Прохожу практику распаковки. На данный момент, версия Aspra 1.35. Сижу со статьями

PE_Kill(а) и Vnekrilov(а), вроде все пока нормально идет. Параллельно решил вести

распаковку сторонней программы и ..... DiE и PEiD при более тщательном анализе

сообщают о версии 2.1 SKE.
Если не затруднит, дайте общие рекомендации по распаковке этой версии Aspra исходя

из личного опыта. На что стоит обратить пристальное внимание?
Исключений нет, пробиться через NOP не могу. Иду тихо, мирно по F7, но не могу

определить где он (Aspr) эту гадость подсовывает.

Сам файл "весит" 19.2 mb. Здесь http://filesurf.ru/54933 http://filesurf.ru/54933 положил .exe и 2 dll (894 kb)
С уважением!

| Сообщение посчитали полезным:

Tiratron я иду сюда ~ttp://filesurf.ru/54933 но там для скачивания требуют ввести пароль?

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Странно, никаких паролей не устанавливал.
Вот положил на на Рапиду rapidshare.com/files/137637892/JigsawWorld.rar.html

| Сообщение посчитали полезным:

Помогк тебе найти OEP с начало скачай плагин для сокрытия Оли
(http://www.openrce.org/downloads/download_file/238) и установи все галочки в нём.В
опциях Оли на вкладке Exceptions убери все галочки,загружаешь прогу жмёшь F9 и
отладчик останавливается и внизу пишеться INT3 command at... жмёшь F9 а потом
shift+F8, переходим на Show memory Window Alt+M и на секцию Code ставим
breakpoints F2 и жмём F9 и останавливаемся на OEP.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Ну по 2 версии аспра у некрылова тоже статьи есть, можно их глянуть. И какие общие рекомендации хотел то? Антиотладки там почти нет, того же фантома хватит выше крыши. До оеп дойти? Можно ставя бряки на близко от оеп вызывающиеся функции.

| Сообщение посчитали полезным:

ClockMan
Спасибо! Буду разбираться.
Archer
Меня смущает то, что программа написана на Microsoft Visual C++ (как сообщает DiE), а ее начало я найти не могу. Если там есть краденые байты, то это просто вредительство какое-то.
Просматривая сообщения, пришел к выводу, что это весьма зловредная версия Аспра для новичков.

| Сообщение посчитали полезным:

Краденых байт там нет, если Оля неопределила начало,выдели этот участок и в контекстовом меню нажми
Analisis=>During next...=>Commands. и должно получиться
CALL JigsawWo.004028C6
JMP JigsawWo.00401091

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
На это участок кода вышел без хлопот. Снял дамп, запустил импрек, восстановил одну нераспознанную функцию. И .....упал. Вообщем хлопоты только начинаются. Еще раз спасибо за помощь.

| Сообщение посчитали полезным:

Hе надоело ещё? Есле тебе надоело то скачай мой файл от сюда slil.ru/26063807
P.S. пытайся сам во всём разобраться , читай статьи по интернету их валом если чувствуешь что это не твоё плю ты на всё! Главное помни одно Если человеческий мозг перезагрузить информацией то он может зависнуть

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Нет не ненадоело! На полпути останавливаться нельзя. От недостатка опыта я и сейчас в недоумении, какая же это все таки версия Аспра. Скрипт для прохождения к VOEP из статьи Vnekrilov(а) по распаковке версии 1.35, приводит на этот же участок кода. И еще один вопрос, что это за функция ntdll.RtlDeleteCriticalSection? Она встречается при прохождении к VOEP (из статьи Vnekrilov(а)) . Посмотрел в MSDN, ее что-то там нет.

| Сообщение посчитали полезным:

Tiratron
Не надо тупить. У тебя не проблема с распаковкой аспра, а проблема с играми ALAWAR - поищи по форуму, уже немеряно тем по этому вопросу есть ... Не надо тупо создавать ещё одну ...
Если очень уж охота распаковать - используй скрипт от VolX, нормально всё распакует.

Добавлено
Раз уж хотел узнать какая версия аспра - AsProtect 1.35 build 06.26

| Сообщение посчитали полезным:

tihiy_grom
Эта ветка форума для новичков. И с вашей стороны проявлять раздражение просто неуважительно. А игрушки меня мало интеруют. Скрипты использовать, на данной стадии обучения нецелесообразно, все это надо пройти вручную, да и авторы многих статей рекомендуют проделать этот путь. С уважением.

| Сообщение посчитали полезным:

Находишь OEP, дампишь, восстанавлваешь импорт. Если посмотреть на вызовы в дампе то можно увидеть что там много вызовов VM вида D*0000 тебе нужно восстановить их. Можешь вручную протрассировать ее всю ради интереса. В итоге выйдешь на адрес поставив бряк на который можно увидеть сразу откуда вызвалась VM и какая API должна вызваться у меня этот адрес 0x00C612D3. В стеке будет вот так когда ты будешь стоять на этом адресе
$+C4 >|004028FB JigsawWo.004028FB
$+C8 >|00C7051C
$+CC >|0012FF6C
$+D0 >|7C8017E5 kernel32.GetSystemTimeAsFileTime

Соответственно по адресу 004028FB вызывается GetSystemTimeAsFileTime
Тебе их все надо восстановить. А так же у многих после call D*0000 имеются испорченные байты, их тоже надо восстановить.

Если с ВМ париться не охото если не ошибаюсь можно прикрутить ее к дампу

| Сообщение посчитали полезным:

Veliant
Этим путем и иду. Т. е. снял дамп и все вызовы восстанавливаю вручную, благо их немного (37 шт.) Буду надеяться, что все получится. Спасибо что откликнулись.

| Сообщение посчитали полезным:

Tiratron
А чем тебе скрипт не нравится? Смотри что он делает и пытайся всё это воспроизвести руками

| Сообщение посчитали полезным:

ntdll.RtlDeleteCriticalSection вызывается через kernel32.DeleteCriticalSection, поэтому ты и не нашел ее описание.

Библиотека ntdll.dll есть только на NT-шных системах, если хочешь чтобы дамп работал и на других ОС, то заменяй RtlDeleteCriticalSection на DeleteCriticalSection из kernel32.dll.

| Сообщение посчитали полезным:

kioresk
Спасибо. Приму к сведению.
tihiy_grom
Скрипты мне нравятся, но ведь все равно, надо сначала все руками проделать, для того чтобы работу скрипта понять.
Veliant в своем сообщении "обрадовал" "А так же у многих после call D*0000 имеются испорченные байты, их тоже надо восстановить." Скачал дамп ClockMan(а), сравнил, точно не хватает, и не только байтов, но и мозгов в голове Остается только одно, садиться за распечатки, идти в поиск по форуму и во всем внимательно разбираться.

| Сообщение посчитали полезным:

Не могу нигде найти информацию по распаковке APatch GUI 1.x Jorgen Ibsen, только сайт нашел Ibsen, существуют для него распаковщики?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
Это патчер со скриптовым языком, что ты там распаковывать собрался?

| Сообщение посчитали полезным:

Это патч на FineRider, антивирусник его определяет как троян-червь, но это не главное после пропатчивания у меня загнулcя WinRar, после его переустановки по Log файлу пошел, но на следующий день сдох ReGet и сколько я его не пытался разными способами переустановить - не получилось, после переустановки системы решил посмотреть на этот патч повнимательнее. После распаковки из архива его ничем невозможно открыть на просмотр (NC,FAR,IDA,PEiD) все выдают ошибку. При просмотре свойств в винде очень много закладок разных(общие, программа, шрифт, память,сводка, совместимость, разное, экран) при закрытии окна свойств появляется в этой папке ярлык DOS. При просмотре в FARe из командной строки он помечен как архивный. После смены атрибута в FARe при попытке снятия дампа атрибут архивный появляется. При распаковке WinRar ом в окне " Путь и параметры извлечения" на вкладке "Дополнительно" снял галочку с пункта "Снимать у файлов атрибут Архивный" стало намного легче жить( может быть) по крайней мере атрибут архивный больше не появляется, даже при снятии дампа, который ничего не дает, при просмотре свойств ярлык DOS тоже не появляется, стал возможен просмотр в FARe, и PEiD в результате выдал чем он запакован. Еще одна деталь в свойствах указаны размер 4Кб, на диске 8 КБ, при распаковке из архива в этой же папке с патчем находится файл VerData.prt в свойствах которого стоит размер 744 байта на диске 4 Кб. Еще одна деталь - время создания, изменения и открытия одинаковые для обоих файлов. Вот и все что мне удалось накопать.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
--> Сюда <-- запости свой файл и жди пока кто-нибудь его посмотрит

| Сообщение посчитали полезным:

Запостил, посмотрели, ничего подозрительного не нашли, сделали дамп, просмотрел его идой - такая же чушь как и в моем дампе. Дампы очень похожи, различаются в деталях, но оба дохлые, ничего из них невозможно вытянуть и как боротья с этим скриптовым языком. Литература есть на эту тему?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
Непонятно конечно зачем тебе понадобилось распаковывать патчер, ну да ладно.
Грузи его в олю, ставь бряк Hardware on Execution на адрес 402218. Когда тормознешься, делай дамп и восстанавливай импорт с помощью ImpRec (RVA IAT = 00002F55, Size IAT = 00000078). Работать этот распакованный файл будет только на твоей системе.

| Сообщение посчитали полезным:

Мне не понятно для чего кокойто сраный патчер (4 Кб) нужно так закручивать, даже текст сообщения которое он выводит запихнули в ресурсы, причем не все одно сообщение в открытой форме в дампе и почемуто повторяется подряд примерно тридцать!!! раз и по перехвату API много неясного. В общем буду дальше его копать.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Прогнал под олей в лог дате видно обращается почемуто к dll фаервола и переводчика.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Можно, если не трудно обьяснить откуда дрес 402218 и параметры импорта?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Объяснить не трудно, а вот понять будет трудно, скорее всего. Адрес такой, потому что код по этому адресу расширован и похож на ОЕП; импорт такой, потому что импорт лежит там. Почитай статьи по распаковке для новичков, что такое ОЕП, что такое импорт, накой они нужны и что с ними делать.

| Сообщение посчитали полезным:

gena-m
Вот твой нормально распакованный файл, исследуй его как хочешь - rapidshare.com/files/145007312/patch_unpacked.rar.html

| Сообщение посчитали полезным:

В приципе все прошел сам нашел ОЕР,RVA не нашел методики определить Size, но ImpRec в результате сам его сказал, распаковал, но шесть функций не распознаются. И всетаки он почемуто лезет к фаерволу:
Module loaded: c:\windows\system32\user32.dll
Module loaded: c:\windows\system32\gdi32.dll
* No export for module: c:\progra~1\agnitum\outpos~1\wl_hook.dll
Module loaded: c:\windows\system32\advapi32.dll
Module loaded: c:\windows\system32\rpcrt4.dll
Что бы это значило?
Теперь эти шесть функций вручную нужно восстанавливать?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Что именно что значит? Кто тебе вообще сказал, что это ОН лезет к файерволу, а не наоборот?
Насчёт шести функций-вообще неясно, что это за функции и что ты собрался делать с файлом? Если распаковать-возможно, и надо восстановить. Если просто узнать, что делает, не надо тогда.

| Сообщение посчитали полезным: