассируем CTRL+F11...
...вываливаемся на 428A5C...точка входа ??? нет ??? ЗАПОМИНАЕМ !!!
Теперь сохраняем дамп.
Для спортивного интереса )) смотрим в PEiD->Plugins->Generic OEP Finder...получаем 425507. ЗАПОМИНАЕМ !!!
Дамп есть, идем восстанавливать импорт... ImpRec v1.6+plugins.
ВОТ ЗДЕСЬ МЕНЯ КЛИНИТ
1. Запускаем программу.
2. Выбираем ее в ImpRec.
3. Самое интересное для такого ламера как я - ввести OEP
4. Я запоминал два раза. 428A5C и 425507
Вобщем и тот и другой адресс ImpRec хавает...Импорт восстанавливается просто+plugin ASProtect 1.22
Сохраняем все на диск и нифига не запускается ни с одним OEP, ни с другим.
В дампе появляется секция .mackt.Если дамп загрузить в Olly, то увидим, что там какие-то заоблачные CALL-ы.
P.S.Help me please. Если решите помочь, то набросаю в Ворде с картинками )

| Сообщение посчитали полезным:

А можно ссылку на закачку?

| Сообщение посчитали полезным:

_ShamaN_
ИМХО ты из ОЕР не вычел ImageBase.

| Сообщение посчитали полезным:

СОРРИ
[url=Ссылка на программу]--> www.passcape.com/download/bpr_setup.exe <--[/url]

| Сообщение посчитали полезным:

to Amok
Вычел иначе IAT не нашлось бы ?

| Сообщение посчитали полезным:

если этот TheBat! Password Recovery
_http://www.passcape.com/bat_password_recovery.htm
то там Asprotect 2.x SKE, снимается стриппером

| Сообщение посчитали полезным:

Position № 1

deb2_19.07.2007_CRACKLAB.rU.tgz - SETUP.part1.rar

| Сообщение посчитали полезным:

Position № 2

0dcb_19.07.2007_CRACKLAB.rU.tgz - SETUP.part2.rar

| Сообщение посчитали полезным:

лечение для текущей версии 1.2.0.40 с офсайта:

004195CD: xor eax,eax; inc eax, ret

для эстетики в реестр свое имя:

[HKEY_CURRENT_USER\Software\Passcape\BPR\Registration]
"name"="ManHunter / PCL"

| Сообщение посчитали полезным:

to ManHunter:
Лекарство есть-не интересует.
Интересует разобрать процесс распаковки, а не взлома

| Сообщение посчитали полезным:

Интересует разобрать процесс распаковки, а не взлома
Если я не ошибаюсь,то у ARTeam было много туторов по поводу распаковку ASProtect'а
Да и на данном портале в разделе "статьи", есть статьи на тему ASProtect'а
На худой конец найди скрипт и для снятия прота и выполни его пошагово, иногда помогает понять принцип распаковки прота...
По-моему прога упакована сначала UPX,а поверхз него уже ASProtect навесили...Так что при снятии ASPro OEP должна начинаться с инструкции pushad

| Сообщение посчитали полезным:

на версии которая качается с офсайта нет никакого upx. чистый аспротект.
VerA 0.15 показывает

Version: ASProtect 2.xx (may be 2.11) Registered [8]

откуда там взялась секция .upx0 непонятно.

_http://www.passcape.com/download/bpr.zip

вот ссылка на эту прогу, качал только что.

upd:
странно. а по ссылке
_http://www.passcape.com/download/bpr_setup.exe
секция .upx0 тоже есть. но и там тоже тот же самый Asprotect, никаких upx нет.

| Сообщение посчитали полезным:

ManHunter пишет:
то там Asprotect 2.x SKE, снимается стриппером
+1
Если поможет, то --> вот <-- http://dump.ru/files/9/99103246173/ снятый стриппером

| Сообщение посчитали полезным:

rapidshare.com/files/43826478/unp_bpr_1.rar <--снятый не стрипером

| Сообщение посчитали полезным:

ManHunter пишет:
откуда там взялась секция .upx0 непонятно.
А руками уже чтоле ничего переименовать нелья?!

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Там второй аспр - это точно, стриппером снимается..
У этой компании все проги аспром покрыты..
Насчет секций это фигня..

**Кста, после анпака в отладчике можно посмотреть на эту прогу, что и откуда она берет (ключи в реестре)..

| Сообщение посчитали полезным:

Блин, они уже 1.2 на офсайт выложили. Гляньте кто-нибудь на аттач?
Здесь разбитый архив *.rar
--> 1 часть<--
--> 2 часть<--


to El_Diablo: Сенкс.Попробую.

| Сообщение посчитали полезным:

_ShamaN_ пишет:
Блин, они уже 1.2 на офсайт выложили.

Всё тоже само ничего не поменялось.
По адресу:
00419573
вписать
mov al,1
ret
Готовый к применению файл для версии из аттача:
rapidshare.com/files/43952068/bpr.rar

| Сообщение посчитали полезным:

_ShamaN_ пишет:
Здесь разбитый архив *.rar
--> 1 часть<--
--> 2 часть<--
То что ты приатачил это ASProtect 2.1x SKE -> Alexey Solodovnikov Присутствует VM
OEP
00DE0222 PUSH EBP
00DE0223 JMP SHORT 00DE0227
00DE0225 INT 20
00DE0227 OR EBP, ESI
00DE0229 ADD EBP, DWORD PTR SS:[ESP+18]
00DE022D MOV EBP, 49594E

| Сообщение посчитали полезным:

Всем спасибо !!! Не буду пустыми вопросами доставать. Пойду учить матчасть).
crc1, а как ты определил, что это ASProtect 2.1x SKE?
Вобщем почитаю...еще...поковыряюсь...стану умнее
Если дойдет и если никто не напишет тутор, может сам напишу...

| Сообщение посчитали полезным:

_ShamaN_ пишет:
а как ты определил, что это ASProtect 2.1x SKE?
PEiD прекрасно определяет. может у тебя сигнатур просто мало? здесь где-то пробегала неплохая коллекция.

| Сообщение посчитали полезным:

Для точности определения версии аспра используется плагин VerA от ПЕ_Килла.

| Сообщение посчитали полезным:

_ShamaN_ пишет:
стану умнее
Если дойдет и если никто не напишет тутор, может сам напишу...
Давай пиши

| Сообщение посчитали полезным: