 |
eXeL@B —› Вопросы новичков —› Проблема с расспаковкой аспра на TheBat! Password Recovery |
| Посл.ответ | Сообщение |
|
|
Создано: 14 октября 2008 12:47 · Поправил: SemDJ · Личное сообщение · #1 Проблема заключается в том что когда я расспаковал аспр, появляется ошибка "the file has corrupted. Please run a virus check, then reinstall the aplication" Проблема в том что я нашел где идет проверка, на файл коруптид, но при всех моих модификациях программа просто не запускается, переименования файла не помогает. В поиске искал ничего толкового не нашел. 0040D2E4 . /0F8D 4A010000 JGE bpr.0040D434 переход 0040D2EA . |6A 5F PUSH 5F идет проверка на целосность 0040D2EC . |68 ECB74600 PUSH bpr.0046B7EC ; ASCII "Uif!gjmf!jt!dpssvqufe"!Qmfbtf!svo!b!wjsvt.difdl-!uifo!sfjotubmm!uif!b qqmjdbujpo/!Mbtu!fssps" 0040D2F1 . |68 3C254700 PUSH bpr.0047253C 0040D2F6 . |E8 E5A50200 CALL bpr.004378E0 0040D2FB . |83C4 0C ADD ESP,0C 0040D2FE . |BF 3C254700 MOV EDI,bpr.0047253C 0040D303 . |83C9 FF OR ECX,FFFFFFFF 0040D306 . |33C0 XOR EAX,EAX 0040D308 . |F2:AE REPNE SCAS BYTE PTR ES:[EDI] 0040D30A . |F7D1 NOT ECX 0040D30C . |83C1 FF ADD ECX,-1 0040D30F . |898D 08EBFFFF MOV DWORD PTR SS:[EBP-14F8],ECX 0040D315 . |C785 0CEBFFFF>MOV DWORD PTR SS:[EBP-14F4],0 0040D31F . |EB 0F JMP SHORT bpr.0040D330 0040D321 > |8B85 0CEBFFFF MOV EAX,DWORD PTR SS:[EBP-14F4] 0040D327 . |83C0 01 ADD EAX,1 0040D32A . |8985 0CEBFFFF MOV DWORD PTR SS:[EBP-14F4],EAX 0040D330 > |8B8D 0CEBFFFF MOV ECX,DWORD PTR SS:[EBP-14F4] 0040D336 . |3B8D 08EBFFFF CMP ECX,DWORD PTR SS:[EBP-14F8] 0040D33C . |7D 1C JGE SHORT bpr.0040D35A 0040D33E . |8B95 0CEBFFFF MOV EDX,DWORD PTR SS:[EBP-14F4] 0040D344 . |8A82 3C254700 MOV AL,BYTE PTR DS:[EDX+47253C] 0040D34A . |2C 01 SUB AL,1 0040D34C . |8B8D 0CEBFFFF MOV ECX,DWORD PTR SS:[EBP-14F4] 0040D352 . |8881 3C254700 MOV BYTE PTR DS:[ECX+47253C],AL 0040D358 .^|EB C7 JMP SHORT bpr.0040D321 0040D35A > |BF E4B74600 MOV EDI,bpr.0046B7E4 ; ASCII ": %ld" 0040D35F . |BA 3C254700 MOV EDX,bpr.0047253C 0040D364 . |83C9 FF OR ECX,FFFFFFFF 0040D367 . |33C0 XOR EAX,EAX 0040D369 . |F2:AE REPNE SCAS BYTE PTR ES:[EDI] вот ссылка на распакованый файл http://shareua.com/files/show/1763411/bpr.rar.html вот на саму программу http://shareua.com/files/show/1763441/bpr.zip.html ----- minimaL_patсh на руборде  |
|
|
Создано: 14 октября 2008 15:00 · Личное сообщение · #2 SemDJ Реакция на твой распакованый файл... AVG 8.0.0.161 2008.10.14 Win32/Heur CAT-QuickHeal 9.50 2008.10.14 (Suspicious) - DNAScan F-Secure 8.0.14332.0 2008.10.14 Suspicious:W32/UltimateRAT.21!Gemini SecureWeb-Gateway 6.7.6 2008.10.14 Virus.Win32.FileInfector.gen (suspicious) Sunbelt 3.1.1722.1 2008.10.14 VIPRE.Suspicious |
|
|
Создано: 14 октября 2008 15:33 · Личное сообщение · #3 Распаковка StriperX тебе не поможет, даже если обойдеш проверку нужен ключ, в проге тонны криптованного кода. |
|
|
Создано: 14 октября 2008 16:01 · Поправил: Maximus · Личное сообщение · #4 tempread это всего вероятней из-за спицифики программы... SemDJ Konstantin Если есть забаненый ключ, то криптованный код можно восстановить без проблем, в том числе и после распаковки стрипера, для таких дел есть замечательная тузла от PE_Kill'a CodeCopyr ----- StarForce и Themida ацтой! |
|
|
Создано: 14 октября 2008 17:15 · Личное сообщение · #5 Maximus - если вещь не приватная ( CodeCopyr), выложи плиз. |
|
|
Создано: 14 октября 2008 17:54 · Поправил: tempread · Личное сообщение · #6 SemDJ Программа проверяет свою целостность расшифровывая части кода используя информацию, взятой из файла на диске. Первый вызов функции расшифровки по адресу 40d468. В параметрах - адрес расшифровываемого кода и размер. Я прогу только запускал,не используя по назначению,поэтому я подсмотрел только два куска зашифрованого кода: 40d5d0 - 545 байт 412806 - 30 байт Возможно, что есть и другие куски, просто ставишь брекпоинт на начало функции расшифровки, и собираешь информацию 
По ссылке программа с двумя вышеприведенными восстановлеными кусками кода(код нашел,подсматривая за работой запакованой программы)+пару переходов подправлено+функцию расшифровки поправил,что бы код не портила расшифрованый: http://dump.ru/file/1123841 http://dump.ru/file/1123841 Пароль:123 |
|
|
Создано: 14 октября 2008 18:15 · Личное сообщение · #7 tempread Понятно, пробовал твой дамп прога запускается, но работает только ручной режим, автоматический режим и режим с паролями не работает, прога тупо вылетает при запуске этих режимов. Ну и на этом огромное спасибо, прога запускается, это уже хорошо! Всем большое спасибо за помощь, буду дальше разбиратся ----- minimaL_patсh на руборде |
|
|
Создано: 14 октября 2008 18:17 · Поправил: tempread · Личное сообщение · #8 SemDJ Увидел,что Оля показывает,что функция раскриптовки вызывается из 3-х мест. Значит есть три куска пошифрованых,два я восстановил,третий восстанавливай сам,в качестве домашнего задания
3-е место вызова функции расшифровки: 421c14 (а чуть ниже этого места будет расшифровываться код) P.S. А если побегать по менюшкам, то там еще будут пошифрованные места... |
|
|
Создано: 14 октября 2008 19:02 · Личное сообщение · #9 Из четырех 
|
|
|
Создано: 14 октября 2008 19:38 · Личное сообщение · #10 Прожку вроде доделал... Konstantin Я смотрю тут:  http://myphoto.nnov.ru/d5417c78eb04af48055c51f6778867f7.html
А где можно увидеть то,что ты показал? |
|
|
Создано: 14 октября 2008 19:52 · Поправил: Konstantin · Личное сообщение · #11 если так, то у меня вот что 
А если поставить курсор(строка 41EEA0) как на картинке выше и нажать ctrl+R, то будет как в моем прошлом посте. |
|
|
Создано: 14 октября 2008 20:09 · Личное сообщение · #12 Konstantin Нажал ctrl+A(провести анализ) и начало показывать 4 вызова... Видимо ранее прерывал анализ раньше времени... |
|
eXeL@B —› Вопросы новичков —› Проблема с расспаковкой аспра на TheBat! Password Recovery |
Для печати