Есть софтина, которую очень хотелось бы поюзать - OrangeCD 6.3.1. Ссылка Кряка к ней нет, точнее, нет к этой версии. Да и тот, что есть к предыдущей, работает криво. Хотел пореверсить ее, но вот беда: запакована ASProtect.
ASPrINF 1.6 говорит, что версия ASProtect 2.11 build 03.13. Вроде как распаковалась стриппером 2.13b9. При запуске ругнулась на ординал в ocdapi.dll, в связи с чем я решил, что надо бы поправить IAT. Я не особо силен еще в деле анпакинга, поэтому не уверен, что сделал дальше все правильно. Запустил нераспакованную софтину, приаттачил к процессу ImpRec 1.6, он мне нашел таблицу импортов. Там были инвалиды, но я их восстановил по инфе, которую мне выдавал стриппер при анпаке. Зафиксил дамп. Дамп не запустился. Стал смотреть его Оллей: EIP стабильно сбрасывается в ноль, на что Олля и ругается.
Соответственно, хочу задать вопросы: что происходит, что я делаю неправильно? Буду признателен, если кто-нибудь распакует эту сволочь, и, если не сложно, кинет хотя бы кратенькие шаги распаковки.

UPD: Возможно я вообще изначально накосячил и стриппер неправильно распаковал. Скрипт от Volx не понял как заюзать.

| Сообщение посчитали полезным:

angelofdistress пишет:
Я не особо силен еще в деле анпакинга
Не спорю , а вообще на форуме уже есть тема по аспру, почитай --> тут <--, или пойди --> сюда <--, там тоже достаточно статей, ну если сам не справишься, тада тебе в запросы на взлом.

| Сообщение посчитали полезным:

angelofdistress
Видать в проге идёт вызов API, указатель на который ты затёр. Тоесть получчается примерно следующее:
JMP DWORD PTR DS:[хххххххх], где по смещению хххххххх лежат нули. Тоесть выполняется буквально следующая команда:
JMP 00000000
Соответственно это и вызывает ошибку. А вообще тут пока ничего точно нельзя сказать без дампа

-----
Research For Food

| Сообщение посчитали полезным:

Скрипт от Volx не понял как заюзать.
Скрипт сам делает дамп проги с названием de_имя проги. Вот к этому дампу нужно прикрутить импорт, инфу для imprec-а скрипт пишет в окно лога ольки.

| Сообщение посчитали полезным:

Konstantin
Получилось создать дамп скриптом. Восстановил импорт ImpRec'ом. Прога не запускается.

| Сообщение посчитали полезным:

angelofdistress пишет:
Получилось создать дамп скриптом. Восстановил импорт ImpRec'ом. Прога не запускается.

не ленись БОЛЬШЕ инфы давать!

-----
EnJoy!

| Сообщение посчитали полезным:

angelofdistress
Нормально скрипт распаковывает. Прежде чем прикручивать импорт в импреке нужно нажать show Invalid, а потом удалить выделеный не распознаный импорт, т. к. эти функции - апи аспра. Скрипт их сам пофиксил.
Распакованный файл rapidshare.com/files/223949540/dadbapp.rar

| Сообщение посчитали полезным:

Konstantin
Хммм... Оригинально! Спасибо за распаковку. А каким скриптом распаковано? Мой 1.15E от Volx на выходе дал метровый файл. Да еще, видимо, моя ошибка была в том, что я вместо того, чтобы удалить инвалидные записи, их правил.

| Сообщение посчитали полезным:

А каким скриптом распаковано?
У меня этот же скрипт.
на выходе дал метровый файл
я конечно же файл оптимизировал, отрезал не нужные секции и т. д. поэтому мой меньше

| Сообщение посчитали полезным:

Konstantin
Все равно, как об стенку. Распаковываю скриптом, запускаю оригинальный файл, открываю этот процесс в ImpRec, ввожу OEP, RVA и Size на основе данных, которые скрипт записал в лог. Нажимаю GetImports, удаляю инвалидные записи. Все остальные настройки оставляю по дефолту. Нажимаю Fix Dump, выбираю распакованный скриптом файл. И он ни фига не запускается. Просто тишина и все. В чем проблема-то может быть? Если то же самое сделать с файлом, распакованным стриппером, то Unhandled Exception. В ImpRec стоит галка на Add new section.

ImpRec в лог пишет: New section added successfully. RVA:000E100 SIZE:00002000 Image Import Descriptor size:F0 Total length:12A4

Скрипт у всех. по идее, работает одинаково. Значит косячить я могу только в восстановлении импорта. Ну и лишние секции я не знаю, какие удалять.

| Сообщение посчитали полезным:

вот такие у меня настройки импрека

так удаляем не распознаный импорт


| Сообщение посчитали полезным:

ЭЭЭЭЭЭЭ, только сейчас заметил:
Распаковываю скриптом, запускаю оригинальный
Распаковал скриптом, а зачем файл оригиналный запускать после? Когда скрипт в оле отработал ты будеш находиться на OEP проги. Стоя на OEP в оле аттачся сразу импреком к запущеному под отладчиком процессу. Там скрипт испорченный импорт пофиксил как надо.
Ну и лишние секции я не знаю, какие удалять.
Нужен тебе этот гимор по оптимизации если нет опыта? Просто так ты лишние секции не удалишь. Их надо удалять до прикручивания импорта, так же необходимо восстанавить ресурсы в одну секцию, т. к. часть ресуров украдено аспром в свои секции.

| Сообщение посчитали полезным:

Не понимаю я людей, которые начинают спрашивать, что не так в распакованном файле. Ну сравни с упакованным да погляди, что не так. А если при этом не выкладывают ещё и свой дамп-это вообще абзац, экстрасенсы в отпуске.

| Сообщение посчитали полезным:

angelofdistress пишет:
Значит косячить я могу только в восстановлении импорта
Не косяк в дампе. Сними дамп OllyDump без Rebuild Import или с помощью PeTools, востанови импорт и все заработает!

| Сообщение посчитали полезным:

angelofdistress

Посмотри на мои статьи по распаковке Asprotect в топике http://www.exelab.ru/f/action=vthread&topic=11596&forum=1& page=-1
Я постарался довольно подробно описать процесс распаковки программ, упакованных этим пакером, и приложил комплект скриптов, который помогает в распаковке программ. Думаю, что это будет для тебя полезным.

| Сообщение посчитали полезным:

angelofdistress а чего сайт то в дауне ? ... не качает ничего.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: