Сейчас на форуме: asfa, _MBK_, Rio (+7 невидимых)

 eXeL@B —› Вопросы новичков —› Новый ASProtect ?
Посл.ответ Сообщение

Ранг: 4.7 (гость)
Активность: 0.010
Статус: Участник

 Создано: 17 февраля 2009 06:40
· Личное сообщение · #1

Прога MilkShape3D v1.8.4 - www.milkshape3d.com/

Сниферы разошлись во мнениях
PEiD - Nothing
DiE - Asprotect 2.3 SKE
ExeInfo PE - ASPr 2.1/2.^
PESniffer - ASProtect v1.33-v2.1 Registered

Дошёл до ОЕР, а действительно ли это ОЕР ?

Code:
  1. 0067F0E6 55                   PUSH  EBP   ;<--- ESP и EBP каждый запуск принимают разные значения
  2. 0067F0E7 8BEC                 MOV   EBP,ESP                  
  3. 0067F0E9 83EC10               SUB   ESP,+10                  
  4. 0067F0EC A1D4917600           MOV   EAX,[007691D4]           
  5. 0067F0F1 8365F800             AND   [EBP-08],+00             
  6. 0067F0F5 8365FC00             AND   [EBP-04],+00             
  7. 0067F0F9 53                   PUSH  EBX                      
  8. 0067F0FA 57                   PUSH  EDI                      
  9. 0067F0FB BF4EE640BB           MOV   EDI,BB40E64E             
  10. 0067F100 3BC7                 CMP   EAX,EDI                  
  11. 0067F102 BB0000FFFF           MOV   EBX,FFFF0000             
  12. 0067F107 740D                 JZ    0067F116                 
  13. 0067F109 85C3                 TEST  EBX,EAX                  
  14. 0067F10B 7409                 JZ    0067F116                 
  15. 0067F10D F7D0                 NOT   EAX                      
  16. 0067F10F A3D8917600           MOV   [007691D8],EAX           
  17. 0067F114 EB60                 JMP   0067F176                 
  18. 0067F116 56                   PUSH  ESI                      
  19. 0067F117 8D45F8               LEA   EAX,[EBP-08]             
  20. 0067F11A 50                   PUSH  EAX                      OUT LPFILETIME lpSystemTimeAsFileTime
  21. 0067F11B FF1558E16A00         CALL  GetSystemTimeAsFileTime  VOID GetSystemTimeAsFileTime(OUT LPFILETIME lpSystemTimeAsFileTime)
  22. 0067F121 8B75FC               MOV   ESI,[EBP-04]             
  23. 0067F124 3375F8               XOR   ESI,[EBP-08]             
  24. 0067F127 FF15D8E16A00         CALL  GetCurrentProcessId      DWORD GetCurrentProcessId()
  25. 0067F12D 33F0                 XOR   ESI,EAX                  
  26. 0067F12F FF15A4E16A00         CALL  GetCurrentThreadId       DWORD GetCurrentThreadId()
  27. 0067F135 33F0                 XOR   ESI,EAX                  
  28. 0067F137 FF15A8E26A00         CALL  GetTickCount             DWORD GetTickCount()
  29. 0067F13D 33F0                 XOR   ESI,EAX                  
  30. 0067F13F 8D45F0               LEA   EAX,[EBP-10]             
  31. 0067F142 50                   PUSH  EAX                      OUT LARGE_INTEGER * lpPerformanceCount
  32. 0067F143 FF1508E26A00         CALL  QueryPerformanceCounter  BOOL QueryPerformanceCounter(OUT LARGE_INTEGER * lpPerformanceCount)
  33. 0067F149 8B45F4               MOV   EAX,[EBP-0C]             
  34. 0067F14C 3345F0               XOR   EAX,[EBP-10]             
  35. 0067F14F 33F0                 XOR   ESI,EAX                  
  36. 0067F151 3BF7                 CMP   ESI,EDI

В конце прцедуры RET а ESP указывает на 67330F (адрес фиксированный ведёт на JMP 673154)
Затем из диапазона 67Fxxx вдруг CALL 4E20000,там какойто код прота, это в оригинале, в дампе
там пусто. И почему дамп получился ~50 Mb ?!
Вобщем 2 вопроса, как выйти на OEP ( VOEP ?) и что делать потом, готовых решений не нашёл.

Ссылки на жертву, в архиве экзешник и дллки необходимые для запуска 1,5 Мб -------------------------------------------------------------------------------------------------------------------------------
nukeuploads.com/download/1234840099/E0OVPYSBY8B5J47/ms3d.rar.html
link_deleted_by_forum_engine/files/x6weebgq0
rapidshare.com/files/199032353/ms3d.rar.html
letitbit.net/download/0b9f50749833/ms3d.rar.html



Ранг: 24.2 (новичок), 1thx
Активность: 0.030
Статус: Участник

 Создано: 17 февраля 2009 13:25
· Личное сообщение · #2

Да, Asprotect здесь действительно довольно новый - 2.4 build 11.20 Release.
MaStak пишет:
Вобщем 2 вопроса, как выйти на OEP ( VOEP ?) и что делать потом, готовых решений не нашёл.

Кури туторы от vnekrilov по AsProtect. Также, можешь почитать --> здесь <--



Ранг: 4.7 (гость)
Активность: 0.010
Статус: Участник

 Создано: 17 февраля 2009 13:28
· Личное сообщение · #3

o__O
спасибо пошол курить
а как ты определил 2.4 build 11.20 Release ?



Ранг: 24.2 (новичок), 1thx
Активность: 0.030
Статус: Участник

 Создано: 17 февраля 2009 14:31
· Личное сообщение · #4

MaStak пишет:
а как ты определил 2.4 build 11.20 Release ?

С помощью замечательной утилитки AsprInf



Ранг: 10.6 (новичок)
Активность: 0.010
Статус: Участник

 Создано: 01 марта 2009 00:31
· Личное сообщение · #5

Это точно AsProtect? А то у меня есть гадость в флешки cfixer, у ней в EP call на точно такую-же функцию.
P.S. А на фига протекту случайное число подсчитывать?




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 01 марта 2009 01:42 · Поправил: Hellspawn
· Личное сообщение · #6

MaStak

ты чуть промахнулся
Code:
  1. 0067330A     E8 D7BD0000        CALL ms3d.0067F0E6
  2. 0067330F   ^ E9 40FEFFFF        JMP ms3d.00673154
  3. 00673314     E9 C2290000        JMP ms3d.00675CDB
  4. 00673319     CC                 INT3
  5. 0067331A     CC                 INT3
  6. 0067331B     CC                 INT3
  7. 0067331C     CC                 INT3
  8. 0067331D     CC                 INT3
  9. 0067331E     CC                 INT3
  10. 0067331F     CC                 INT3
  11. 00673320     8D42 FF            LEA EAX,DWORD PTR DS:[EDX-1]
  12. 00673323     5B                 POP EBX
  13. 00673324     C3                 RETN


-----
[nice coder and reverser]
 eXeL@B —› Вопросы новичков —› Новый ASProtect ?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати