 |
eXeL@B —› Вопросы новичков —› ASProtect or ASPack? Или ошибается ли ASPRiNF? |
| Посл.ответ | Сообщение |
|
|
Создано: 26 августа 2008 11:58 · Личное сообщение · #1 Попалась одна прога, разные детекторы по разному детектят: PEiD - ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov после уточнения плагином VerA 0.15 - Error, may be it's not ASProtect! Exeinfo PE - ASprotect ver 2.1 / 2.^ ( www.aspack.com/asprotect.htm ) DiE 0.64 - ASPack/ASProtect RDG Packer Detector v0.65 - ASProtect v2.xx а 100% detector ASPr ASPrINF v1.6 - ASProtect 1.4 build 04.01 Beta Стриппер 2.13 её не берет и падает иногда даже с перезагрузкой системы.Скрипты от VolX тоже не помогают. Даже скрипт ASProtect OEP Finder (all versions) для Olly не находит OEP. Интересно, что за прот(или пакер) такой и как с ним бороться? Прога здесь 1.5 Мб rapidshare.com/files/140180034/chmEditor.rar.html  |
|
|
Создано: 26 августа 2008 13:02 · Личное сообщение · #2 chmEditor всегда вроде накрывали аспром  так что если у тебя там не какой нить крякнутый репак ольку в зубы и распаковывай
|
|
|
Создано: 26 августа 2008 13:20 · Поправил: ClockMan · Личное сообщение · #3 wasmkv Чтобы определить какой пакер нужно загрузить в олю программу и посмотреть на начало кода у ASProtect он наченаеться вот так. PUSH CALL RETN RETN ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 26 августа 2008 14:02 · Поправил: wasmkv · Личное сообщение · #4 pavka пишет: chmEditor всегда вроде накрывали аспром так что если у тебя там не какой нить крякнутый репак ольку в зубы и распаковывай Нет, это не крякнутый, а оригинал. Тем не менее в сервисе по распаковке Asprotect утверждают что это ASPack. Хотя сервис вроде как бесплатный, за распаковку запросили 10$. Неужели все-таки ASPRiNF ошибается? |
|
|
Создано: 26 августа 2008 15:42 · Личное сообщение · #5 wasmkv пишет: Тем не менее в сервисе по распаковке Asprotect утверждают что это ASPack. Хотя сервис вроде как бесплатный, за распаковку запросили 10$. За аспак 10 $ $))) |
|
|
Создано: 26 августа 2008 17:57 · Личное сообщение · #6 Ну был бесплатный, вроде. А сейчас-хз, хозяин-барин, кушать хочется им, может. РеКилл в курсе про сервис, можешь у него спросить. А вообще для опознавания пакеров и протов отдельный топик есть http://exelab.ru/f/action=vthread&forum=2&topic=11325&page =3 |
|
|
Создано: 27 августа 2008 12:34 · Личное сообщение · #7 Archer пишет: РеКилл в курсе про сервис, можешь у него спросить. Отвечу здесь чтобы потом не начались флудопосты в других темах. Сервис фриварный, но чела который обеспечивает связь Мыло->Unpacker->Мыло достали письма с просьбой анпакнуть аспак (не путать с аспротект!). Поэтому он в качестве шутки просит 10 баков за это, при этом без всяких шуток анпакает если заплатят. И так со всеми запросами на мыло отличающимися от просьб распаковать аспротект. Так что ничего предосудительного в этом нет, если учесть сколько файлов приходит на мыло и сколько приходится отбраковывать из за неграмотности приславшего. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 августа 2008 12:57 · Поправил: PE_Kill · Личное сообщение · #8 ADD. Открыл тему. Павка мне написал что это аспр. я посмотрел - да реально аспр. Более того этот файл не распаковывается стриппером что на сервисе. Это ASProtect 1.4 build 04.01 Beta аспр инф правильно сказал. Также вышел ASProtect 2.41 build 04.01 Beta. Так что нужно апдэйтить тулзы ----- Yann Tiersen best and do not fuck |
|
|
Создано: 04 сентября 2008 16:52 · Личное сообщение · #9 PE_Kill пишет: при этом без всяких шуток анпакает если заплатят. И так со всеми запросами на мыло отличающимися от просьб распаковать аспротект PE_Kill пишет: Более того этот файл не распаковывается стриппером что на сервисе. Я правильно понял, если на сервисе файл не распаковывается стриппером, то за ручную распаковку надо платить? |
|
|
Создано: 04 сентября 2008 17:36 · Личное сообщение · #10 Неправильно, ждать значит надо, пока тулзы на сервисе проапдейтятся. Хотя плата может и ускорит их апдейт, хз
|
|
|
Создано: 06 октября 2008 13:40 · Личное сообщение · #11 Во многих версиях аспра - базовый адрес Asprotect.dll находится за пределами памяти, ассигнованной программе (например, 00AE00000, 00B00000). В проге, которую я отправлял на сервис (как оказалось ASPrINF v1.6 был прав) - ASProtect 1.4 build 04.01 Beta , базовый адрес Asprotect.dll находится внутри памяти, ассигнованной программе - 007F9000. Поэтому его не взяли скрипты от VolX и даже стриппер на сервисе распаковки. ЗЫ: Некрасиво со стороны сервиса по распаковке вводить новичков в заблуждение, утверждая что данная прога упакована не аспром, а тем более просить деньги за распаковку ASPRa - если сервис фриварный. Уж лучше пусть отправят в топик - где помогут узнать чем упаковано или в запросы на взлом, если не хотят (не могут) распаковать. Спасибо всем за ответы. |
|
|
Создано: 06 октября 2008 15:09 · Личное сообщение · #12 Скрипты и тулзы не взяли скорее всего не потому, что память другая, а потому, что версия новая и что-то поменялось, хотя упираться тут лбом не буду. И что тут некрасивого, могли просто ошибиться с протом, с каждым бывает. А просить деньги-это их право, сервис добровольный, хотят анпакают фриварно, хотят-берут деньги. Не нравится-не пользуйся. |
|
|
Создано: 06 октября 2008 21:42 · Личное сообщение · #13 wasmkv - честно говоря, меня твоя позиция просто удивляет: если сервис, то обязаны? А самому, что в падлу? Есть море статей vnekrilova и я не думаю, что там большая разница в распаковке. И всегда есть форум, где знающие люди могут тебе подсказать, при условии, что ты сам что-то сделал и задал конкретный вопрос. |
|
|
Создано: 07 октября 2008 07:20 · Личное сообщение · #14 Там всё отличие только в том что раньше аспр длл лежала в секции аспра извлекалась в память и распаковывалась, а теперь она прямо в секции и распаковывается никуда не извлекаясь. Кстати аспр это или аспак моя тулза по анпаку ASPack'а определяла именно по тому где находится загрузчик, в памяти или в секции. После релиза сорсов анпакера длл вдруг стала в секции аспра, наводит на мысль... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 07 октября 2008 18:55 · Поправил: wasmkv · Личное сообщение · #15 cadet пишет: wasmkv - честно говоря, меня твоя позиция просто удивляет: если сервис, то обязаны? Нет, не обязаны. И брать деньги их полное право ибо комунизм за 73 года так построить и не смогли - а значит деньги нужны всем. Удивляет другое, что чел снявший не один АSPrотесt не смог отличить его от упаковщика и утверждал именно что это ASpack и за плату он его снимет, чем ввел в заблуждение. Вот умный утверждать не будет, например Archer пишет: Скрипты и тулзы не взяли скорее всего не потому, что память другая, а потому, что версия новая и что-то поменялось, хотя упираться тут лбом не буду. Дело в том, что скрипты от Волка используют команду GMEMI eip,MEMORYOWNER, чтобы получить базовый адрес Asprotect.dll.При выполнении инструкции GMEMI eip,MEMORYOWNER, скрипт определяет базовый адрес Asprotect.dll как 00400000, а не 007F9000. Далее идет поиск некоторых цепочек байтов (например, find tmp_2,#68????????68????????68#) которые определяют расположение некоторых инструкций в Asprotect.dll. Причем этот поиск выполняется с начала базового адреса Asprotect.dll, т.е. не с адреса 007F9000, а с адреса 00400000. Естественно, что такая цепочка байтов по адресу, начиная с 00400000, не находится, и скрипт выдает ошибку. До конца я полностью не разобрался, нехватает времени и знаний да и демо версия этой проги уже не актуальна учитывая что есть полная. Но я надеюсь, что все-таки разберусь. Кстати, может кто подскажет, где почитать более подробное описание команд по OllyScript. |
|
|
Создано: 07 октября 2008 19:43 · Личное сообщение · #16 Согласен, прокол. Вот что нашел у себя.  9d10_07.10.2008_CRACKLAB.rU.tgz - Руководство по OllyScript.part1.rar
|
|
|
Создано: 07 октября 2008 19:44 · Личное сообщение · #17 |
|
|
Создано: 07 октября 2008 23:34 · Личное сообщение · #18 |
|
|
Создано: 08 октября 2008 12:53 · Поправил: Konstantin · Личное сообщение · #19 b]wasmkv[/b] GMEMI eip,MEMORYOWNER В этом скрипте можно заменить на GMEMI eip,MEMORYBASE но все равно скрип нужно править дальше. |
|
|
Создано: 08 октября 2008 19:40 · Поправил: PE_Kill · Личное сообщение · #20 wasmkv пишет: Удивляет другое, что чел снявший не один АSPrотесt не смог отличить его от упаковщика и утверждал именно что это ASpack Когда будешь анпакать по 15-20 файлов в день, тогда и суди. Одно дело когда ковыряешься в файле досконально, другое когда сидишь на конвеере. зы Файл давно распакован слить можно отсюда rapidshare.com/files/152092720/chmEditor_u.rar просто интересно было будет ли топикстартер принимать какие либо шаги кроме обсирания сервиса ззы Не надо у меня что то спрашивать или предъявлять, не я обслуживаю сервис. Я лишь посредник на этом форуме. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 08 октября 2008 22:43 · Поправил: wasmkv · Личное сообщение · #21 Konstantin пишет: GMEMI eip,MEMORYBASE но все равно скрип нужно править дальше. Естественно, и не только в вышеуказанном месте. PE_Kill пишет: Когда будешь анпакать по 15-20 файлов в день, тогда и суди. Согласен. Но когда обращаются повторно по тому же вопросу, можно бы и посмотреть внимательней. PE_Kill пишет: Не надо у меня что то спрашивать или предъявлять, не я обслуживаю сервис. Я лишь посредник на этом форуме. Уважаемый PE_Kill. К вам лично вообще никаких претензий нет, кроме благодарности. Да и это уже очень хорошо что такой сервис есть. Если б ещё чуть внимательнее там люди были - цены б ему не было. ЗЗЫ Данный распакованный файл уже не актуален, ибо есть у меня полная (не демо) версия. Интересен он только снятием Аспра. Спасибо всем, кто не прошел мимо. Отдельное спасибо cadet за документацию к ODbgScript . А тему, в принципе, если сочтете что не нужна, можно и закрыть. |
|
eXeL@B —› Вопросы новичков —› ASProtect or ASPack? Или ошибается ли ASPRiNF? |
Для печати