| Сейчас на форуме: asfa, bartolomeo (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Помогите распаковать |
| Посл.ответ | Сообщение |
|
|
Создано: 11 июня 2011 14:09 · Поправил: Dezmand · Личное сообщение · #1 Есть программа,запакована ASPack 2.12 -> Alexey Solodovnikov Что пробовал: AspackDie ASPack full reconstruct - останавливаеться на выполнении Trace [ 5,08] Load file BBot5.4.exe... [ ok ] [ ---- ] Header info: ImageBase: 00400000, EP: 0025E001 [ 69,36] Start debug session... [ ok ] [ ---- ] PID: 000009E0 [122,52] Wait EP... [ ok ] [ ---- ] Real ImageBase: 00400000 [ ---- ] Trace... Несколько вариантов ручной распаковки с помощью Ollydbg,подскажите чем еще можно распаковать. прога http://zalil.ru/31239759 (800 кб)  |
|
|
Создано: 11 июня 2011 14:22 · Личное сообщение · #2 Dezmand >> << (распаковать распаковал а запускать не запускал - боты зло =) ----- Don_t hate the cracker - hate the code. | Сообщение посчитали полезным: Dezmand |
|
|
Создано: 11 июня 2011 14:38 · Личное сообщение · #3 Dezmand P.S. mysterio почему у тебя распакованный файл в 2 раза больше моего? 
----- aLL rIGHTS rEVERSED! | Сообщение посчитали полезным: Dezmand |
|
|
Создано: 11 июня 2011 14:39 · Поправил: Dezmand · Личное сообщение · #4 mysterio пишет: Dezmand>> Пробуй << (распаковать распаковал а запускать не запускал - боты зло =) Запустился,спасибо) Если не секрет чем распаковал? OnLyOnE пишет: P.S. mysterio почему у тебя распакованный файл в 2 раза больше моего? У меня при нектрых распаковках в итоге тоже толстый файл был,но он крашился при запуске |
|
|
Создано: 11 июня 2011 14:40 · Поправил: mysterio · Личное сообщение · #5 OnLyOnE А почему бы и нет (не было оптимизации ресурсов + их в архиве 2 =) Dezmand Ооооооо такого эксклюзивного анпакера нет ни укого (точнее он у каждого уникален) - "ручками" ;) ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 11 июня 2011 14:40 · Личное сообщение · #6 Dezmand пишет: Если не секрет чем распаковал Руками... даже секции пакера не порезал
----- aLL rIGHTS rEVERSED! |
|
|
Создано: 11 июня 2011 14:41 · Поправил: OnLyOnE · Личное сообщение · #7 mysterio пишет: А почему бы и нет (не было оптимизации ресурсов + их в архиве 2 =) Секции пакера почему не порезал? Импорт в секцию импорта не засунул... ----- aLL rIGHTS rEVERSED! |
|
|
Создано: 11 июня 2011 14:44 · Личное сообщение · #8 OnLyOnE Ему и так сойдет  А не захочет есть твой Тут и так жара еще лишние телодвижения делать =) ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 11 июня 2011 14:46 · Личное сообщение · #9 Есть где нибудь мануалы конкретно под мой случай почитать? а то долбился всю ночь с распаковкой,перечитал кучу всего а тут распаковали сразу,даже стыдно как то ) |
|
|
Создано: 11 июня 2011 15:02 · Поправил: mysterio · Личное сообщение · #10 Dezmand Там есть все кроме урезания секций, оптимизации ресурсов и т.д. - вобщем как получить распакованый рабочий файл (но без оптимизации. Это работает где-то в 98-99% случаев, остальные 1-2% - это частные случаи ;) ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 11 июня 2011 15:04 · Личное сообщение · #11 mysterio,OnLyOnE Спасибо большое за помощь) пойду разбираться. |
|
|
Создано: 11 июня 2011 15:39 · Личное сообщение · #12 Да почти в большинстве пакеров/протов выход на OEP осуществляется по hr esp-4, либо почти сразу за выходом из VirtualFree. Только в более менее серьезных что-нибудь интересное. |
|
|
Создано: 11 июня 2011 16:49 · Личное сообщение · #13 Veliant пишет: Да почти в большинстве пакеров/протов выход на OEP осуществляется по hr esp-4, Пробовал,но что то не то выходило |
|
|
Создано: 11 июня 2011 17:41 · Личное сообщение · #14 В программе видно по секциям, что она написана на Delphi, для нее есть несколько универсальных способов выпасть рядом с оеп. Хотя тут какой-то не стандартнный упаковщик, вроде и аспак, но с какими-то примисями анти-отладки. |
|
|
Создано: 11 июня 2011 17:52 · Личное сообщение · #15 Пробовал,но что то не то выходило Всё, что на это можно сказать-это пробуй дальше. Если хочешь ответов конструктивных, надо давать больше информации, что конкретно сделал, что ожидал, что не вышло, листинги, скрины. |
|
|
Создано: 11 июня 2011 18:26 · Поправил: Veliant · Личное сообщение · #16 Dezmand пишет: Пробовал,но что то не то выходило Ставиш бряк, Shift+f9. Приземляешься здесь Code:
Что является самым обычным выходом на OEP в AsPack. Жмешь F7 пока не дойдешь до второго RET.. Еще один клац и ты на OEP. Надеюсь ты не под VirtualBox проводил эксперименты - там хардварные бряки напрочь отсутствуют, хоть и показывает что выставляются Как альтернативный метод - загружаешь в олю и производишь в коде поиск байт Ctrl+B 68 00 00 00 00 C3. Это выведет тебя сразу на второй RET. Т.к. до выполнения распаковки там push 0/ret. Можно ставить обычный бряк по f2 и отпускать Vovan666 пишет: примисями анти-отладки Что-то не приметил я их даже на чистой ольке | Сообщение посчитали полезным: Dezmand, hlmadip |
|
|
Создано: 11 июня 2011 18:33 · Личное сообщение · #17 Dezmand пишет: пойду разбираться А что именно требуется от этого бота? Какие-то ограничения есть? ----- aLL rIGHTS rEVERSED! |
|
|
Создано: 11 июня 2011 18:39 · Личное сообщение · #18 Veliant пишет: Vovan666 пишет: примисями анти-отладки Что-то не приметил я их даже на чистой ольке Сейчас уже не вспомню, но это не стандартный аспак, что-то там такое есть, ни Abstersiver(PE_KILL),ни QU не взяли. |
|
|
Создано: 11 июня 2011 19:29 · Поправил: Dezmand · Личное сообщение · #19 OnLyOnE пишет: А что именно требуется от этого бота?Какие-то ограничения есть? Ограничение по времени и проверка обновлений с сайта,с этим уже разобрался Проблема только с распаковкой была |
|
|
Создано: 12 июня 2011 02:46 · Личное сообщение · #20 Veliant пишет: Надеюсь ты не под VirtualBox проводил эксперименты - там хардварные бряки напрочь отсутствуют, хоть и показывает что выставляются Просто у вас процессор неподдерживает VT-x/AMD-V , без них бряки работать небудут. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 12 июня 2011 13:26 · Личное сообщение · #21 уже не важно поддерживает процессор VT-x/AMD-V, теперь работает на любых, поправили они это |
|
|
Создано: 13 июня 2011 11:17 · Личное сообщение · #22 Неправда, скачал сегодня VirtualBox 4.0.8, хардварные бряки так и не работают, увы...  Процессор - Intel(R) Core(TM)2 Duo CPU T5250 1.50GHz |
|
|
Создано: 22 марта 2012 20:44 · Личное сообщение · #23 Всем привет. Сразу скажу:"На даты смотрел". Но имея всего один вопрос и чтобы не создавать новую тему по распаковке ASPack 2.12, задам его тут. Точнее вопрос не совсем по распаковке, сколько по скрипту олькиному. Имею прогу упакованную ASPack 2.12, гружу в олю и запускаю скрипт Code:
Скрипт прекрасно ищет точку входа. Решил руками проделать, то что делает скрипт. В OllyDBG_Script_Manual читаю eob Break - Передача выполнения программы на некоторую метку label, на следующей breakpoint. затем ищется в коде команда popad и на неё ставится железный бряк. Затем запускается прога на выполнение (F9) затем снимается железный бряк и F7,F8,F8,F8 Так вот вопрос. Подскажите как же так скрипт работает, если он передаёт управление на метку Break, минуя тем самым поиск popad и установку на неё железного бряка. |
|
|
Создано: 22 марта 2012 21:18 · Личное сообщение · #24 Передаёт при срабатывании, невнимательно читали вы справку. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 22 марта 2012 21:29 · Поправил: cosinus · Личное сообщение · #25 Всё понял. Спасибо. Внимательнее вчитался в справку. 
|
|
eXeL@B —› Вопросы новичков —› Помогите распаковать |
Для печати