Доброго времени суток!

Я уже где-то 6-ой час пытаюсь распаковать программу, но ничего не получается, вернее получается распаковать, но программа выполняется не так, как должна...

у меня мало опыта, распаковывал я еще пока только UPX...

пожалуйста, помогите... Мне не то, чтобы надо было эту прогу, я научиться хочу....

я когда дамплю, восстанавливаю импорт почему-то пропадает иконка у программы... и программа не так выполняется - я с помощью отладчика все-таки как-то смог ее запустить без пароля, но каждый раз надо было нажимать Shift-F9

инструменты использую - OllyDebuger, PETools, LordPe, ImpRec, PEEditor...

вот ссылка на программу (выложил на свой сайт...:s1: prikolitvc.ucoz.ru/TotalSistem.rar

Мне очень пробовать самому пока не получится, н просто времени нет - учеба, а я уже 6-ой час мучаюсь...
программа вроде бы ничем не примечательная...


вообщем, заранее вас всем огромное спасибо!

| Сообщение посчитали полезным:

Надо бы начать с того, чем она упакована?

| Сообщение посчитали полезным:

Necromancer13 пишет:
у меня мало опыта, распаковывал я еще пока только UPX...

Наверно стоило все же в подфоруме для новичков тему создать..

там стоит АСпак, снимается автоматом...

p.s программа глючная, откуда она шривты берет (и в какой кодировке) - ХЗ.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Это элл. книга, да?

Вот вобщем начало проверки:

004A790C /$ 55 PUSH EBP
004A790D |. 8BEC MOV EBP, ESP
004A790F |. 6A 00 PUSH 0
004A7911 |. 6A 00 PUSH 0
004A7913 |. 6A 00 PUSH 0
004A7915 |. 53 PUSH EBX
004A7916 |. 8BD8 MOV EBX, EAX
004A7918 |. 33C0 XOR EAX, EAX
004A791A |. 55 PUSH EBP
004A791B |. 68 587A4A00 PUSH Total_Si.004A7A58
004A7920 |. 64:FF30 PUSH DWORD PTR FS:[EAX]
004A7923 |. 64:8920 MOV DWORD PTR FS:[EAX], ESP
004A7926 |. 8D55 FC LEA EDX, [LOCAL.1]
004A7929 |. A1 64A94B00 MOV EAX, DWORD PTR DS:[4BA964]
004A792E |. E8 19FFF5FF CALL Total_Si.0040784C
004A7933 |. 8B45 FC MOV EAX, [LOCAL.1]
004A7936 |. 50 PUSH EAX



По Ф8 пройди, там и пароль увидешь... У меня он кажется такой

Stack SS:[0012FA94]=00B269A0, (ASCII "ZOMBY0042")
EAX=0012FA32

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Зачётно!
система тотального подчинения женщин!
лол)))
а книжко созда в проге WebExe

-----
AutoIt

| Сообщение посчитали полезным:

Гавно какое-то... Читать, ИМХО, не стоит...




Эту книгу явно псих писал...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Вау! так быстро ответили

да не надо мне книжки, мне просто интересно было посмотреть, думал удалять.... и тут увидел, что пароль надо писать, а меня всегда привлекает такое, сразу ее в Олю (SoftICE установить просто не смог... и видео по установке на CrackL@B DVD смотрел, и читал статтю по установке, и в журнале "Хакер" читал... и все-равно), так что пользуюсь Олей...

004A790C /$ 55 PUSH EBP
004A790D |. 8BEC MOV EBP, ESP
004A790F |. 6A 00 PUSH 0
004A7911 |. 6A 00 PUSH 0
004A7913 |. 6A 00 PUSH 0
004A7915 |. 53 PUSH EBX
004A7916 |. 8BD8 MOV EBX, EAX
004A7918 |. 33C0 XOR EAX, EAX
004A791A |. 55 PUSH EBP
004A791B |. 68 587A4A00 PUSH Total_Si.004A7A58
004A7920 |. 64:FF30 PUSH DWORD PTR FS:[EAX]
004A7923 |. 64:8920 MOV DWORD PTR FS:[EAX], ESP
004A7926 |. 8D55 FC LEA EDX, [LOCAL.1]
004A7929 |. A1 64A94B00 MOV EAX, DWORD PTR DS:[4BA964]
004A792E |. E8 19FFF5FF CALL Total_Si.0040784C
004A7933 |. 8B45 FC MOV EAX, [LOCAL.1]
004A7936 |. 50 PUSH EAX


я такой код не нашел...

| Сообщение посчитали полезным:

Все, вроде нашел... но я не понимаю, как вы нашли...
неужели трейсили весь код? если вы б не сказали, что это будет "ZOMBY0042", я б никогда и не нашел

| Сообщение посчитали полезным:

Necromancer13 пишет:
неужели трейсили весь код?

Ставишь бряк на мессаджБокс и сразу попадешь куда нужно... Чудчуть вверх только нужно будет поднятся...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Блин! Точно, а я, дурак, на GetWindowTextA зачем-то ставил... и на GetDlgItemTextA, просто думал "должен ведь он взять текст с EditBox'а", хотя и до теперь странно, почему этот бряк не срабатывал...

Спасибо всем огромное!!
Буду почаще бряки на MessageBox'ы ставить!!

Эту книгу явно псих писал...

согласен, ну мне не надо этого тотального управления девушками, мне Оли хватает;) мне нравится этот отладчик, SoftICE не пробовал и даже примерно не знаю, что это

мне просто хотелось взломать эту программу=)

| Сообщение посчитали полезным:

KingSise пишет:
Ставишь бряк на мессаджБокс и сразу попадешь куда нужно
KingSise,забыл добавить,что MessageBox на Visual работает,а на Делфях не катит.На Delphy в 90% работает GetWindowTextA или GetDlgItem

P.s. блин по поводу GetWindowTextA опередили.

| Сообщение посчитали полезным:

я не знаю, но у меня бряк на MessageBox сработал и все нормально=)

| Сообщение посчитали полезным:

Эта книга плагиат с "Русской модели эффективного сооблазнения" гуру отечественного пикапа Филипа Богачева. Афтор "система тотального подчинения" просто надергал от туда текста и идей.
Оригинальное произведение Богачева, рекомендую всем, кто хочет наладить нормальные отношения с противоположенным полом (даже девушкам)

| Сообщение посчитали полезным:

я еще что-то скачал типа этого, мозможно это и есть книга Филипа Богачева, только что открыл (doc-файл) тоже требует пароль：D
только *.DOC-файлы WORD'a врядли возможно взламывать...

| Сообщение посчитали полезным:

Necromancer13 пишет:
я не знаю, но у меня бряк на MessageBox сработал и все нормально
А прога написана на Microsoft Visual C++ или на Borland Delphi(или на чём-то другом)?

| Сообщение посчитали полезным:

после того, как я ее распаковал, она хоть и не работала, но PEiD показал, что на Borland Delphi (по моему, там было написано "Borland Delphi 3")

| Сообщение посчитали полезным:

Necromancer13 пишет:
по моему, там было написано "Borland Delphi 3
Ну если было написано Делфи и поймалось на MessageBox,то прошу прощения за дизинформацию.

| Сообщение посчитали полезным:

А как программу просто распаковать не подскажете?

в смысле, чтоб не надо было при взломе сначала еще искать OEP...

а сразу снять дамп, восстановить импорт....

я делаю так: (все как в статте вроде...)



загружаю файл в ОllyDebugger'е...

там пусто и надпись "Access violation when......"

нажимаю Shift+F9

потом в окне дампа иду к "ESP-4", ставлю бряк "Hardware on access"

нажимаю F9

POPAD
JNZ SHORT .....
MOV EAX,1
RETN 0C
PUSH ......
RETN - F8

и я на OEP ведь?..

открываю PETools, снимаю дамп (в статтях пишет делать еще JMP EIP, но какой толк с этого не понимаю... ведь в памяти тот же код?..)

ОТКРЫВАЮ DUMPED.EXE в PEEditor'e

заменяю EP на то, что было после RET'а в EIP (IMAGE_BASE-EIP), смотрю RWA Import Table

открываю ImpRec... выбираю процесс "TOtal Sistem.exe", ввожу EOP, "AutoSearch", потом "GetImport", забираю галочку с "Add new section" , пишу в "RWA" значение RWA Import Table, что я запомнил...

"FIX DAMP"

"DUMPED_.EXE is saved successfully", но в dumped_.exe нету почему-то иконки после всего этого а когда его открываю, то открывается Open_File_Dialog...

вроде делал все как надо и все-равно...



| Сообщение посчитали полезным:

Если речь идёт о версии 2.12,то ты как то немного геморно её распаковываешь.Вот самый простой вариант:
1)Загружаешь в Olly
2)Ищешь переход на OEP:
POPAD
JNZ SHORT
MOV EAX,1
RETN 0C
PUSH ......
RETN <----------------------сюда бряк (F2)
3)Ставишь бряк на второй RETN,нажимаешь F9
4)Нажимаешь F8(стоя на RETN) и ты на OEP(если вместо кода будешь видеть всякую херню просто нажми Ctrl+A)
5)Дампишь прогу OllyDump(плагин к Olly)
Плюс дампера Olly в том,что он автоматически восстанавливает IAT.Т.е. после того как сдампил прогу стоя на OEP импрек тебе вообще не нужен.
Минус его в том,что с "крутой"защитой типа ASProtect это не прокатит.

| Сообщение посчитали полезным:

Конкретно по твоим вопросам:
Necromancer13 пишет:
А как программу просто распаковать не подскажете?
в смысле, чтоб не надо было при взломе сначала еще искать OEP
Чёто я смысла вопроса не понялOEP нужно искать всегда,иначе ты не правильно сдампишь прогу,и она не будет запускаться.

Necromancer13 пишет:
POPAD
JNZ SHORT .....
MOV EAX,1
RETN 0C
PUSH ......
RETN - F8
и я на OEP ведь?
Это переход на OEP.Перед распаковкой программы пакер делает:
POPAD <-----------Восстанавливает регистры
JNZ SHORT <--------------выполняет прыжок
MOV EAX,1 <----------------хер знает зачем это вообще нужно
RETN 0C <------------------------то же мусор
PUSH <------------------------Занос в стек OEP
RETN <------------------------Возврат на OEP
После последней команды RETN(стоя на ней надо нажать F8) и будет ОЕП.Для разных компиляторов он разный.Например для Microsoft Visual:
004012C0 >/$ 55 PUSH EBP
004012C1 |. 8BEC MOV EBP,ESP
004012C3 |. 6A FF PUSH -1
004012C5 |. 68 F8404000 PUSH crackme.004040F8
004012CA |. 68 F41D4000 PUSH crackme.00401DF4
004012CF |. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]

Necromancer13 пишет:
открываю ImpRec... выбираю процесс "TOtal Sistem.exe", ввожу EOP, "AutoSearch", потом "GetImport", забираю галочку с "Add new section" , пишу в "RWA" значение RWA Import Table, что я запомнил..

Если ты под словом "забираю галочку" подразумеваешь слово "снимаю галочку",то этого в импреке делать не стоит.И вообще при снятии Аспака импрек используется с настройками по умолчанию,т.е.запустил его(импрек),выбрал свой запущенный файл,вбил ОЕП и нажал кнопку FIX,предварительно указав свой дамп.Всё должно работать.

А вообще Aspack это элементарный пакер,как и UPX снимается за 2 минуты.Ты лучше попробуй распаковать Asprotect или ExeCryptorЯ думаю ты останешься доволен,потому что там даже 6 часов тебе не хватит

| Сообщение посчитали полезным:

Necromancer13
автор не парься. вот --> тут <-- http://forum.ru-board.com/topic.cgi?forum=55&bm=1&topic=4450&start=480#9 есть хорошая вещь которая снимает пасы с электронных книг не менее шести компиляторов.

// add: лоадер ничего не нашел.. добавлю поддержку webexe автору пасиб за ссылку на книгу

| Сообщение посчитали полезным:

пароль на открытие для всех один: ZOMBY0042
webexe не умеет делать привязку к компу

| Сообщение посчитали полезным:

Спасибо всем огромное)

об ASProtect'е не надо было писать, а то мне страшно аж стает...

да мне не надо этой программы, я просто взломать хотел, а читать это лень... да и не нужно мне этого, я вот туториалы ICZELION'а читаю, журнал "Хакер" (выпуск полностью еа тему крякинга), статьи о формате PE-файлов, туториалы по написанию вирусов от Билли Бельцебу.... да еще и учеба...

так что на это у меня не будет уже времени

| Сообщение посчитали полезным: