Здравствуйте! Очень прошу, помогите найти или выдайте пжалста из запасов прогу Advanced Archive Password Recovery v.3.00 кто может, очень хочется научиться распаковке, а проги нормальной нет. Далее повтор моего вчерашнего письма(лежит в чужой теме, найти можно в поиске введите: Распаковка ASProtecta - моё сообщение самое свежее)
---------------------------------------------------------------------- ------------------------------------------------------------------
Здравствуйте. Понимаю, что лезу немного не туда, но обсуждения статьи "Распаковка нового ASProtect на примере Advanced Archive Password Recovery v.3.00" автора SergSh на форуме и в поисковике вроде бы не видно(может статья просто древняя), а тут вроде бы тоже у ASR-ра 2-я версия. Суть проблемы:

1 Сам по вашим статьям научился распаковывать ASProtect 1.22-1.23 ,1.23 RC4, 1.24(проги типа Electra, Куриная месть.Первая разборка, скринсейвер и т.д. с затиранием репой краденого начала проги и без).

2 Нужно двигаться дальше и тут с удивлением обнаруживаю, что статей по распаковке версий 1.3-2.0 нет вааще(может я в шары долблюсь, незнаю). Плиз, если можно, то ссылку на подобную статью, а то руководство как починить велосипед есть(1.21-1.22), как починить мопед-есть(1.23 RC4), как починить боинг747 и космический челнок-есть(2.0x-2.12xx и выше). А вот как отремонтировать просто машину нет.

3 Из всех имеющихся статей более всего понятно было у SergSh в "Распаковка нового ASProtect на примере Advanced Archive Password Recovery v.3.00", но тут такой казус. Проискав в инете подопытную прогу версии 3.0 нашел две ссылки, скачал, инсталятор обещал версия 3.0 (как в статье),- в итоге версия 3.01, чем забиты все ссылки на эту прогу в инете и PEID говорит не ASProtect 1.2-1.3 registered(2.0x по словам SergSh),а ASProtect 2.1x SKE. Ну ладно:

а)34раз Shift+F9 ставим бряк на ближайший переход внизу, ещё раз Shift+F9, снимаем бряк,ставим на Alt+M на секцию кода(401000), но не снова Shift+F9, как в статье, а trace into(а то EOP будет на две команды ниже и затруться два Push-а). Останавливаемся на EOP 42A910. Ctrl+A и всё видится чинно и благородно.

б)Читаем статейку дальше и пробуем запустить его скрипт(в папку его,в Script , в Олю, в виде txt предварительно). И оля повисает пробовал подождать 1,5 часа думал это скрипт так долго на более свежей версии ASp-ра трудится(хрен то там:s14. Запущено как положено без бряков и с OEP после trace into и я в plugin->IsDebuggerPresent ->Hide, с полным игнором исключений.

в) Руками по его совету IAT пока не пробовал, всё так пока трудно для понимания и непривычно и завтра на работу а уже 2ночи. Граждане, слезно молю дайте ссылку на настоящий Advanced Archive Password Recovery v.3.00, а то шатл починить не могу пока, дайте хоть чертежи к боингу. А если почти серьезно, то научиться распаковывать ASPr до второй версии включительно руками хочется так, что аж эти руки зудят.

P.S. Не пинайте сильно за дурацкие просьбы самого маленького. Это первый выход в свет. Начал реверсить 18.12.06 с нуля. Реверсил даже в новогоднюю ночь. Для меня это очень важно(научиться распаковывать)!

| Сообщение посчитали полезным:

Nu da... wse OK... sowsem plohoj stal

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev та нет ты не плохой, а совсем наоборот. Теперь я точно знаю что по крайней мере на XP SP2 распаковка не глючит, хотя и остался вопрос почему это кнопки "ок" и "регистрация" временами меняются местами. ХОтя это не пренципиально, кто захочет вмиг это триальное окно ко всем хреням снесёт.

| Сообщение посчитали полезным:

Ja uzhe takoe widel w drugih progah...
Naprimer Reget Delux tam knopki postojanno mestami menjajutsja, chtoby ne priwykali zhat' w odno mesto...
esche odin sposob bystree nadoest' pri triale

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Хм. А на работе то прога даёт кучу ошибок при закрытии. А так всё нормалёк. Буду разбираться.

| Сообщение посчитали полезным:

Всем привет. Сорри по Iconlover-у! Сам так сказать запарился и указал место переходника в IAT не туда(заканчивал поздно ночью и указал не тот адрес по усталости). Соответственно трассировка показала:

007B1D60 50 PUSH EAX
007B1D61 -FF25 9C126E00 JMP DWORD PTR DS:[6E129C]---------; kernel32.7C81CAA2--------Вот
007B1D67 0000 ADD BYTE PTR DS:[EAX],AL
007B1D69 0000 ADD BYTE PTR DS:[EAX],AL
007B1D6B 0000 ADD BYTE PTR DS:[EAX],AL

А в IAT адресс функции по другому адресу

007B2064 00000000 ....
007B2068 JMP DWORD PTR DS:[6E129C]---------; >7C81CDDA ЪНЃ| kernel32.ExitProcess
007B206C 00000000 ....

А дома и без прыжка прога завершалась при выходе вот и не заметил Isaev и другие если скачивали для тестирования файл и что то не так при завершении переправьте
007B1D61------JMP DWORD PTR DS:[6E129C] на
007B1D61------JMP DWORD PTR DS:[7B2068] и выход станет нормальным на любой системе.

Всё с иконловером заканчиваю. А дальше ещё постараюсь укрепить полученные знания и помочь этому может теперь статья "Распаковка ASProtect v 2.xx (отрезание секций, восстановление скрамблерного кода, декомпиляция VM, восстановление импорта, инлайн патч)", автора PE_Kill.
Следующий пациент- FontExpert 2005 Version: 7.0 Release 1. Однако на сайте разработчика пишут:
February 24, 2007
FontExpert 2006
Version 8.0 Release 4

Поэтому начинаем традиционно,- PE-kill не сочти за труд слить куда нить версию 7.0, чтобы у пациента было меньше неожиданностей(а то фиг его знает может новый пакован чем другим.)

| Сообщение посчитали полезным:

Small_S h__p://revenge.crackdb.com/_users/PE_Kill/FontExpertSetup.exe

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Small_S пробежался по топику.
Вместо LoadLibraryA у тебя в kernel32.dll jmp из за каспера, даже если ты его вырубишь то он останется т.к. это разруливает драйвер, а он всегда висит. Помоч может только удаление.

Далее, мой скрипт по ИАТ работает некорректно т.к. тогда я не знал что в проге могут быть как call так и jmp. И вообще скрипт был приложен к статье там описывалось как я его писал, если бы прочитал статью, то 2х страниц флуда бы не было...

Ну и не стоит статью считать мануалом по распаковке, т.к. я там в предисловии писал что писал статью одновременно с исследованием прота, а когда исследовал полностью переписывать столько инфы было влом, но основы она даст.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
а когда исследовал полностью переписывать столько инфы было влом
PE_Kill
Так вот мне лично пох как написано (с ошибками или без) главное, о чем написано!!!
Это гораздо интереснее читать, чем тупо переписанные статьи с буржуйского - ИМХО
Зачем переписывать… если остались черновики(?), то выложи сюда revenge.crackdb.com/_users/PE_Kill/ (в архиве)
Для меня остается загадкой, исследовал ли ты (назовем его условно – генератор метаморфа) переходника на VM…
Это я о, из статьи начало:
Приступим! Поставим указатель на первый вызов VM и нажмем Ctrl+* или правой кнопкой мыши->New origin here, тем самым, установив счетчик команд (eip) на нужный адрес. Теперь жмем F7 (Step into) и попадаем в функцию 00E90000. Видим кучу мусора и инструкций jmp. Как я понял, где мусор? Начало функции: (ц)PE_Kill
Дальше идет код и вкратце описание этого участка кода…
Но ни слова о том, что этот код при новом старте проги видоизменяется(?), но результат отработки этого кода остается тот же самый…
А конкретнее (код без метаморфа)
push reg ;при новом старте проги регистр(reg) изменяется то есть может быть EAX или EDI и т. д. (“случайным”)
pushfd
pushad
push esp+30h ; запишет в стек (0012FE54) см. ниже кадр стека
push esp+4h ;запишет в стек (0012FE28) см. ниже кадр стека
pushfd
;регистр(reg) тоже изменяется при новом старте проги
mov reg, [esp+38h] ;помещается в регистр(reg) адрес возврата этой процедуры которая вызвала VM (00EA220F) см. ниже кадр стека
sub reg, 5
add reg, xxx ;при новом старте проги константа(xxx) изменяется
push reg
push 0CB0DC0h ; разные могут быть адреса в памяти(0CB0DC0h)
call 0C984FCh ; разные могут быть адреса в памяти(0C984FCh)
Все это нужно для правильной работы VM протектора

Вот кадр стека, для того чтобы понятнее было
0012FE14 00CB0DC0
0012FE18 00EA2F86
0012FE1C 00000246
0012FE20 0012FE28
0012FE24 0012FE54
0012FE28 00400000 FontExpe.00400000
0012FE2C 00400128 ASCII "PE"
0012FE30 00000001
0012FE34 3D83D8BF
0012FE38 00C83730 RETURN to 00C83730 from 00C84074
0012FE3C 0012FF64
0012FE40 00010100
0012FE44 7C80B529 kernel32.GetModuleHandleA
0012FE48 00000246
0012FE4C 00000000
0012FE50 00EA220F RETURN to 00EA220F from 00F10000
Вот и хотел бы сравнить свои исследования с твоими(?), у меня даже где-то на диске валяется черный рип этого “генератора”, все время не найду привести его(сорс) в божеский вид…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

PE_Kill фенкс за пациента, уже установил!

PE_Kill в ответ на Вместо LoadLibraryA у тебя в kernel32.dll jmp из за каспера, даже если ты его вырубишь то он останется т.к. это разруливает драйвер, а он всегда висит. Я конечно очень уважаю мнение эксперта в этой области и обязательно проверю, попытавшись поставить каспера под виртуалом, но у меня уже с неделю в голове сидит мысль, что причиной явился тоже некий драйвер, установки которого потребовала игрушка "Магия крови" перед самым новым годом(и это я тоже попытаюсь, если виртуал позволит проверить). Просто времени катострофически мало и я не хотел раньше времени лести с непроверенными подозрениями.
Для интересующихся этой темой скажу, что это новая магия крови,вышла в декабре(старую я ещё летом отыграл). Кстати как то случайно был момент я софтайс запускал и потом забыл перегрузить и через пару часиков занятий чем то попёр играть, так магия(а точнее его защита) мигом давай орать типа вижу отладчик. Я понимаю, что софтайс был неприкрыт и современным защитам как два пальца об асфальт его запалить, но я о другом есть у меня штучка о которой я забыл, но которую нигде не видно(ну может в процессах, сразу вопрос работу драйверов в винде в диспетчере видно и если видно, то все ли) и которая потенциально может что нибудь курочить и видимо на очень низком уровне.

PE_Kill, Demon666 вы просто проливаете бальзам на моё сердце Почаще бы так с советами, новинками, обьяснениями сюда. Стариков с со всей инфой милости просим сюда же, даже если не очень в тему. Каждое слово, каждая строчка кода, любая мелочь будет опробована, если не сейчас(времени мало), то несколько позже.

Я ис кожи вылезу, но постараюсь превратить топик сначала в что то типа прохождений самых ключевых для обучения распаковке аспра статей краклаба, для маленьких и пока слабеньких, но постепенно растущих челов; затем если хватит сил и таланта в место, где будут обкатываться новые более сложные и разнообразные виды паковок новейших версий аспра.

| Сообщение посчитали полезным:

а новейших версий и нет.. а мутатор ничего такой, только с дасмом длинн

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix я конечно зелен, но неужели версия аспра 2.2 или скажем 2.3 ничем в сторону усложнения не отличается от 2.13 SKE. Или другими словами ты хочешь сказать, что как только я насобачусь ковырять VM, импорт, таблицы инициализации и спертый код(или как там это называется, когда 2-4 байта нес того ни с сего сперты посреди проги), то всё мне по барабану будет 2.2, 2.3 или 2.4 передо мной?

| Сообщение посчитали полезным:

Small_S А дома и без прыжка прога завершалась при выходе вот и не заметил Isaev и другие если скачивали для тестирования файл и что то не так при завершении переправьте

Ne Znaju... u menja wse normalno, bez glukow zawerschalos'

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Small_S пишет:
что как только я насобачусь ковырять VM, импорт, таблицы инициализации и спертый код(или как там это называется, когда 2-4 байта нес того ни с сего сперты посреди проги), то всё мне по барабану будет 2.2, 2.3 или 2.4 передо мной?
да.. если "насобачишься" не на уровне тупого повторения

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Isaev это видимо тот случай когда у нас с тобой билд у винды или очень похож или тот же. У меня вот дома тоже и так всё нормуль(без экзит процесса), а вот на работе система хоть и тоже XP SP2 , но повела себя как у SergSh , - поэтому кому повезло меньше, а всёж хочется чтоб нормально завершалось придётся идти по контрал+г на указанные адреса и править.

lord_Phoenix я уж стараюсь не на уровне тупого повторения, пока хоть по мелочи и проверки если указанным способом не находятся пробую по другому, и скрипты из одной статьи на другую использовать, то под виртуалом, то ещё как, и т.д. Ну конечно скоро начну и со скриптами эксперименты, сначала видимо с чужими, потом может и свой напишу. Уж трудолюбия и упорства мне хватит(про талант незнаю, не уверен).

| Сообщение посчитали полезным:

Demon666 пишет:
Для меня остается загадкой, исследовал ли ты (назовем его условно – генератор метаморфа) переходника на VM…
Нет, зачем? Этот переходник не играет абсолютно никакой роли при декомпиляции VM. Ну если только не декомпилить ее в статике. А вообще морф не сильно сложный, вооружившись дизасмом можно практически полностью его убрать, черновиков я выкладывать не буду, т.к. статья и так лучший черновик.

Small_S пишет:
но у меня уже с неделю в голове сидит мысль, что причиной явился тоже некий драйвер
Ну у меня точно из за каспера, помогло только удаление. А вообще скрипт очень просто переделать чтобы ему было по барабану перехват LoadLibraryA.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill Слушай, ты наверное(как мастер ) будешь долго смеяться над моими познаниями, но я даже не представляю как это скрипт очень просто переделать чтобы ему было по барабану перехват LoadLibraryA.

Что ты имеешь в виду? Основать работу скрипта на какой то другой функции(тогда на какой и как)?
Как то(каким то образом) всё равно выйти на место куда девается LoadLibraryA, дык я после джампа приводил снимок что у меня в окне CPU,- полная лажа LoadLibraryA и не пахнет? Уж хочешь смейся, хочешь нет, но пока эта фраза для меня звучит, как для папуаса намек на устройство какой то микросхемы в телевизоре. Поясни хоть немного, а ещё лучше тыкни носом в скрипт.

| Сообщение посчитали полезным:

jmp ведет в драйвер, а вот драйвер вызывает оригинальную LoadLibraryA, которую можно найти по сигнатуре. Можно убрать перехват. Ну в скрипте главное место - это возврат из LoadLibraryA, можно помотреть на значение [esp] стоя на том джампе и жестко вбить его в скрипт, правда работать будет только для этой программы. Ну а можно исследовать дальше и не привязываться к АПИ.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Нет, зачем?... Ну если только не декомпилить ее в статике.
Угу, только я называю его ласково интерактивный декомпиль для разных протекторов и уровней колец =)))

PE_Kill пишет:
А вообще морф не сильно сложный
Угу, это для нас как-буд-то его и нет, ну а для чайнЕкофф… представляю их очи, когда они его первый раз видят =)))

PE_Kill пишет:
черновиков я выкладывать не буду
А жаль(!?) подумалось, может, еще помнишь… бессонные ночи… ну, типа чтобы другие так не встревали
Появился новый AsProtect 2.2
Думал, может, я что пропустил и может какая инфа из черновиков пригодиться для написания плуга…
Ну, да ладно, проехали…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Ай молодца Demon666! А я ведь почему то эту тему не видел Появился новый AsProtect 2.2 Правда даже если бы видел, я то сейчас только дохожу до уровня когда могу всё или почти всё, что там понять.

PE_Kill фенкс, я хоть теперь знаю куда копать.

| Сообщение посчитали полезным:

Мастер указал нам путь - jmp ведет в драйвер, а вот драйвер вызывает оригинальную LoadLibraryA, которую можно найти по сигнатуре. Можно убрать перехват. , хотя времени мало попробовал выполнить советы или хотябы разобраться. Для простоты трасил по уже распакованному Advanced Archive Password Recovery v.3.01

jmp ведет в драйвер-по ходу джампер никуда не ведёт(в небо), видимо что то типа ложного пути по крайней мере для оли, так как если поставить бряк F2 на сам джампер и пустить прогу по F9 то после одного исключения мы встаем на джампере и следующий же шаг по F7 дает ошибку(Оля возмущается куда это мы поперли). Вот строка из которой очень ясно, что мы поперли в небо

7C882FC4 >- E9 1820E177 JMP F4694FE1

при этом максимальный адрес в карте памяти
Memory map, item 34
Address=7FFE0000 Size=00001000 (4096.)
Выходим мы на этот джампер из 002А0CB2, причём этой области памяти(002A0000) при старте проги ещё нет и эта область появляется последней перед PE заголовком нашей проги. Смотрите аттач с более развернутыми данными.

САМОЕ ИНТЕРЕСНОЕ, ЧТО САМА LoadLibraryA НА САМОМ ДЕЛЕ НАХОДИТСЯ НА СВОЁМ НОРМАЛЬНОМ ЗАКОННОМ МЕСТЕ(КАК В ВИРТУАЛЬНОЙ xp, ТАК В РЕАЛЬНОЙ ПО АДРЕСУ 7C801D77) и элементарно находится по куску сигнатуры(даже не по всей)
8BFF558BEC837D08005356741468F0E2807CFF7508FF159C13807c85C059597412

Пробовал тупо вбить в джампере адресс реальной функи нихрена при трассировке заход есть, но потом после непродолжительного трасинга вылетает виндовая ошибка, если переправить и просто пустить прогу по F9 то всё заводится как ни в чём не бывало. Всё это ещё больше убеждает, что джампер играет роль какой то ловушки для отладчика.Кроме того такое изменение в кернеле оля не сохраняет, как впрочем и бряк при перегрузке программы.

Вывод: когда появится время будем трассировать очень подробно прогу сначала, стобы узнать
а)когда появляется область 002A0000(это видимо и есть область этого драйвера)
б)что там вней происходит
в) какая с-ка перепрвляет EIP на 7C882FC4 вместо 7C801D77
Может быть после этого прийдут умные мысли и я смогу Можно убрать перехват



04e7_09.03.2007_CRACKLAB.rU.tgz - пробуем узнать как снять хук.txt

| Сообщение посчитали полезным:

А чет ща токо вспомнил
lord_Phoenix пишет:
а мутатор ничего такой
Так тогда называй вещи своими именами
Пермутатор, а то чайнеГи запутаюццо =)))

lord_Phoenix пишет:
а новейших версий и нет..
Ну, а вдруг солод на старость лет очнется да как выдаст, да как дастььь…
Или новая Оля со своим новым PSDK как накроет плуги, ведь не зря проверка версий придумываеццо =)))
И тогда как лесом пойдуть все скрипты и будите попрошайничать фикс плуга, это все предположения, но вполне реально может быть!!!(~? Кто на эту тему (PSDK) по мылу с автором общался или собирается общаться, просьба отписаццо!!!)

P. S.
Просто ну не может быть такого то, что он хочет сделать, чтобы не повлияло на SDK…
Просьба ламеров не флудить на эту тему, если конкретных фактов не имееццо…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Ну единственное, что я пока не осилил в ASProtect (времени нет) - это его циклическая ВМ, наподобие VMProtect. Она повешана на главные участки кода ASProtect.DLL и очень медленно работает. Пока для анпака аспра ее не нужно декомпилить, но кто знает, кто знает...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Всем привет! Наконец то могу потихоньку начать, снова ковыряться впрогах и как следствие снова продвигать исследования в этом топике. Топ снова заживёт, но не очень интенсивно, так как после сессии с головой завалили работой. Ну да к делу.

Попробую в ближайшее время решить животрепещущий вопрос, который волновал меня в ближайших постах,- кто хучит loadlibrary и как это поправить чтоб скрипт PE_kill-а начал работать(восстановление IAT).

На данный момент на ум пришло попытаться не изобретать велосипед, а воспользоваться чем нибудь умным и интелектуальным в ring0. В этот то момент мне и попалась на глаза в новостях краклаба прога Rootkit Unhooker версии 3.0.88.344(из Wasm-а). Однако по скачиванию данной версии оказалось, что она вообще не видит хуков loadlibraryA ну или W где быто ни было(так что скачивать её не надо, а ведущему новостей нужно поменять ссылку на версию 3.31.150.420 см. ниже).

На еще большее счастье, за неимением времени во время сесии, я не отказывал себе в удовольствии лазить по офтопу. Там сейчас висит тема " Не могу отловить вирус", а в ней ссылка на сайт с новой версией 3.31.150.420 ,- вот она rkunhooker1.narod.ru/. Вот эта штука видит всё, что нам нужно и ею же видимо можно будет всё найденное поотрубать(на вкладке хуки-Code Hooks Detektor).

Когда я увидел лог её сканирования, чуть не упал со стула. И что только у меня не хучит бедную loadLibraryA (да и W, и exW). Ну авторы хуков типа avpcc.exe, AvpM.exe это понятно про это писал PE_Kill, когда упоминал про Касперского. А вот что за CDAC11BA.exe, spoolsv.exe, ccSetMgr.exe, services.exe, winlogon.exe и т.д. Ужас!

Значит с утра будут эксперименты по отрубанию. Может кто имел дело с работой этой проги и что присоветует в догонку. Я понимаю, что операция по отрубанию видимо не самая безопастная. Буду рубить только хук loadLibraryA и по одному процессу и смотреть. Интересно винда не может полностью накрыться?

| Сообщение посчитали полезным:

Привет всем! Несмотря на ограниченное время разобрался с прогой Rootkit Unhooker 3.31.150.420- очень хорошая вещь! По порядку:

1.После несколькочасовой возни и 15-20 бсодов понял, что в моей винде сам чёрт ногу сломет(так как остаются дрова от различных фаеров, антивирей и просто прог даже несмотря на их родные унинсталы и за более чем год много чего было).

2.Зачистил и приготовил один из сата-дисков(у меня ещё и старые не сата есть). Установил на нем винду с нуля переменив загрузку из биоса. Установил Олю, Rootkit Unhooker, Касперского, каждый раз пробуя скрипт( кроме того перед Касперским снял репорт скрытых процессов и скрытых драйверов в Rootkit Unhooker)

3.После Касперского, как и ожидалось loadlibrary получила хук. И наконец благодаря сравнению репорта до и после Касперского вот он виновник "торжества" и нескольких веселых вечеров и ночей:
Драйвер: C:\WINDOWS\system32\Drivers\klif.sys
Адрес: 0xF4D96000
Размер: 172032 байт

4.Далее после выгрузки командного центра Касперского пошли попытки сначала снять хуки SSDT- как я понял сервисы винды. Ничего софтина махом их снимает(только не забудьте, кто будет повторять выгрузить командный центр, а то сразу BSOD), но это не помогает. К сожалению сам драйвер в окне скрытых драйверов можно только удалить(даже не удалить а убрать команду первичному загрузчику винды на загрузку драйвера, так как он после перезагрузки действительно перестает работать но лежит в своей C:\WINDOWS\system32\Drivers\).И всё скрипт работает, хуков нет, но и монитор не работает у касперского и нужно обновить компоненты его прежде чем запашет поэтому есть более лёгкий путь...

5.Просто выгружаем командник Касперского, заходим C:\WINDOWS\system32\Drivers\, делаем там папку запас или хрен его знает ещё с любым названием и скидываем туда драйвер. Перезагрузка, возмущение касперского и можно спокойно работать. Захотелось снова с касперским в полном объёме или просто уже скрипт отработал, вернули klif.sys на место и перезагрузились и никуда лазить не надо и ничего править нигде!

Жаль, что авторы очень хорошей софтины не предусмотрели отката к прежним значениям, то б вообще была не жизнь а малина.

| Сообщение посчитали полезным:

Коль я сегодня дорвался до бесплатного, то вот ещё добавки.

1.Поставил назад дрова старовские, какие требует новая "Магия крови", погрузил игру вышел, проверил скрипт пашет, так что игруха оказалась вне подозрений.

2. Посмотрел чьи ещё хуки сервисов есть. Несмотря на закрытый оутпост(ключ пробный пару дней истёк)хуки висят, но на скрипт не влияют.

Вреднее всех, таким образом, оказался Касперский, но и он, как показала сегодняшняя практика снимается на раз. Осталось назвать его версию: 4.5.0.97 Platinum.

К достоинствам такого решения можно отнести быстроту и ненапряжность снятия хука, кроме того, скрипт работает махом(не как под виртуалом).

К недостаткам,- если ковыряя какую то дрянь-прогу после распаковки там окажется вирус, реакция будет очень запоздалой(а у меня уже пару раз такие проги попадались). Ну и предвижу сдвинутые брови ветеранов краклаба, с готовыми сорваться фразами типа: "Быстро учить СИ и читать на васме статьи по прогаммированию в нулевом кольце! Бегом!" Шутка

| Сообщение посчитали полезным:

Привет всем! Уже поздно, но приведу вкратце последние новости. Прочитав у PE-kill-а в статье следующую фразу:"Я, например, запарившись, в двадцатый раз руками доходить до OEP, стал изучать OllyScript и искать в ASProtect’e закономерности. Уже через день я написал OEP Finder.", попробовал адаптировать скрипт прохождения к VOEP из статьи SergSh к адресам и исключениям этой проги. Он принял вид для моих адресов:
var addr
var voep
mov voep, 00E4030D
mov addr, 00BCA76A
eoe Label
run
Label:
cmp eip,addr
je rrr
esto
rrr:
add addr, 43
bp addr
esto
bc addr
bp voep
run
bp voep
ret
Запускал его на той системе где у меня почти ничего нет и Каспер с заглушенным klif-ом, на всякий случай вообще его выгрузил. Каково же было удивление, когда я увидел что скрипт падает в одной из системных библиотек. Попробовал переадаптировать скрипт снова к iconlover-ру,- работает как ни в чём не бывало. Провозившись вчерашний вечер так и не понял почему такая хрень.

С утра начал изучение ODbgScript документации. Для начала перевёл ту её часть, что касается непосредственно управления и создания скриптов. Я не великий переводчик, но может кому прегодится из начинающих, как я. По крайней мере знакомство будет более лёгким. Перевод в аттаче(переведённый текст выделен жирным, исходник оставлен нормальным шрифтом). Если кто заметит неточности перевода или вообще что то неправильное, то пишем. Поскольку данный топ для обучения(в том числе и написанию скриптов), то пусть здесь висит до кучи русский текст справки языка скрипта.

724d_06.05.2007_CRACKLAB.rU.tgz - Документация к ODbgScript.doc

| Сообщение посчитали полезным:

Small_S пишет:
bp voep
А зачем вызываешь эту команду дважды? Наверное bc voep.
Не понял, какая у тебя за ошибка выскакивает. Протрассируй скрипт через script Window и увидишь, что к чему.

| Сообщение посчитали полезным:

tar4 Привет! Прийду домой отпишу наглядно, но в кратце на участке
cmp eip,addr
je rrr
esto ---вот отсюда мы почему то идем с первого же раза на метку rrr, хотя выполнением условия и не
rrr: --------------пахнет
add addr, 43
bp addr
esto
Причём сравнение происходит на каждом исключении, но всего 16раз и ещё сравнивает 00BCA76A+43h c адресом очередного исключения, а не с 00BCA76A, а последние 2 сравнения вообще 00BCA76A+43h +43h и прёт куда то в системные дебри.
Самое любопытное, что на iconlover-ре с его адресами тот же скрипт шпарит на ура.
tar4 попробую и твой вариант с bc voep.

| Сообщение посчитали полезным:

Small_S пишет:
esto ---вот отсюда мы почему то идем с первого же раза на метку rrr, хотя выполнением условия и не
rrr: --------------пахнет
И правильно идет, а куда ей еще идти.
cmp eip,addr // ты сравниваешь адреса
je rrr // если они совпадают, то идет на метку rrr
esto // иначе shift-f9
rrr: // а после shift-f9 все равно попадаешь на метку rrr.

А насчет bc voep- это просто уточнение, скрипт и без него будет работать, только бряк сниматься
не будет.

| Сообщение посчитали полезным:

tar4 Если я верно понял, то исходя из команды
eoe Label в самом начале скрипта при возникновении исключения скрипт должен всё время попадать на метку Label:, а при выполнении esto // иначе shift-f9 и возникнет следующее исключение?
Или эта команда действует разово?(но тогда зачем он там если после run он и так туда попадёт?)

| Сообщение посчитали полезным: