ASPack 2.12 -> Alexey Solodovnikov

www.sendspace.com/file/hbqp1w

С dll у меня вечно проблемки, да и ASPack вроде не из простых..

| Сообщение посчитали полезным:

Ты напиши что делал, чтобы распаковать и что не получается. Иначе это запрос...
П.С. Аспак это один из самых простых.

| Сообщение посчитали полезным:

АСПак из самых простых. Пробуй QuickUnpack, пиши, что делал сам. Или пости в запросы на взлом с пометкой только анпак.

| Сообщение посчитали полезным:

QuickUnpack ошибку выдает, если бы хоть один из автоматических распаковщиков мне помог, я бы не писал.
Честно говоря понятия не имею как в dll подступитсья вообще.

Напишу тогда в запросы на взлом..

| Сообщение посчитали полезным:

Vicious
там не aspack, а asprotect

| Сообщение посчитали полезным:

Konstantin
Хмм.. если так, то чем руководствоваться при распаковке ?
Какая это версия ASProtect тогда хотя бы.

| Сообщение посчитали полезным:

Эта dll унпакается скриптом от VolX на ура. Версия asprotect 2.3ske

скрипт

328a_02.11.2008_CRACKLAB.rU.tgz - aspr2.xx v1.14ae.RAR

| Сообщение посчитали полезным:

Konstantin
Или я делаю что-то не так, или...

Взял VolX скрипт, подправил его как в readme написано, запустил в olly 1.10 c ODBGScript 1.64. В результате получаю следующее сообщение:
No stolen code, check IAT data in log window.
И в папке с моей dll еще одну, de_hook.dll
Только эта dll на распакованую не похожа. Согласно PEid там по прежнему ASPack, да и анализ энтропии говорит что файл запакован.

| Сообщение посчитали полезным:

Vicious
Vicious пишет:
И в папке с моей dll еще одну, de_hook.dll

Скрипт распаковывает прогу в памяти, после этого ее надо дампить соответствующим плагом к оле, а потом к дампу нужно прикрутить импорт с помощью imprec-a. Да, еще надо разобраться с релоками т.к. это длл.

| Сообщение посчитали полезным:

Vicious
Распакованная dll rapidshare.com/files/160060445/Dumped_.rar.html

| Сообщение посчитали полезным:

Konstantin
И как так получилось, что распакованая весит меньше чем оригинал?
Что-то не то.. даже снятый мной дамп, после применения плагина того, весил больше. И это еще без восстановления импорта было..

| Сообщение посчитали полезным:

Видимо секции отрезаны. Ты не на размер смотри, а работает или нет. Если там реально аспр, можешь в сервис анпака по мылу отправить.

| Сообщение посчитали полезным:

Не работает, естественно..

| Сообщение посчитали полезным:

Vicious пишет:
И как так получилось, что распакованая весит меньше чем оригинал?
Само сабой я секции аспра отрезал, они не нужны. Почитай статьи по распаковке аспра(их много в разделе rar статьи на этом форуме), многие вопросы отпадут сами собой.
Vicious пишет:
Не работает, естественно..
Распаковка dll это еще не гарания ее работоспособности. Нужно дальше исследовать сабж.
И как именно не работат.

Скорей всего dll распакована нормально, сервис анпака тебе тож самое пришлет. Дело в другом, длл не такая простая, как кажется, если посмотреть код распакованной длл, то он разбавлен мусорным кодом( в котором куча jmp вермишели, что то напоминает , и еще присутствуют две секции выше секции ресурсов с таким же мусором, кажется что аспром накрыли dll уже отученную от кагото прота. Я это к тому, что там часть кода, которая исполнятеся при инициализации dll разбавлена мусором, и помимо инициализации делает что то свое(может какую то проверку) так как обращается к области памти 401000...., поэтому при попытке загрузки в олю распакованной dll она отказывается грузится. А вот если грузить через лоадер то все нормально.
Дальше нужно реверсить сабж совместно с экзешником который эту длл использует.

И еще т. к. я распаковывал скриптом, то он пофиксил стандартные апи аспра стандартным же образом, может проблема в этом, надо смотреть код который обращается к этим апи, хотя вряд ли. Эти адреса находятся здесь: (все это можно найти в логе работы скрипта)

Если запустить сабж без скрипта в этих ячейках соответственно будут адреса, ведущие в виртуальную dll аспра.
Их назначение:


P.S. Из какой проги dll? Чет не хочется реверсить такие вещи(хотя сижу на виртуалке), подцепиш какую нить хрень.

| Сообщение посчитали полезным:

Там в dll действительно есть проверка перед запуском - что-то вроде регистрации. Собственно это и требовалось убрать, или найти алгоритм генерации ключа. В распакованом варианте этой проверки нет, как при простом запуске через лодер олли, так и через софт, к которому эта библиотека прилагается - он вообще повисает.

Выложил бы всю программу, но там под 1.5ГБ выйдет. Точнее сама то программа не такая большая, но чтобы библиотеку протестировать понадобиться еще кое-что.

Подожду пока что результат от сервиса анпака, а там видно будет что делать..

| Сообщение посчитали полезным:

Vicious пишет:
Там в dll действительно есть проверка перед запуском - что-то вроде регистрации.
Это я видел. Это как раз и используется аспром, когда его убираеш наг окно будет отсутствовать т. е. прога должна считать себя зареганой т. к. апи используемые при регистрации фиксится скриптом как я писал в посте выше. Посмотри какой(какие) exe используют эту dll и выложи хотя бы их.

| Сообщение посчитали полезным:

Экзешник программы ничего не даст. Он как таковую dll не подключает. Экзешник там по сути просто запускает скрипты на перле, который в свою очередь инжектит эту длл в программу (тут вообще может любая прога быть, какая разница то куда инжектить)
Utils::Win32::InjectDLL($pid, $dll)
Так вот распакованная dll инжектиться отказывается. В чем это проявляется? Да просто программа зависает на этом этапе, я писал уже. И я даже не знаю, отнести это проявляение к неработоспособности самой dll или еще куда.

| Сообщение посчитали полезным:

Помятно в чем дело, там присутствует криптованный код, чтобы он раскриптовался нужно распаковывать сабж с валидным ключем.
Вот пример из сабжа:
Видиш там jmp прыжек через мусор, вот если бы был ключ там бы за место мусора был код.
И таких участков кода там до туевой хучи!!!.

| Сообщение посчитали полезным:

Иными словами, при отсутствии ключа распаковка нереальна ?
Если так, возможен ли какой-то иной способ отключить регистрацию // сделать кей-ген?

| Сообщение посчитали полезным:

Один человек с этого форума как то упоминал про утилю, которая восстанавливает криптованный код при наличии забаненного ключа (но валидного) если такой имеется, восстановить без ключика вообще - хрен знает, может и можно, но я этого не умею. Кейгенингом ни когда не занимался, может и можно закейгенить.

| Сообщение посчитали полезным:

Читайте оба статьи Внекрилова.

| Сообщение посчитали полезным:

cadet
В них показано как восстанавливать криптованный код без ключика?

| Сообщение посчитали полезным:

В них показано как распаковывать аспр 2.3 .

| Сообщение посчитали полезным:

cadet пишет:
В них показано как распаковывать аспр 2.3
Ну как всегда, сарказма - тонны. Выложил бы dll если распаковал, или указал на ошибку.
Все давно уже прочитано, а ошибиться может каждый.

| Сообщение посчитали полезным:

Konstantin в ключе лежит константа которая декриптует код, отсюда вывод что не зная константы кейген сделать не получится. Да и сама возможность кейгена достаточно сокральна. В теории распаковать можно и без ключа, но нужен большого объема винчестер и время для составления словаря. Пока видимо ни у кого сразу двух этих составляющих нет, включая меня.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Спасибо за инфу, в этом плане у меня пробелы в знаниях.

| Сообщение посчитали полезным:

Тема все еще актуальна..
Сейчас ситуация такая, имеется корректно распакованная библиотека (спасибо сервису анпака), но в ней по прежнему остаются шифрованные куски кода.

Как можно их расшифровать, чтобы можно было корректно отвязать библиотеку от активации? Имеются валдные данные HwID / Key / Nick, естественно от другой машины.

| Сообщение посчитали полезным:

Vicious дык кидай в сервис, там сразу тебе и распакуют с ключем, и код сразу расшифруется

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: