Здравствуйте уважаемые участники форума, уже давно при использовании платных программ использовал метод изменения времени в реестре и LSA разделе. Это как вы знаете не убирает никаких защит, а просто избавляет от последствий, но метод просто говоря тупой(
Заинтересовался распаковкой программ и изменением самого кода. Для примера взял игру от Алавар (сразу прошу не ругаться, я знаю миллион статей написано, миллион методов есть, но читайте далее) просто для того чтобы самому пройти все этапы указанные в статьях на эту тему. Самую первую статью с использованием SoftIce и PEtools я вроде бы понял (ну алгоритм точно понял))) Промучился весь день с SoftIce но все же поставил, и приступил к самой работе. Установил защиту с помощью Peid. Оказалась ASpack 1.2.X -->1.3.X. Далее запустил Petools выбрал злосчастный Break & Enter и приступил) Открыл SoftIce сделал все как в статье (Делаем как нам говорят: ставим брейкпоинт "bpint 3", после чего кликаем Ok по табличке. Брейкпоинт тут же срабатывает, и мы восстанавливаем первый байт командой "e eip 60" в софтайсе. Теперь удаляем старый брейкпоинт: "bc *" и ставим новый: "bpm esp-4". Почему так я уже объяснял. Кстати, вы видите, что и код распаковщика ASPack'a тоже начинается с команды pushad. Логично предположить, что заканчиваться он будет противоположной командой - popad. Что ж, увидим. А сейчас, после того, как брейкпоинт "bpm esp-4" установлен, жмем F5 и) и... ошибка приложения (стандартная в виндоусе т.е. отправлять не отправлять отсчет) Я уже пришел к выводу что там мега защита))) Но вот только даже без SoftIce что не возьмешь в Break & Enter то дает ошибку! Любое приложение! Абсолютно))))) Что за???? И вот стою я в тупике и не знаю что делать((((((

| Сообщение посчитали полезным:

Sandro331k
Статьи то написаны, но видать Вы их в глаза не видели ибо на Алаваре всегда был ASProtect.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: Sandro331k

Я делал всё по инструкции, поверев Peid...( Значит Asprotect... Понятно( А Ошибка что вылетает? Это работа защиты? А Почему любое приложение вылетает, а не запускается?

| Сообщение посчитали полезным:

Ёмоё(((( блин... Вы правы( Asprotect, чем я только смотрел(

| Сообщение посчитали полезным:

Тааак, скачал статью, Тут используется Olly но да ладно. Действую по инструкции, первое нажатие <Shift> + <F9> и получаю окно под названием Protect Error и Debugger detected(((( Вот и всё( Это я уже видел когда пытался сделать через Olly в начале))))

| Сообщение посчитали полезным:

Sandro331k
Для скрытия отладчика нужно использовать плагин Phantom или StrongOD

P.S. А софтайс лучше удалить вообще,что бы на него не кидались

| Сообщение посчитали полезным:

А с SoftIce мне продолжать или лучше начинать на Olly? Для SI есть какие то варианты по скрытию?

| Сообщение посчитали полезным:

Sandro331k пишет:
Для SI есть какие то варианты по скрытию?

Есть, но софтайс сложный и неудобный в использовании для начального изучения реверса. Его используют в основном при отладке драйверов и прочего низкоуровневого.

Настоятельно рекомендую пользоваться OllyDbg 1.10

| Сообщение посчитали полезным:

Отлично))) Зато как весело было ставить SI))) Ладно буду стараться. Спасибо за помощь!

| Сообщение посчитали полезным:

Поищите топик про алавар здесь на форуме. Там ASProtect даже трогать не надо чтобы отломать.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Да дело тут совсем в другом. Можно и с айсом распаковать. А брейк+ентер нормально работает, так и должно быть. Дело в том, что Break & Enter лепит опкод СС на ЕР программы, и выполнение продолжается. Т.к. айс не перехватывает эту исключительную ситуацию, а дефолтовый обработчик не знает, что с ним делать - вот и появляется то самое окно про отчёт об ошибке. Если вы твёрдо решили юзать айс, то есть там команда, позволяющая узнать, будут ли перехватываться иксепшены, вызванные опкодом СС из третьего кольца. Вот только не могу вспомнить её название, может, кто подскажет?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Но я же все делал как написано? Ошибки же по идее быть не должно?

| Сообщение посчитали полезным:

Я не хочу сломать именно Алавар! я просто начал учиться распаковывать программы, и начал с безобидной игры))) Понимаю что по моему это пока чуть не по зубам... многого не понимаю( Но раз начал то хотелось бы знать почему не получается)

| Сообщение посчитали полезным:

Тогда начни с UPX, потом ASPack (не ASProtect) и так по нарастающей.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Пользуйся кнопкой "Правка", не создавай сообщения подряд.

| Сообщение посчитали полезным:

Вот только не могу вспомнить её название, может, кто подскажет?
INT3HERE

| Сообщение посчитали полезным: ARCHANGEL, Isaev, Sandro331k

Доброго времени, уважаемые форумчане. Решил распаковать протектор ASProtect 2.1x SKE -> Alexey Solodovnikov(Peid 0.95) программы, в ручной распаковке не силен, поэтому решил воспользоваться скриптом ASProtect 1.3x - 2.xx Unpacker v1.15E. для OllyDbg. Протектор распаковал, далее сделал: Petools - Full dump. В ImpRec восстановил секцию импорта и в результате полученный файл не открылся и было выдано сообщение,что память не может быть "written". Уважаемые форумчане, подскажите в чем причина? Сделал копию листинга полученного файла.

635c_14.09.2011_EXELAB.rU.tgz - сopy.rar

| Сообщение посчитали полезным:

Херню какую то приложил. Вот попробуй распаковщик http://exelab.ru/f/action=vthread&forum=13&topic=18361&page=-1

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Скрипт сам делает дамп, остается лишь разобраться с импортом и поправить точку входа.

| Сообщение посчитали полезным:

Он даже не понимает что приатачил какие ему импорты и точки входа?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Прошу прощение за дилетанство, буду учиться и не задавать глупых вопросов.

| Сообщение посчитали полезным:

Или пользуйте тулзу, которую подсказал PE_Kill (пользуясь случаем выражаю большой респект ему) или пробуйте по видеоинструкции - http://rapidshare.com/files/110014018/Unpacking.ASProtect.SKE.v2.XX.with.MagicScript.by.VolX.zip

| Сообщение посчитали полезным:

PE_Kill, Dart Raiden , благодарю за помощь и совет. Прога от PE_Kill мигом снесла протектор и видеотуториал отличный, кое-что становится понятным, по скрипту от Volx все получилось:
http://i32.fastpic.ru/big/2011/0916/04/0b40499062c7202953e9598d87242504.jpg
после распаковки прогой от PE_Kill:
http://i29.fastpic.ru/big/2011/0917/0c/f1412f60f58483c2e5a06abdbcb7910c.jpg
Просто у меня большое желание научится исследовать программы, что ж будем читать статьи и туторы, их на сайте предостаточно.

| Сообщение посчитали полезным:

Всем доброго времени. Исследую прогу упакованнную ASProtect 2.1x SKE -> Alexey Solodovnikov, при использовании скрипта от Volx Ollydbg 1.10 выдала сообщение: "No sloten code, check IAT data in log window". Нет краденного кода, проверить IAT в логе window, что надо делать дальше? Ответьте пожалуйста.

| Сообщение посчитали полезным:

Хочешь научиться анпакать? Читай статьи.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

vlaten
--> ответ1 <--
--> ответ2 <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Дальше надо открыть видеоинструкцию и внимательно ее смотреть. Там, по-моему, все показано максимально ясно.

| Сообщение посчитали полезным:

ClockMan, благодарю за подсказку, особенно за туторы от vnekrilov. Статей на эту тему в портале очень много и начинающему разобраться в этих дебрях сложновато.

| Сообщение посчитали полезным: