dump.ru/files/o/o960600308/ -> AnyplaceControlInstall.exe V3.0 1,68Мб
Типа Радмина, особо нравится FileTransfer.
(Высокая скорость загрузки + ДрагнДроп Файлоа + Докачка)

PEiD -> "ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov"
PE Shiffer -> ASProtect v1.2x (New Strain)
stripper_v211rc2 -> Снял пакер но приложение не рабочее.

OllyDbg + Плагин IsDebugPresent,
Снимаю галки Exceptions,
Жму F9 потом Shift + F9 26раз Дохожу до последнего исключения,
ставлю бряк на RETN, F9, Отрываю карту памяти ставлю бряк на секцию code, Жму Ctrl + F11, чуть жду.
Открыва Стек Вызовов Alt + K, на нижний Called from кликаю два раза.
Подкимаю листинг немного вверх вижу.
0050A251 97 XCHG EAX,EDI
0050A252 50 PUSH EAX
0050A253 00A497 500>ADD BYTE PTR DS:[EDI+EDX*4+50],AH
0050A25A 0000 ADD BYTE PTR DS:[EAX],AL
0050A25C 209D 50000>AND BYTE PTR SS:[EBP+50],BL
0050A262 0000 ADD BYTE PTR DS:[EAX],AL <= OEP
0050A264 0000 ADD BYTE PTR DS:[EAX],AL
0050A266 0000 ADD BYTE PTR DS:[EAX],AL
0050A268 0000 ADD BYTE PTR DS:[EAX],AL
0050A26A 0000 ADD BYTE PTR DS:[EAX],AL
0050A26C 0000 ADD BYTE PTR DS:[EAX],AL
0050A26E 0000 ADD BYTE PTR DS:[EAX],AL
0050A270 0000 ADD BYTE PTR DS:[EAX],AL
0050A272 0000 ADD BYTE PTR DS:[EAX],AL
0050A274 0000 ADD BYTE PTR DS:[EAX],AL
0050A276 00E8 ADD AL,CH
0050A278 A8 CE TEST AL,0CE
0050A27A EF OUT DX,EAX ; I/O command
0050A27B FF33 PUSH DWORD PTR DS:[EBX]
21 Stolen Byte
Смотрю EAX = 00509D48.
Открываю журнал трассировки ... , нахожу строки
REP STOS BYTE PTR ES:[EDI] кликаю два раза по любой из них, вижу.
00ABDC3F F3:AA REP STOS BYTE PTR ES:[EDI]
00ABDC41 9D POPFD
00ABDC42 5F POP EDI
00ABDC43 59 POP ECX
00ABDC44 C3 RETN
00ABDC45 55 PUSH EBP <= Start Stolen
00ABDC46 8BEC MOV EBP,ESP
00ABDC48 53 PUSH EBX
00ABDC49 56 PUSH ESI
00ABDC4A 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
00ABDC4D 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8]
00ABDC50 EB 11 JMP SHORT 00ABDC63
00ABDC52 0FB703 MOVZX EAX,WORD PTR DS:[EBX]
00ABDC55 03C6 ADD EAX,ESI
00ABDC57 83C3 02 ADD EBX,2
00ABDC5A 8BD0 MOV EDX,EAX
00ABDC5C 8BC6 MOV EAX,ESI <= End Stolen
00ABDC5E E8 0C00000>CALL 00ABDC6F
00ABDC63 66:833B 00 CMP WORD PTR DS:[EBX],0
00ABDC67 ^ 75 E9 JNZ SHORT 00ABDC52
00ABDC69 5E POP ESI
00ABDC6A 5B POP EBX
00ABDC6B 5D POP EBP
00ABDC6C C2 0800 RETN 8
00ABDC6F 0102 ADD DWORD PTR DS:[EDX],EAX
00ABDC71 C3 RETN
25 Byte
+ 5 Byte MOV EAX,00509D48

Запускаю PETools -> FullDump,
ImpRec OEP = 0050A262 - 400000, Жму IAT AutoSearch, Get Import, Show Invalid, Trace Level1,
Show Invalid, Plugin aspr 1.23 rc4, Fix Dump.

Вопрос.
Правельно ли я всё зделал? и как запихать найденых 25+5байт если украдено 21байт?

Извращался с байтами по разному но результата так и нет.
Нужна помощь.

| Сообщение посчитали полезным:

Вопщето здесь для новичков!
Нехотите помогать ну и не надо!
Хорошо хоть Stripper 2.07f рулит для этого пакера

| Сообщение посчитали полезным:

Boss
Ты где-то ошибся. Спёрто 28 байт, пока не нашёл их

Добавлено: блин, туплю... 23 байта спёрто

-----
Research For Food

| Сообщение посчитали полезным:

Boss жесть, иди на IRC канал, если хочешь онлайн свою проблему обсуждать. Не путай форум и чат.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

http://exelab.ru/art/?action=view&id=222

| Сообщение посчитали полезным:

PE_Kill пишет:
Boss жесть, иди на IRC канал
Спасибо за подсказку
UR-Shark пишет:
http://exelab.ru/art/?action=view&id=222
Неа у меня нет SoftICE, Мне как то кажется что это очень тяжёлый отладчик, походу для него надо отдельную виндовс иметь.
Я тут нарыл в инете как до спёртых байт добратся, но тема старая там нет картинок, а автор на картинки операется.
ОН пишет
С EP Дойти по F7 до PUSHAD, выполнит инструкции PUSHAD, по регистру ESP кликнуть Follow In Dump и поставь бряк на 4байта, и как обычно до OEP. Попадаем туда куда надо там мутирующий код очень забавно. Но опыта у меня нет в таких телах потомучно откуда мне знать что
MOV DWORD PTR SS:[ESP+4],EBP ; Спертая команда PUSH Ebp
SUB ESP,0C ; Спертая команда ADD ESP,-0C ну это есчё понятно, а кике есчё бывают?
Вот здесь в аттаче тутр правда на английском воще просто после трейса до секции code, в трейсе найти EBP=ESP вот там и байтики, но я счё проще зделал в трейси двойной клик по REP STOS BYTE PTR ES:[EDI]
я уже их писал, теже самые байты и в мутирующем коде я тоже их видил, но походу тут что-то не то, зачем там цикл? куда CALL привизать? и воще нужен ли этот цикл?
а первй байт не RETN должен? (В отладчики видил что сверху EP стоит RETN).

11ad_27.03.2008_CRACKLAB.rU.tgz - ASPR+Olly.rar

| Сообщение посчитали полезным:

daFix пишет:
23 байта спёрто
Для наглядности добавил NOP'ы
0050A25C 209D 50909090 AND BYTE PTR SS:[EBP+90909050],BL
0050A262 0000 ADD BYTE PTR DS:[EAX],AL
0050A264 0000 ADD BYTE PTR DS:[EAX],AL
0050A266 0000 ADD BYTE PTR DS:[EAX],AL
0050A268 0000 ADD BYTE PTR DS:[EAX],AL
0050A26A 0000 ADD BYTE PTR DS:[EAX],AL
0050A26C 0000 ADD BYTE PTR DS:[EAX],AL
0050A26E 0000 ADD BYTE PTR DS:[EAX],AL
0050A270 0000 ADD BYTE PTR DS:[EAX],AL
0050A272 0000 ADD BYTE PTR DS:[EAX],AL
0050A274 0000 ADD BYTE PTR DS:[EAX],AL
0050A276 90 NOP
0050A277 E8 A8CEEFFF CALL Dumped_.00407124
0050A27C ? 33C0 XOR EAX,EAX
Не выходит 23 даже ModuleEntryP'а не видать
всёже 21Byt спёрт вроде.
но всёравно спасибо са наводку

| Сообщение посчитали полезным:

Boss
Саму прогу не смотрел, но что тебе мешает ставить все байты (23 как я понял всего сперто) начиная с адреса 50A25C. Там же как раз 23 байта до CALL

| Сообщение посчитали полезным:

VaZeR пишет:
что тебе мешает ставить все байты
0050A25C _.<EP> 55 PUSH EBP
0050A25D 8BEC MOV EBP,ESP
0050A25F 53 PUSH EBX
0050A260 56 PUSH ESI
0050A261 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
0050A264 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8]
0050A267 EB 11 JMP SHORT _.0050A27A
0050A269 0FB703 MOVZX EAX,WORD PTR DS:[EBX]
0050A26C 03C6 ADD EAX,ESI
0050A26E 83C3 02 ADD EBX,2
0050A271 8BD0 MOV EDX,EAX
0050A273 0000 ADD BYTE PTR DS:[EAX],AL
0050A275 0000 ADD BYTE PTR DS:[EAX],AL
0050A277 E8 A8CEEFFF CALL Dumped_.00407124
0050A27C 33C0 XOR EAX,EAX
0050A27E 55 PUSH EBP
поставил 23B c adr 50A25C Какой смыс JMP'е прыгает в середину CALL'а, прибавил 4 к JMP прыгает на PUSH
прога до первого CALL'a доходит и валится
VaZeR пишет:
Там же как раз 23 байта до CALL
мож я неправельно считаю 25?

| Сообщение посчитали полезным:

Boss
Проверь ещё раз спертый код, посмотри откуда именно идет переход на Call в секции проги. Может ты спутал спертый код.

| Сообщение посчитали полезным:

VaZeR ты про этот 0050A277 CALL Dumped_.00407124?
Я наверно упустил очень важную детал. Дело втом что я поподаю не на этот CALL
а на ниже инструкцию 0050A27C XOR EAX,EAX.
А откуда это калл взялся понять немогу, ставил бряки (в ориг. прог.) на него и на адрес этот хардваребряк не сробатывает.
Попробую всётаки разобратся, какойто он скрытый но откудато он же берётся

| Сообщение посчитали полезным:

Вот поковырялся, результат ноль
После 17 исключеня дошёл до
7C90EB03 E8 11EBFFFF CALL ntdll.ZwContinue
7C90EB8D 0F34 SYSENTER <= После выполнения этой команды, сразу вываливаются все инструкции.
если поставить бряк на 0050A277 CALL то Protection Error : 15
Я так понял что этот калл вопщем не используется.
Мож у daFix получится? подожду.

| Сообщение посчитали полезным:

Boss пишет:
Неа у меня нет SoftICE, Мне как то кажется что это очень тяжёлый отладчик, походу для него надо отдельную виндовс иметь.
Дак отладчик он и в африке отладчик... регистры, память, стек...
Я олю юзаю, так что маны для сайса не годятся чтоли?

| Сообщение посчитали полезным:

UR-Shark пишет:
Я олю юзаю
Ну тогда попробуй это приложение кильнуть.
Я только рад буду на спёртые байтики глянуть

| Сообщение посчитали полезным:

Ну ну, что мне за тебя мусоре копаться...

Вот тебе тогда ещё один тутор, в этом всё хорошо расписано и ещё всё для оли
--> Йа тутор <--

00ABE3E5 55 PUSH EBP
00ABE3ED 8BEC MOV EBP,ESP
00ABE3EF 81EC 18000000 SUB ESP,18 (Можно и в 3х байтах записать)
и пошло поехало...

Настоящее ОЕР ты правильно нашел: 0010A260, ровно 23 байта до кола.

Вот тебе накрайняк, на случай если придется тяжко: скрыпты + импорт...

| Сообщение посчитали полезным:

Блин не аттачится...

Кстати иногда дампить нужно раньше фальшивого ОЕР, ну ты почитай...

f656_31.03.2008_CRACKLAB.rU.tgz - to_Boss.rar

| Сообщение посчитали полезным:

Boss пишет:
0050A261 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
0050A264 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8]

Сталобыть это не OEP, т.к. я че та не видел чтобы на OEP что то из стека брали, ничего туда не положив

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
0050A25C _.<EP> 55 PUSH EBP
0050A25D 8BEC MOV EBP,ESP
0050A25F 53 PUSH EBX
0050A260 56 PUSH ESI

3 dword'а в стеке, почему нельзя [EBP+C] взять, в пределах фрейма вроде..

-----
invoke OpenFire

| Сообщение посчитали полезным:

UR-Shark пишет:
Вот тебе тогда ещё один тутор
ага спасибо, девушка кракер написала.
Там на восьмой страничке табличка с кодом, ну да есть такой код в проге, полностью совподает до байтика. (а, что с табличей делать? зачем она нужна?).
а, дальше както всё мутно.
скрипт asprsto.txt прогу запускает, два других работают.
вот нарыл даже не знаю то-ли?
00ABE48D 55 PUSH EBP
00ABE48E 8BEC MOV EBP,ESP
00ABE490 53 PUSH EBX
00ABE491 56 PUSH ESI
00EDDBE3 894C24 04 MOV DWORD PTR SS:[ESP+4],ECX ; 0apc_Adm.00509D48
00EDDC1D 8D6424 4D LEA ESP,DWORD PTR SS:[ESP+4D]
00EDDC21 83EC 21 SUB ESP,21
00EDDC35 8D6424 DB LEA ESP,DWORD PTR SS:[ESP-25]
00EDDC39 83C4 21 ADD ESP,21
00EDDD1E 894424 04 MOV DWORD PTR SS:[ESP+4],EAX
00EDDD4C 894C24 04 MOV DWORD PTR SS:[ESP+4],ECX
00EDDD54 83EC FC SUB ESP,-4
00EDDD86 8D6434 F1 LEA ESP,DWORD PTR SS:[ESP+ESI-F]
00EDDD8A 2BE6 SUB ESP,ESI ; ntdll.7C910738
00EDDD8C 83C4 4E ADD ESP,4E
00EDDD8F 83EC 43 SUB ESP,43
00EDDDDC 50 PUSH EAX
00EDDDDD FF7424 14 PUSH DWORD PTR SS:[ESP+14]
00EDDDE1 895424 04 MOV DWORD PTR SS:[ESP+4],EDX
00EDDEB0 83EC 0B SUB ESP,0B
00EDDEB3 83C4 7A ADD ESP,7A
00EDDEB6 8D6424 8D LEA ESP,DWORD PTR SS:[ESP-73]
00EDDED7 16 PUSH SS
00EDDED8 6A BC PUSH -44
00EDDEDA 896C24 04 MOV DWORD PTR SS:[ESP+4],EBP

| Сообщение посчитали полезным:

Boss
Взял бы сам сначала разобрался, статей валом...

P.S. ИМХО твое OEP будет:

0050A260 > 55 PUSH EBP
0050A261 8BEC MOV EBP,ESP
0050A263 83C4 E8 ADD ESP,-18
0050A266 53 PUSH EBX
0050A267 33C0 XOR EAX,EAX
0050A269 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX
0050A26C 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
0050A26F 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0050A272 B8 489D5000 MOV EAX,unpacked.00509D48
0050A277 E8 A8CEEFFF CALL unpacked.00407124
0050A27C 33C0 XOR EAX,EAX
0050A27E 55 PUSH EBP
0050A27F 68 33A35000 PUSH unpacked.0050A333

| Сообщение посчитали полезным:

Ice-T пишет:
3 dword'а в стеке, почему нельзя [EBP+C] взять, в пределах фрейма вроде..
И что мы оттуда берем? Неинициализированные значения? Зачем?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Boss есть отломанная 4-я версия, так же есть отломанная 3-шка более поздних версий что ковыряешь ты, возьми и посмотри как там все сделано.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
возьми и посмотри как там все сделано
imho не правильный подход, т.к. не всегда есть отломанная версия, когда что-то ковыряешь

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Что то я туплю , такое впечатление что аспр накасячил в первом call'e, он сразу прагает:

0050A277 . E8 A8CEEFFF CALL apc_Admi.00407124
0050A27C . 33C0 XOR EAX,EAX <==Сюда

,минуя первый call.
А в распакованном в этом call'е идет обращение к несуществующей странице памяти...
Вот мой распакованный: --> dump <-- http://rapidshare.com/files/104994539/dump.rar.html

| Сообщение посчитали полезным:

UR-Shark
Он не накосячил. Просто переход из Аспра идет сразу на адрес 407124. А не на Call.

| Сообщение посчитали полезным:

Ты прав, только это положение не меняет, не могу понять куда делась страница по аддесу 00160000
Походу я что-то лишнее снес...

add: Хотя нет, это походу аспровская страничка то

| Сообщение посчитали полезным: