 |
eXeL@B —› Вопросы новичков —› Помогите с Asprotect |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 22 октября 2009 18:53 · Поправил: VladOnline · Личное сообщение · #1 Здравствуйте господа хакеры! Раньше никогда не занимался распаковкой программ. Но вот время настало. Программа очень нужная. Но выкладывать не буду, хочется разобраться самому. Запакована Asprotect. PiD показывает [!] ASProtect v1.40 Build 11.20 detected !, а PEiD показал ASProtect 1.2x - 1.3x [Registered] -> Alexey... Пользую Олли. Перечитал кучу статей, но что то пока результат не очень. Пробовал распаковщики, ни один не справился. Пробовал скрипты под олли, те вобще зависают на ret. Подскажите как найти OEP, каковы его признаки?? Ставил бряк на esp-4, но после второго срабатывания программа завершается некоректно. Помогите добрым советом, спасибо!  |
|
|
Создано: 30 октября 2009 20:24 · Личное сообщение · #2 Похоже какие то динамические адреса меняются, которые аспр сам определял, а в распакованую dll они записаны статически. Я правильно понимаю??? |
|
|
Создано: 30 октября 2009 22:20 · Личное сообщение · #3 Возможно, релокации забыл, почитай про них и программу Relox. |
|
|
Создано: 31 октября 2009 12:22 · Поправил: VladOnline · Личное сообщение · #4 Я не забыл, я про них вобще не знал) А не мог бы ссылочку дать??? Чет на форуме и в статьях на эту тему не густо.. |
|
|
Создано: 31 октября 2009 16:12 · Личное сообщение · #5 VladOnline пишет: Я не забыл, я про них вобще не знал) А не мог бы ссылочку дать??? Чет на форуме и в статьях на эту тему не густо.. При распаковке длл в логе скрипта будут адрес и размер релоков, после распаковки надо вбить эти значения в распакованую длл любым пе-редактором. |
|
|
Создано: 31 октября 2009 17:41 · Поправил: VladOnline · Личное сообщение · #6 В распакованую ДЛЛ адреса релоков уже были вбиты, причем правильные как в логе скрипта. Но всеравно нифига не работает. Ааа, что с ней сделать??? |
|
|
Создано: 04 ноября 2009 14:19 · Поправил: Valemox · Личное сообщение · #7 VladOnline пишет: Блин, хоть бы кто нибудь подсказал... хз у мну распаканая либа воркает тока прога валитЦо без отладчика. Йа писал уже, чо падает на вызове maralib.Func_GSND и если этот вызов занопить то прога робит и не падает даже без отладчика (это нопим). 004B6F2E PUSH EAX 004B6F2F CALL 004B6E20 ;JMP to maralib.Func_GSND ЗЫ. Дальше ковырять не стал т.к. чота нестоит на нее... |
|
|
Создано: 05 ноября 2009 10:55 · Личное сообщение · #8 Распакованая прога работает хреново... Вылетает периодически, ошибки выдает. Короче пришла в голову такая мысль, а что если патчить еще запакованую библу??? В библе есть экспортированная функция Func_VA там в самом ее конце есть команда 00832F68 (ну этот адрес само собой меняется каждый раз) . 8A45 FF MOV AL,BYTE PTR SS:[EBP-1] - вот ее мне надо поменять на че нибудь типа xor EAX,EAX =) Вот правда теперь задача, как найти место где аспр записывает эту инструкцию??? |
|
|
Создано: 05 ноября 2009 14:53 · Личное сообщение · #9 Блин чет совсем запутался... Ставил бряки на VirtualAlloc. Он там создает кучу областей памяти. Где инструкцию пишет нашел, но он это делает тоже из созданой области памяти. Адреса все время разные. Кто в аспре разбирается помогите пожалуста! |
| << . 1 . 2 . |
|
eXeL@B —› Вопросы новичков —› Помогите с Asprotect |
Для печати