"ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov" как эту гадость снять???

Сейчас на форуме: asfa, _MBK_ (+7 невидимых)

Посл.ответ	Сообщение
Good_Fry Ранг: 2.2 (гость) Активность: 0=0 Статус: Участник	Создано: 15 сентября 2009 22:34 · Личное сообщение · #1 Пытаюсь бот сломать, но не прошел дальше снятия пакера, PEiD показывает ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov. Мои действия: QUnpack 2.1 - результата не дал, точку входа вродь находит, но распаковать не может. Пробовал аттачиться - результат похож. Далее пробовал AsprStripperXP v1.35, stripper 2.07, ничего не помогает. Потом пытался скриптами в Ольге, не один из шести нужных не смог победить протектор, есть подозрение что PEiD показывает не то что надо. Вопрос: чем эту гадость победить? и если можно кратко объяснить как снимается пакер в Ольге вручную, не совсем разобрался, заранее спасибо. подопытная программа: _http://vpbot.travianbot.com/1.rar размер: 1,5 мб

Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 16 сентября 2009 01:01 · Личное сообщение · #2 Корректная версия аспра твоей подопытной программы: За статьями по снятию аспра и скриптами от vnekrilov-a cюда: http://www.exelab.ru/f/action=vthread&forum=1&topic=11596 http://www.exelab.ru/rar/ Скрипт от Volx можно взять здесь: http://www.tuts4you.com/request.php?2658
Good_Fry Ранг: 2.2 (гость) Активность: 0=0 Статус: Участник	Создано: 25 сентября 2009 23:36 · Личное сообщение · #3 спасибо Konstantin, полезно, почитал несколько статей, пытался снять, но не выходит, то ImportREC не находит IAT, то комп ребутится) Может кто-то снять протектор и выложить распакованый? (если возможно описать процесс, хотелось бы именно с этим файлом разобраться) Зарание спасибо
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 26 сентября 2009 04:28 · Личное сообщение · #4 Good_Fry пишет: Может кто-то снять протектор и выложить распакованый? вообще-то с такой постановкой вопроса, тебе либо сюда, либо сюда... вот распакованый файл http://www.multiupload.com/0EB934CSFQ
DSA Ранг: 3.4 (гость) Активность: 0=0 Статус: Участник	Создано: 29 сентября 2009 11:29 · Личное сообщение · #5 Аналочичная стиуация. Есть прога "Инвентаризация Компьютеров" с сайта www.10-strike.com/rus/ Протектор PiED 0.95 дает ""ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov"" ASPrINF.1.6.beta дает какой-то непонятную кодировку "[10-Ñòðàéê: Èíâåíòàðèçàöèÿ Êîìïüþòåðîâ], [3.1], [1.5 build 04.01 Release], [Ñòåïàíîâ Äìèòðèé]." Версия 1.5 ? Правильно понял? Стриппер OEP не ловит. В ODBG никаких ошибок не вываливается (галки игнорирования исключений сняты). Никак не отловлю прыжок OEP для снятия дампа. Попытка автоматической трассировки с условием "стоп при прыжке в сегмент кода" - после часа ожидания терпение кончилось. По всем признакам - запакованная программа на Delphi. У кого мысли какие есть? Как отловит прыжок на OEP? Попытка курить мануалы ничего не дала. Описанные там методы не прокатывают.
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 29 сентября 2009 13:53 · Личное сообщение · #6 DSA link_deleted_by_forum_engine/files/issx77bru ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
DSA Ранг: 3.4 (гость) Активность: 0=0 Статус: Участник	Создано: 29 сентября 2009 14:30 · Личное сообщение · #7 Спасибо конечно. Но дело в том, что у меня операционка Win 7. А на ней стрипперы и проги с аналогичном механизмом работы не функционируют по нормальному. Да согласен ... хреново. Но Выбор операционки определяет мой работодатель и повлиять на него я не могу. Но ODBG работает, и хотел ручками снять протектор. Дабы версии выходят часто. Не бегать -же на форум за этим ... P.S.: Где-то видел статьи, как поставить бряк, что-бы вывалится в районе OEP запакованной Дельфи проги. Полдня поиском шелестел - не смог найти
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 29 сентября 2009 21:37 · Личное сообщение · #8 DSA пишет: бряк, что-бы вывалится в районе OEP запакованной Дельфи проги GetModuleHandleA
Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 30 сентября 2009 18:27 · Поправил: Konstantin · Личное сообщение · #9 DSA пишет: Как отловит прыжок на OEP? Попытка курить мануалы ничего не дала. Описанные там методы не прокатывают. Интересно, что ты курил вместе с мануалами? Берем 1-ую часть цикла статей vnekrilov-a. Читаем, начиная с заголовка "2. ПОИСК OEP". API GetSystemTime из kernel32.dll, и вызов этой API можно использовать для остановки программы в области кода Asprotect.dll Делаем все по статье, HW бряк на API GetSystemTime, далее запускаем прогу shift+F9 -> в стеке - область кода Asprotect.dll, переходим на этот адрес в окне кода. имеются некоторые волшебные точки, одинаковые для всех версий Asprotect.dll, и которые можно использовать для поиска OEP или SBOEP программы. Ищем эту точку по сигнатурам(Ctrl-B) как в статье, сначала по сигне "C600E1" затем "A1????????894?" При поиске по сигнатурам не забываем следующее: Обратите внимание на то, что при поиске этих двух инструкций, необходимо снять флажок с опции “Весь блок”. Найдем следующий адрес, у меня это 980E51. Code: 00980E4C E8 4F88FFFF CALL 009796A0 00980E51 A1 44049900 MOV EAX,DWORD PTR DS:[990444] 00980E56 8945 D4 MOV DWORD PTR SS:[EBP-2C],EAX Cтавим HW бряк на этот адрес, запускаем прогу - shift+F9, смотрим что находится по адресу 990444, далее цитирую vnekrilov-a: это очень интересный адрес. В нем записан адрес SBOEP программы (если пакер своровал часть кода из OEP программы), и в этом адресе записаны 00000000, если разработчик программы не защитил OEP своей программы. В нашем случае там - 00000000, значит OEP программы не защищена. Чтобы перейти на него ставим memory breakpoint на область кода программы и жмем shift+F9. Все, мы на OEP - 7475F8. P.S. Распаковывал версию 3.2r сабжа.

Для печати