Имеется burnaware.dll, упакованная, как сообщил PEiD, ASPack 2.12.
Загружаю в Olly, запускаю скрипт Aspr2.xx_unpacker_v1.15E.osc. Пошуршав немного, скрипт выдаёт наг: unknown Asprotect API.
Что надо предпринять в этом случае?

Доп. инфо.
Программа BurnAware Pro 4.7 http://burnaware.com
burnaware.dll здесь: http://rghost.ru/37313649

| Сообщение посчитали полезным:

Chris пишет:
ASPack
Chris пишет:
Aspr
почувствуй разницу

_______________________________________



| Сообщение посчитали полезным: Chris

Chris
ASPack != AsProtect
есть много других путей анпака
найдите статьи В. Некрылова (vnekrilov) тут на форуме и работайте

| Сообщение посчитали полезным:

http://exelab.ru/art/?action=view&id=171
http://exelab.ru/art/?action=view&id=156
http://exelab.ru/art/?action=view&id=26
http://exelab.ru/art/?action=view&id=172

https://ssl.exelab.ru/rar/dl/CRACKLAB.rU_10.rar
https://ssl.exelab.ru/f/action=vthread&forum=13&topic=4262

| Сообщение посчитали полезным:

Все-таки там не AsPack, а ASProtect
[2.59 build 12.08]

Распаковывать руками (познавательнее) или попробовать DecomAs (быстрее)
Скрипт VolX'a уже не работает на свежих версиях аспра.

| Сообщение посчитали полезным: Chris

Dart Raiden пишет:
Все-таки там не AsPack, а ASProtect
Вчера (до создания этого поста) я пробовал DecomAS, он отработал довольно странно: выдал наг с ошибкой, но всё-таки создал вариант burnaware_u.dll. Созданный вариант в проге не работает. Наг гласил: Detected unsupported VM engine in ASProtect DLL! Please send this file to PE_Kill@mail.ru, что и было сделано: отправил оба файла.
Ответа от автора пока нет.

| Сообщение посчитали полезным:

Chris пишет:
Наг гласил: Detected unsupported VM engine in ASProtect DLL!
Ответ автора - --> Link1 <-- --> Link2 <--

Chris пишет:
Созданный вариант в проге не работает.
Dll распакована, но это не обязывает её быть работоспособной. Напильник в руки и вперёд.

| Сообщение посчитали полезным: Chris

Konstantin пишет:
Напильник в руки и вперёд.

Основная методика? Как определить места, которые надо подтачивать? С распакованной dll прога не запускается.

| Сообщение посчитали полезным:

Берёшь оригинал упакованный, который работает нормально. Берёшь распакованный, который работает плохо. Сравниваешь различия под отладчиком, почему не работает второе. Исправляешь. Профит?!

| Сообщение посчитали полезным:

Chris пишет:
С распакованной dll прога не запускается.

Файл BurnAware.exe проверяет размер burnaware.dll на адресе 004F6C5D. Естественно, что распакованная DLL не пройдет эту проверку. Возможно, что имеются и другие места проверки. Я не смотрел. В аттаче я прикладываю мою статью по распаковке DLL, упакованной Asprotect. Прочитай ее, она будет полезной. Распаковывается эта DLL моими скриптами, которые ты можешь скачать с http://exelab.ru/f/action=vthread&forum=13&topic=11596&page=36#2 Там имеется и полный комплект статей по ручной распаковке Asprotect.

209a_31.03.2012_EXELAB.rU.tgz - Распаковка Asprotect (часть 14, выпуск 2).chm

| Сообщение посчитали полезным: Dart Raiden, Chris

С распакованной dll прога не запускается.
Я делал для себя кряк для этой проги. Там во всех .exe есть проверки этой длл и не только её. Автор периодически меняет их. Что мне встречалось:

1. Проверка контрольной суммы.
2. Длины файла.
3. Наличия ключа в реестре.
4. Количества длл в папке с установленной программой.
5. Наличие сертификата.

Доку к комазу читал? С API аспра разобрался?
В последней версии есть в экспорте длл функция - Get serial. Её пользует MultiBurn.exe. В распакованной длл её тоже надо править, либо по другому эмулировать апи аспра, не так как сделано в комазе.

| Сообщение посчитали полезным:

Имея желание разобраться и внемля настоятельным требованиям гуру, делаю распаковку вручную по: "Распаковка Asprotect (часть 14, выпуск 2).chm" уважаемого vnekrilov'a.
Споткнулся на следующем шаге.
В утилите Import REConstructor v1.7 E делаю Get Imports и в результате получаю: все импортируемые API не распознаны. Перед этим вводимые значения RVA и Size перепроверял сто раз.
Где копать?

Попутно.
Не нашёл тщательно скрываемое место, откуда можно скачать PE Tools v1.5.800.2006 RC7 и PEiD v0.95 [CRACKL@B Edition] (на вкладке ресурса Скачать в перечне присутствуют, но не выложены).

Осмелюсь сделать замечание по поводу .chm. В заголовке (таблице) и в тексте фигурирует PE Tools v1.8.800.2006 RC7. Должно быть 1.5...?
В заголовке указан Import REConstructor v1.6 F. Следует, вероятно, исправить на 1.7 и разобраться с буквой: F или E?

| Сообщение посчитали полезным:

Chris пишет:
В утилите Import REConstructor v1.7 E делаю Get Imports и в результате получаю: все импортируемые API не распознаны.
Скрин выложи.

Chris пишет:
Осмелюсь сделать замечание по поводу .chm. В заголовке (таблице) и в тексте фигурирует PE Tools v1.8.800.2006 RC7. Должно быть 1.5...?В заголовке указан Import REConstructor v1.6 F. Следует, вероятно, исправить на 1.7 и разобраться с буквой: F или E?
Какая разница. Если всё работает и со старыми версиями.

Chris пишет:
Не нашёл тщательно скрываемое место, откуда можно скачать PE Tools v1.5.800.2006 RC7 и PEiD v0.95 [CRACKL@B Edition] (на вкладке ресурса Скачать в перечне присутствуют, но не выложены).
--> Link <--

| Сообщение посчитали полезным:

Konstantin
Скрин: http://www.onlinedisk.ru/view/852733
Это после нажатия кнопки Show Invalid

Konstantin пишет:
со старыми версиями.
Дело не только в старости. Версий 1.8... а также 1.7 с буквой F, по-моему, не существует в природе.

Konstantin пишет:
--> Link <--
Chris пишет:
на вкладке ресурса Скачать в перечне присутствуют, но не выложены

| Сообщение посчитали полезным:

Chris
Там есть кнопка Pick Dll, нажмите её для выбора нужной длл. Так у вас лоадер приаттачен.

Chris пишет:
Дело не только в старости. Версий 1.8... а также 1.7 с буквой F, по-моему, не существует в природе.
Ну если кто для себя правил и обозвал её так, значит существует.

ЗЫ:

А что у тебя в имреке:


IAT - Import Address Table

| Сообщение посчитали полезным:

Chris пишет:
PE Tools v1.8.800.2006 RC7. Должно быть 1.5...?

Когда я писал этот комплект статей, возможно, что где-то я допустил ошибки, как, например, в указании версии PE Tools. В этих материалах можно найти и некоторые другие ошибки, но суть не в этих ошибках (или, точнее сказать, описках). Я постарался написать материал, который мог бы стать полезным для начинающих user's в вопросах распаковки.


Konstantin пишет:
Там есть кнопка Pick Dll, нажмите её для выбора нужной длл. Так у вас лоадер приаттачен.

Эта и есть причина Вашей ошибки. Хотя на это я обращал внимание при распаковке DLL, описанной в 14 части туториала.

| Сообщение посчитали полезным:

Konstantin пишет:
Там есть кнопка Pick Dll, нажмите её для выбора нужной длл
vnekrilov пишет:
Эта и есть причина Вашей ошибки
Нажимал я эту кнопку! Сейчас ещё раз прошёл с нуля, результат 1:1.
В доказательство скрин без нажатия кнопки Pick Dll: http://www.onlinedisk.ru/view/852797

| Сообщение посчитали полезным:

Chris
В моем прошлом посте, я указал на ошибку.
RVA= E89B0
SIZE= 808

Base Relocation Table к импорту никакого отношения не имеет.

| Сообщение посчитали полезным: Chris

Konstantin пишет:
я указал на ошибку
RVA= E89B0
SIZE= 808
Понял! Спасибо большое!
Моя ошибка в том, что тупо следовал указаниям .chm. Читаю: "В окне OEP появилось значение OEP программы, и теперь вручную, пользуясь данными из журнала регистрации отладчика, вводим значения RVA и Size:" Смотрю журнал: там есть RVA и Size в единственном экземпляре, а потому их и вводил. Оказывается, вместо RVA надо было вводить то, что значится под названием "Адрес таблицы", а вместо Size то, что обозвано "Размер таблицы".

Введя правильные значения, получил это: http://www.onlinedisk.ru/view/852846
Что делать с нераспознанными функциями?

| Сообщение посчитали полезным:

Chris пишет:
Что делать с нераспознанными функциями?
Просто удалить -> Правая клавиша мыши -> Delete thunk(s).
Это апи аспротекта, есть скрипт, который их эмулирует, его нужно запустить до того как восстанавливать импорт Imprec-ом.

Учитывая, что это длл, то нужно будет вручную добавить релоки для этих четырёх проэмулированных апи аспротекта. Скрипт от Volx-а обычно это делал автоматом.

"Адрес таблицы", а вместо Size то, что обозвано "Размер таблицы"
В первую очередь нужно было обращать внимание на данные предназначенные для IAT (мы же импорт восстанавливаем).

| Сообщение посчитали полезным:

Некоторые файлы из раздела Скачать могут быть недоступны-это нормально. С сервером некоторые работы проводятся, возможно, этот раздел будет немного изменён.

| Сообщение посчитали полезным:

Инструкцию “Распаковка Asprotect (часть 14, выпуск 2).chm” до конца пройти не удалось. До середины пункта 20.5 разобраться можно. Дальше есть вопросы.

п. 20.5 начиная с фразы: “И теперь нам нужно перенести секцию импорта…” и до конца пункта – полная неразбериха в порядке действий, а также в том, когда и какой файл надо загружать в отладчик, учитывая при этом, что файл с обнулёнными RVA не загружается.
п. 20.7 Откуда берётся значение RVA Base Relocation Table?
п. 20.8 Чей скрин после фразы: “Теперь можно прикрутить полученный дамп секции ресурсов к файлу dumped.dll, и откорректировать имя секции ресурсов:”? - ни в одном из заявленных инструментов его нет. Что означает “откорректировать имя секции ресурсов”?
п. 20.9 Где на вкладке Sections имеется параметр Size Of Code?

| Сообщение посчитали полезным:

Chris
По твоим вопросам видно что ты совсем новичёк, читай статьи начиная с первой части. (а лучше начни с совсем простых пакеров - upx, aspack если конечно это дело интересно). Ты совсем не ориентируешься в PE формате, а это основы. Само собой что автор статьи такие банальные вещи опускал.

| Сообщение посчитали полезным:

Konstantin пишет:
Ты совсем не ориентируешься в PE формате, а это основы.

+1

| Сообщение посчитали полезным:

Да понял я. Автор пользовался инструментом более ранних версий, у которого интерфейс другой. Банальные вещи пришлось делать применительно к своим инструментам.
В результате имею два варианта распаковки: ручной по .chm и с помощью DecomAS. Для начала сравнил в HEX компараторе - основные блоки абсолютно одинаковые, байт-в-байт. Можно, наверное, работать дальше.

| Сообщение посчитали полезным: