Вобщем такая проблема, было у меня 4 проги запакованых в AsPack 2.12, как объяснил мне oдин из анализаторов.
2 распаковались отлично, а 2 другиx после распаковки нервничают.
1.ехе) В ходе распаковки все было норм, но после распаковки выдает несколько месаг затем исключение. Хотя перед этим тот же аспак 2.12 распаковался отлично.
2.ехе) А тут когда нашел ОЕР он оказался больше, чем ImageBase O_o .
Тут мне на ум пришло тока 2 варианта этой нелепости.
1)v Аспаке есть, какиенить опцыи, которые это творят, отключив их все норм, в ключив их...
2) Где-то я слышал, что Аспротект прячется, под Аспаком, т.е. это может быть совсем и не АсПак.
1.ехе это cheemax.
2.exe это artmoney.
Aнпакеры общей специализации с ними справляются, также , как и я. А вот специализирующиеся на Аспаке убивают его на раз,два...
Вобщем поясните кто-нить, что здесь происходит ;)

| Сообщение посчитали полезным:

Если распаковщиками распаковывал, то такое может быть.
Пробуй скрипт.
До OEP доходишь, дампиш в ОЛЛИ и все должно работать нормально.
5b4c_05.04.2008_CRACKLAB.rU.tgz - aspack.212.oep.txt

| Сообщение посчитали полезным:

Oott
В первом, случае может быть не правильный импорт у файла.
Во втором, случае оно так и есть, что OEP больше ImageBase, если ты его конечно не вычел уже его, но даже так это не играет ни какой роли.

| Сообщение посчитали полезным:

1) Всмысле? Что с импортом? Я об этом думал, поэтому и востанавливал 3мя скриптами по востаовлению импорта, старой версией ImportRec, затем им же, но новой версией 1.7b и Revirgin'oм. Результат одинаковый.
2) И? Т.е. это норм, такое может быть? Ок. Но распаковав прога валиться на исключении. Тоже, что-то с импортом? Но разви AsPack 2.12 может что-то с импортом делать?

| Сообщение посчитали полезным:

Oott
Может быть что Импрек не правильно определяет начало и размер секции с импортом, отсюда и ошибки. К примеру в программе cheemax именно такой случай. Там нужно начало и размер вводить вручную, а так автоматически определяется только импорт из библиотеки kernel32. После правки все отлично работает.

| Сообщение посчитали полезным:

Есть тогда, что почитать об этом? Или если там ни чего сложно, напиши что нужно делать на примере. В большинстве статьях об этом умалчивается, поэтому, что иногда importREC'y нужно помогать, я вот только от тебя услышал.

| Сообщение посчитали полезным:

Oott пишет:
Что с импортом? Я об этом думал, поэтому и востанавливал 3мя скриптами по востаовлению импорта, старой версией ImportRec, затем им же, но новой версией 1.7b и Revirgin'oм. Результат одинаковый.
ты еще UIF попробуй ;)) Аспак юзает оригинальную табличку импрек там на фиг не нужен. Дампишь до заполнения выствляешь значения IAT и оеп и все..

| Сообщение посчитали полезным:

pavka, а можно бъяснить(действия) то, чего я ни разу не делал, так чтоб я это сделал?

| Сообщение посчитали полезным:

примерно так
var oep
var iat_st
var bprot
var counter
var ImageBase

GMEMI eip, MEMORYBASE
mov bprot,$RESULT

gmi eip,MODULEBASE
mov ImageBase,$RESULT

gpa "GetModuleHandleA","kernel32.dll"
bp $RESULT
erun
erun
bc eip
rtu
mov iat_st,esi
sub iat_st,ImageBase
mov oep,iat_st
buf oep
find bprot,oep
cmp $RESULT,0
je quit
mov oep,$RESULT-4
mov oep,[oep]
add oep,ImageBase
mov eip,oep

sub oep,ImageBase
mov counter,ImageBase
add counter,3C
mov counter,[counter]
add counter,ImageBase
add counter,28
mov [counter],oep
add counter,58
mov [counter],iat_st
dpe "dump.exe", eip

msg ""The file is completely unpacked!"
ret
quit:
ret

| Сообщение посчитали полезным:

Для аспака есть статик анпакер, поюзай его. OEP и должен быть больше imagebase, если он в VA. Да и в RVA тоже теоретически может быть больше. Можешь попробовать QuickUnpack ещё.

| Сообщение посчитали полезным:

Да автоанпакеры распаковывают, не все но распаковывают. Другое дело после ручной распаковки, код выходит на исключение, даже если смериться, что ОЕР больше imagebase.
pavka, мне очень жаль что ты забыл русский язык и теперь можешь изясняться только на ассемблере. Примного соболезную...

| Сообщение посчитали полезным:

Oott
Он тебе написал не на асме, а скрипт под Олли. Небольшой скрипт куда легче понять чем несколько листов писанины. Именно столько там и будет если писать словами.

| Сообщение посчитали полезным:

VaZeR пишет:
Именно столько там и будет если писать словами.
+1 если не больше! у 2.12 чуть иначе выход на оеп, для обеих версий типа так
var oep
var iat_st
var bprot
var counter
var chvers

mov chvers,[eip+1]
and chvers,FF
cmp chvers,0E8
je v2.12
mov chvers,0
jmp n
v2.12:
mov chvers,1
n:
GMEMI eip, MEMORYBASE
mov bprot,$RESULT

gmi eip,MODULEBASE
mov ImageBase,$RESULT

gpa "GetModuleHandleA","kernel32.dll"
bp $RESULT
erun
erun
bc eip
rtu
mov iat_st,esi
sub iat_st,ImageBase
mov oep,iat_st
cmp chvers,1
je n2
buf oep
find bprot,oep
cmp $RESULT,0
je quit
mov oep,$RESULT-4
mov oep,[oep]
add oep,ImageBase
mov eip,oep
jmp loep
n2:
Find eip,#E9????????B8??????0050#
cmp $RESULT,0
je quit
mov oep,[$RESULT+6]
add oep,ImageBase
mov eip,oep
loep:
sub oep,ImageBase
mov counter,ImageBase
add counter,3C
mov counter,[counter]
add counter,ImageBase
add counter,28
mov [counter],oep
add counter,58
mov [counter],iat_st
dpe "dump.exe", eip

msg ""The file is completely unpacked!"
ret

| Сообщение посчитали полезным:

Ладно, извиняюсь... Но чета не совсем догоняю, что с этим кодом делать? О_о Точнее, что это вообще такое и как оно мне поможет?

| Сообщение посчитали полезным:

Скрипт это для ольки, плагин есть для выполнения скриптов, грузи файл в ольку и плагином выполняй скрипт, хыть бы немножко полазал по форуму, почитал.

| Сообщение посчитали полезным: