Здравствуйте! Очень прошу, помогите найти или выдайте пжалста из запасов прогу Advanced Archive Password Recovery v.3.00 кто может, очень хочется научиться распаковке, а проги нормальной нет. Далее повтор моего вчерашнего письма(лежит в чужой теме, найти можно в поиске введите: Распаковка ASProtecta - моё сообщение самое свежее)
---------------------------------------------------------------------- ------------------------------------------------------------------
Здравствуйте. Понимаю, что лезу немного не туда, но обсуждения статьи "Распаковка нового ASProtect на примере Advanced Archive Password Recovery v.3.00" автора SergSh на форуме и в поисковике вроде бы не видно(может статья просто древняя), а тут вроде бы тоже у ASR-ра 2-я версия. Суть проблемы:

1 Сам по вашим статьям научился распаковывать ASProtect 1.22-1.23 ,1.23 RC4, 1.24(проги типа Electra, Куриная месть.Первая разборка, скринсейвер и т.д. с затиранием репой краденого начала проги и без).

2 Нужно двигаться дальше и тут с удивлением обнаруживаю, что статей по распаковке версий 1.3-2.0 нет вааще(может я в шары долблюсь, незнаю). Плиз, если можно, то ссылку на подобную статью, а то руководство как починить велосипед есть(1.21-1.22), как починить мопед-есть(1.23 RC4), как починить боинг747 и космический челнок-есть(2.0x-2.12xx и выше). А вот как отремонтировать просто машину нет.

3 Из всех имеющихся статей более всего понятно было у SergSh в "Распаковка нового ASProtect на примере Advanced Archive Password Recovery v.3.00", но тут такой казус. Проискав в инете подопытную прогу версии 3.0 нашел две ссылки, скачал, инсталятор обещал версия 3.0 (как в статье),- в итоге версия 3.01, чем забиты все ссылки на эту прогу в инете и PEID говорит не ASProtect 1.2-1.3 registered(2.0x по словам SergSh),а ASProtect 2.1x SKE. Ну ладно:

а)34раз Shift+F9 ставим бряк на ближайший переход внизу, ещё раз Shift+F9, снимаем бряк,ставим на Alt+M на секцию кода(401000), но не снова Shift+F9, как в статье, а trace into(а то EOP будет на две команды ниже и затруться два Push-а). Останавливаемся на EOP 42A910. Ctrl+A и всё видится чинно и благородно.

б)Читаем статейку дальше и пробуем запустить его скрипт(в папку его,в Script , в Олю, в виде txt предварительно). И оля повисает пробовал подождать 1,5 часа думал это скрипт так долго на более свежей версии ASp-ра трудится(хрен то там:s14. Запущено как положено без бряков и с OEP после trace into и я в plugin->IsDebuggerPresent ->Hide, с полным игнором исключений.

в) Руками по его совету IAT пока не пробовал, всё так пока трудно для понимания и непривычно и завтра на работу а уже 2ночи. Граждане, слезно молю дайте ссылку на настоящий Advanced Archive Password Recovery v.3.00, а то шатл починить не могу пока, дайте хоть чертежи к боингу. А если почти серьезно, то научиться распаковывать ASPr до второй версии включительно руками хочется так, что аж эти руки зудят.

P.S. Не пинайте сильно за дурацкие просьбы самого маленького. Это первый выход в свет. Начал реверсить 18.12.06 с нуля. Реверсил даже в новогоднюю ночь. Для меня это очень важно(научиться распаковывать)!

| Сообщение посчитали полезным:

Что же касается редиректов из секции кода типа push poly\ret, jmp poly - для прог на делфи обычно в полиморфный буфер воруется и заменяется мусором код из call'ов основной оеп ветки, в начало этого мусора ставится прыжок в буфер, и основное кол-во проэмулированных инструкций для этого компилятора приходится как раз на код украденный из call'ов основной ветки.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Не сочтите за рекламу
hexcsl.com/upload/stats/219
Это для тех кто страдает из-за скорости. 18 зеркал.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Small_S Писать в мар можно без UnmapViewOfFile.Я делал из Map - неMap.

| Сообщение посчитали полезным:

Привет всем. Ссори за молчание, какой то вирь у меня завелся, пока не разобрался не выхожу с системы дома в нет.

flair на Писать в мар можно без UnmapViewOfFile.Я делал из Map - неMap.
Если можно, тогда сразу код. Я думаю, судя по молчанию мало кто знает как и через что это делается. Интересно будет очень многим.

| Сообщение посчитали полезным:

Hellspawn
Огромное спасибо.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Small_SВыложу как пример Олю в которой спокойно пишешь в мар.Это пожалуй все.С нетом были траблы.Еле сообщение отправил что бы сказать.Если нужно можно там посмотреть в конце секции.

| Сообщение посчитали полезным:

Smon

Большое спасибо за замечания. Я их учту в следующей статье по распаковке ASProtect v2.3 SKE build 06.26 Beta.

Ara выложил статью по распаковке ASProtect v1.35 build 06.26 на сайте CRACKL@B. Ссылка для скачивания - http://www.exelab.ru/rar/dl/CRACKLAB.rU_79.rar

| Сообщение посчитали полезным:

Small_S slil.ru/24840401

| Сообщение посчитали полезным:

flair фенкс скачал, буду смотреть. С инетом тоже что то не то страницы скидывает.

vnekrilov молоток, поддерживаеш общее дело.

| Сообщение посчитали полезным:

Small_S Единственное что нужно сделать - атрибуты на запись AccessMode = FILE_MAP_WRITE.

| Сообщение посчитали полезным:

Сегодня, на webfile.ru/1529952 я выложил статью по распаковке протектора ASProtect v2.3 SKE build 06.26 Beta. Видимо, это - последняя статья по этому пакеру, поскольку новых версий пакера, видимо, не будет.

К большому моему сожалению, я опять не мог закачать эту статью на CRACKL@B в раздел RAR-статьи. Идет обрыв соединения. Опять попрошу Ara ее взять по этой ссылке, и выложить у себя на сайте. А может быть кто-то поможет, и отправит эту статью на CRACKL@B в раздел RAR-статьи.

Как всегда, буду признателен за критику, замечания и пожелания.

| Сообщение посчитали полезным:

vnekrilov пишет:
Видимо, это - последняя статья по этому пакеру, поскольку новых версий пакера, видимо, не будет.
Старфорс взял на себя разработку и поддержку новых версий, так что это явно не последняя версия

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Старфорс взял на себя разработку и поддержку новых версий, так что это явно не последняя версия

они официально объявили, что будут поддерживать?

| Сообщение посчитали полезным:

Gideon Vi
Ссылко раз:
www.aspack.com/news1.html
Ссылко два:
www.star-force.com/protection.phtml?c=83&id=1097

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

А вот что нас ждет))

Application of the support for Windows Vista in October 2007,
Activating of protected applications and introducing DRM,
Changing the present methods of protection to improve safety and stability for protection,
Writing the full technical documentation for all products.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus, пасиб за ссылки. Я читал, что перекупили, но вот о том, что будут реально совершенствовать не слышал.

Maximus пишет:
Writing the full technical documentation for all products.

Это типа Солод был таким рас-ем, что толком хелп написать не мог?

| Сообщение посчитали полезным:

Решил тут текущий [IconLover v4.18 (2,3 Мб)] http://iconutils.com/iconlover/iconlove.exe распаковать, да встрял...
PEiD (ASProtect 2.1x SKE), ASPriNF(1.35 build 06.26 Release), DiE (ASProtect 1.33- 2.2)

На практике на v2.1x не похоже, по статье товарища vnekrilova по v1.35 build 06.26 Release, что-то не клеится, по приведённому там примеру OEP не находится, приведённый скрипт находит неправильную...
QU нашёл правильную OEP: 6E2B50 (за что отдельное спасибо Feuerrader & Archer ForceOEP-рулед т.к. выручает не первый раз)
Как найти вручную не понял... И что, собственно, за версия прота используется?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
asprotect 1.35

| Сообщение посчитали полезным:

Isaev asprotect 1.35 отлично берет стрипер ))
А вобще там пол проги пошифровано, так что без ключа ничего не сделаешь...

OEP stolen!
RVA: 00C5047C

Восстановленный ОЕП (by PE_Kill)

007B8000 > 55 PUSH EBP
007B8001 8BEC MOV EBP,ESP
007B8003 83C4 F4 ADD ESP,-0C
007B8006 B8 182F6E00 MOV EAX,icolover.006E2F18
007B800B E8 E5010000 CALL icolover.007B81F5
007B8010 E8 779CF2FF CALL icolover.006E1C8C
007B8015 84C0 TEST AL,AL
007B8017 75 06 JNZ SHORT icolover.007B801F
007B8019 FF15 ECD46F00 CALL DWORD PTR DS:[6FD4EC] ; icolover.006E2DC4
007B801F E8 07000000 CALL icolover.007B802B
007B8024 68 74386E00 PUSH icolover.006E3874
007B8029 C3 RETN

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Как найти это место вручную? И сдесь действительно build не 06.26 или просто с разными параметрами протектили?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Как найти это место вручную?

Восстановленный ОЕП - !
Чего искать?Какое место?Там код эмулируется в теле пакера.Потом возвращается в прогу.
Как вариант - можно обойтись без восстановления OEP.Но добавить немного кода для восстановления стека
Статьи с примерами такие есть.

| Сообщение посчитали полезным:

Люди помогите, в чем может быть проблема: склеил дамп с импортом, захожу в OllyDBG а там на OEP такая вот тема [смотреть атач] вместо push ebp
PS Peid показывает nothing found
PSS ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov; прога ZVolume Pro 3.44

39b0_21.11.2007_CRACKLAB.rU.tgz - dbg.rar

| Сообщение посчитали полезным:

Barther не правильно опредлен ОЕП

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

OEP 100% правильный всё по статье cracklab.narod.ru/doc/asoul.htm когда дошёл до popad, eax был равен 41144D

| Сообщение посчитали полезным:

Barther распакованый и сломанный (ломается минуты за три)
rapidshare.com/files/71282276/_ZVolume.rar.html

Как видишь с ОЕП ты обломался, а я оказался прав ;)
Кстате в стотье ОЕП тоже другой, единственно что там совсем уж все сложно, и падчинг правильно делаеццо совсем по другому (смотри мой пример).

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Есть ли возможность расшифровать и поставить на место Scrambled Entry ?
Striper в принципе распаковывает нормально, но пошифрованные участки расшифровываются только во время их выполнения.
Объект - www.tamos.com/files/cv5.zip

| Сообщение посчитали полезным:

YURETZS есть.
1. Распакуй стрипером прогу
2. Запусти ее под олькой, и выполни до места где отработает проца расшифровки
3. Сдампи, не закрвая ольку (уже с расшифрованными кусками)
4. Скопируй расшифрованые куски из дампа прогой от PE_Kill CodeCopyr (я выкладывал на форуме)
5. Процу шифровки и расшифровки за RET'ь что бы прога не слетала.

Ну или кинь ключ в личку, распакую с уже восстановлеными кусками.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Помогите вот с таким примерчиком (ASProtect 2.1x SKE).
Отработал стриппер, восстановил все джампы из ВМ, все гладко. Прога при запуске вылетает (violation), начал копать, запутался, новичек. Почитал статьи, показалось, что напортачил с импортом. Выручайте.
Распакованное стриппером тело.

| Сообщение посчитали полезным:

ryden как ты можешь напортачить с импортом, если ты прогу не распаковывал?
Тут 3 варианта, 1-й (всего вероятней) ты не востановил апи аспра, второй, в проге есть пошифрованые куски, 3-й защита самой проги.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Да, скорее всего 1. Что почитать, чтобы побороть?
Навыки есть, схвачу быстро, инфу бы только толковую...

| Сообщение посчитали полезным: