| Сейчас на форуме: vsv1 (+3 невидимых) |
 |
eXeL@B —› Вопросы новичков —› ASProtect 1.2x - 1.3x [Registered] => Debugger detected |
| Посл.ответ | Сообщение |
|
|
Создано: 20 февраля 2008 20:39 · Личное сообщение · #1 ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov Никак не получается распаковать, пробовал ASPRDumper, stripper 2.11, Олли + скрипты и т.д. распаковка с помощю ImportREС... но не чего не выходит… Стараюсь делать все как статьях по распаковке, но там нигде не упоминается про ошибку: Debugger detected - please close it down and restart! Windows NT users: Please note that having the WinIce/SoftIce service installed means that you are running a debugger! Подскажите пожалуйста, заранее спасибо... Download: www.safelyremove.com/usbsafelyremovesetup.exe Size: 2,57 МБ  |
|
|
Создано: 20 февраля 2008 20:46 · Поправил: tempread · Личное сообщение · #2 Zin4uk Для того,что бы распаковывать,нужно скрыть отладчик от обнаружения протектором. Используйте плагин Phantom для Олли, что бы ее спрятать. Сам плагин выкладывается на этом форуме. В разделе rar-статьи есть очень хорошие туторы от vnekrilov'а по снятию Asprotect'а. |
|
|
Создано: 21 февраля 2008 09:52 · Личное сообщение · #3 Zin4uk, а лучше в начале не юзоть плагены, а юзоть моск  Ну нажми на паузу, поищи в памяти строку, помотай выше, глянь чеза проверка.. Хоть знать буишь, какую галочку выставлять в плагине, а то запустил плаг, выставил на максемум и доволен %)
----- invoke OpenFire |
|
|
Создано: 21 февраля 2008 10:41 · Поправил: UR-Shark · Личное сообщение · #4 Самому писать лень, так что вот в этом туторе (спасибо хорошим людям), который в аттаче, есть твоя антиотладка IsDebuggerPresent, всё объясняется на пальцах, ну а остальное для общего развития.
А вот --> тут <-- есть распаковка просто AsProtect 1.2 Удачи!  d202_20.02.2008_CRACKLAB.rU.tgz - Armadillo.4.xx.Minimum.Protection.zip
|
|
|
Создано: 21 февраля 2008 20:30 · Личное сообщение · #5 Спасибо всем, пробовал все указанное, но почему-то именно на данном примере ничего не выходит, снял дамп с помощью PETools. определил OEP в олли - 00544F14. Далее пробовал восстановить импорт, гружу ImportREC, вписываю OEP (00544F14 – 00400000) = 00144F14, находит RVA: 0014F348, Size: 0000001C. жму «Get Imports», находит: oleaut32.dll FThunk:0014F34C NbFunc:3 (decimal:3) valid:YES kernel32.dll FThunk:0014F35C NbFunc:2 (decimal:2) valid:YES прикручиваю импорт к дампу и пробую запустить но выскакивает ошибка: An unhandled win32 exception occurred in Dumped_petools_.exe [1548]. Подскажите что делаю не так и где ошибаюсь… |
|
|
Создано: 21 февраля 2008 20:48 · Личное сообщение · #6 Zin4uk Саму прогу не смотрел, но судя по импорту, слишком мало функций там, чо-то с ним не то. Возможно, ОЕП неправильное и из-за этого поплыл импорт, возможно, импрек с границами импорта накосячил. |
|
|
Создано: 22 февраля 2008 09:41 · Личное сообщение · #7 Вера говорит что это ASProtect 2.3 SKE build 06.26 Beta [Extract] |
|
|
Создано: 22 февраля 2008 21:30 · Личное сообщение · #8 UR-Shark пишет: Вера говорит что это ASProtect 2.3 SKE build 06.26 Beta [Extract] +1 Это же показала и ASPrINF 100% detector v1.6 beta. Zin4uk пишет: Никак не получается распаковать Я без всяких проблем распаковал при помощи скрипта от VolX. В архиве распакованый файл + таблица импорта для ImpREC. Вроде нормально распакованная прога работает, проверь. filesurf.ru/29145 Пароль: FrenFolio_CRACKL@B Zin4uk А кстати, удобная прога, на твой взгляд? ----- Программист SkyNet |
|
|
Создано: 23 февраля 2008 00:08 · Личное сообщение · #9 Объясните пожалуйста в чем проблема, посмотрел импорт FrenFolio: OEP: 00144F14 IATRVA: 0014F268 IATSize: 0000093C А у меня при поиске по тому же OEP: OEP: 00144F14 IATRVA: 0014F364 IATSize: 0000001C А Revirgin вообще ничего не находит... На счет программы, то ее полезность под большим вопросом
|
|
|
Создано: 23 февраля 2008 09:31 · Личное сообщение · #10 Zin4uk Ты сам уже видишь разницу в размерах между нормальной восстановленной IAT и тем что получилось у тебя. Если импрект не может распознать вызовы апишек(точнее распознаёт мало), значит многие вызовы не восстановлены,- это может быть по разным причинам. Посмотри в Оле в окне дампа проги после восстановления переходов по адресам выше указанного тобой 0014F364 + 00400000=0054F363 есть там нормальные вызовы апишек или там вызовы в бывшие секции аспра или вообще мусор. И кстати смотри не только на глубину размера 1C а и к ещё большим адресам. Тоже самое сделай с дампом FrenFolio по адресу его начала и на его глубину. Наконец посмотри что по его адресам в твоём дампе. И тебе всё станет ясно что где и почему не восстановилось.
|
|
eXeL@B —› Вопросы новичков —› ASProtect 1.2x - 1.3x [Registered] => Debugger detected |
Для печати