Распаковка exe, упакованного ASProtect 1.4

Сейчас на форуме: (+6 невидимых)

Посл.ответ	Сообщение
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 28 августа 2010 13:52 · Личное сообщение · #1 Доброго времени суток! Прошу отнестись к вопросу не слишком строго - до этого программировал исключительно под .NET. Встала задача "разобраться" с одним ПО, исполнимый модуль которого, как предусмотрительно предупредила меня OllyDbg, оказался запакован. Бегло почитав интернет, скачал ProtectionID v6.4.0. Его вердикт - exe защищен ASProtect 1.4. Скачал свежие (03.06.2010 г.) скрипты к Оле, написанные или доработанные vnekrilov'ым; чуть позже скачал мануал того же автора (за все это море благодарности). Узнал OEP, запустил скрипт Recovery IAT and calls of APIs.osc, сознался что работаю без регистрационного ключа и получил ошибку: "OEP/SBOEP: программа не остановилась на инструкции 'retn'!". Заранее благодарен за помощь.

Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 28 августа 2010 15:32 · Личное сообщение · #2 Точно версию определили? ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 28 августа 2010 16:01 · Личное сообщение · #3 protection_id: ASProtect v1.40 Build 04.01 DiE 0.64: ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov. Stud_Pe 2.6.0.5: ASProtect 1.2x [New Strain] -> Alexey Solodovnikov PEID 0.95: ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *, правда VerA 0.13 считает, что "Error, may be it's not ASProtect!"
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 28 августа 2010 16:42 · Личное сообщение · #4 Для аспра старше 1.23 лучше использовать asprinf. Точность 100%
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 28 августа 2010 16:45 · Личное сообщение · #5 Ссылку на программу давай, что бы не заниматься гаданием чем помочь. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 01 сентября 2010 11:21 · Личное сообщение · #6 ASPrINF определил версию 1.4 build 04.01 Beta. Проблему, описанную выше, решил распаковкой версии с известным ключом. Теперь возникла другая проблема, на шаге "Подготовка файла dumped.exe к его сборке" при корректировке адреса TLS Directory. Дело в том, что бинарный поиск по вкладке Memory Map находит два адреса: 001429D8 (owner и секция на вкладке Memory Map не заполнены), а второй из секции .data. ImageBase: 00400000. Правильно ли я понимаю, что оригинальная программа не имеет TLS Direcotry?
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 сентября 2010 12:10 · Личное сообщение · #7 yoyoseek пишет: Правильно ли я понимаю, что оригинальная программа не имеет TLS Direcotry? Нет неправильно оригинальна прога написана на делфях,поэтому tls для неё обезателен. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 01 сентября 2010 12:54 · Личное сообщение · #8 Действительно, DiE 0.64 определяет компилятор "Borland Delphi \| Object Pascal". А как, если не секрет, Вы определили делфи? И какой же адрес тогда у TLS, отрицательный (001429D8 - 00400000)? ;)
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 сентября 2010 13:17 · Личное сообщение · #9 yoyoseekПочитай маны по pe формату,возь файл не упакованный (скомпелированный на делфях) и вопросы сами у тебя отпадут. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 04 сентября 2010 12:51 · Личное сообщение · #10 Не выходит каменная чаша... Все также сижу на шаге "сборка распакованного файла": не могу определить адрес TLS. Делаю все как в мане: "Для этого загружаем упакованную программу в OllyDbg, и переходим в окне DUMP на адрес хххххххх, где находятся данные Base Relocation Table (а рядом с этими данными находятся данные TLS Directory):" и "с помощью функции бинарного поиска отладчика ищем данные TLS Directory, и находим их по адресу хххххххх:". Не нахожу я адрес данных TLS в памяти исследуемого модуля ВНЕ секции .data. Проделал тоже самое с LanAgent.exe - адрес данных TLS находится. Что я делаю не так? Или это означает, что ошибка допущена на предыдущих шагах?
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 04 сентября 2010 13:14 · Личное сообщение · #11 вопрос снимается - я творил ерунду. TLS адрес найден.
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 07 сентября 2010 13:21 · Личное сообщение · #12 Вроде как распаковал программу. Правда ollydbg при анализе выдает сообщение об ошибке: "Unable to read memory of debugged process (0044E000..00452047)". 0044E000 - это RVA секции ресурсов, которые были восстановлены с помощью Resource Builder v3.1.5. Это нормально?
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 07 сентября 2010 20:52 · Личное сообщение · #13 Обрати внимание на кнопку Правка - она позволяет не плодить подряд посты. 0044E000 - это RVA секции ресурсов "старых" ресурсов или "новых"? ----- EnJoy!
yoyoseek Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 08 сентября 2010 10:08 · Личное сообщение · #14 Jupiter пишет: 0044E000 - это RVA секции ресурсов "старых" ресурсов или "новых"? Это RVA "новых" ресурсов

Для печати