Сейчас на форуме: asfa, bartolomeo (+6 невидимых)

 eXeL@B —› Вопросы новичков —› После распаковки ASprotect'a программа не запускаеться.
Посл.ответ Сообщение

Ранг: 1.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 01 апреля 2012 13:36
· Личное сообщение · #1

Доброе время суток всем! После распаковки --> программы <--, программа не запускается, как можно решить эту проблему? Я так понял что там стоит еще после распаковки проверка какай то. Заранее спасибо за ответ.



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

 Создано: 01 апреля 2012 13:44
· Личное сообщение · #2

kiryuha пишет:
как можно решить эту проблему?
есть спецтулза для этого, называется hands&brain v1.0.

-----
SaNX

| Сообщение посчитали полезным: MasterSoft, -Sanchez-


Ранг: 57.3 (постоянный), 67thx
Активность: 0.060
Статус: Участник

 Создано: 01 апреля 2012 14:16
· Личное сообщение · #3





Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

 Создано: 01 апреля 2012 14:55 · Поправил: vnekrilov
· Личное сообщение · #4

kiryuha пишет:
Я так понял что там стоит еще после распаковки проверка какай то.

Как я понял - это Домашняя бухгалтерия. В ней идет куча проверок на распакованность файлов - размера файла на диске, проверка некоторых байтов в упакованной программе на диске, и т.д. Вот, например, какие записи я оставил после распаковки Домашней бухгалтерии версии 5.1.0.33:

Code:
  1. Точки, где из системы извлекается размер файла:
  2. Для считывания размера файла с диска используются APIs FindFirstFileA и GetFileAttributesExA
  3.  
  4.          Новый CALL                  Старый CALL
  5.  
  6. 008EF3E9   CALL 008EF438          CALL 004BD510
  7. 0092C6DD   CALL 008EF438
  8. 0097D946   CALL 008EF438
  9. 00A67588   CALL 008EF438
  10. 00AB5BAF   CALL 008EF438
  11. 0092C843   CALL 008EF4A5          CALL 0040BB78
  12. 0097C05D   CALL 008EF4A5
  13. 0097FD93   CALL 008EF4A5
  14. 00AA6120  CALL 0093E8B1           CALL 005014D0
  15. 0042761E  CALL 008EF503           CALL 0040B864
  16.  
  17.  
  18.  
  19.  
  20. Размер распакованного файла - 00B00400 (00C08A00)
  21. Размер упакованного файла - 00364530 (00F82E00)
  22. Размер распакованного файла (с убранной секцией .aspr) - 00AFF400
  23.  
  24. OEP = 00ABB414
  25.  
  26. 008EF394   - Не определяется имя файла


Анализируйте запуск этой программы, и вы найдете все нужные проверки. А дальше упаковка распакованного файла каким-либо пакером, и доведением его до нужного размера, или корректировка контрольного размера, для его совпадения с полученным. Это - уже на Ваше усмотрение.

ЗЫ: Кстати я уже Вам писал об этом на ветке http://exelab.ru/f/action=vthread&forum=5&topic=19717, которую Вы также создали. Не нужно плодить несколько одинаковых тем.

ЗЫ 2: Покопался немного у себя, и нашел еще одну запись, только для версии 5.0.0.32:

Code:
  1. Точки, где из системы извлекается размер файла:
  2. 0092962C   .  E8 532E0000    CALL 0092C484 --> CALL 0040BB78
  3. 0092C389   .  E8 8211B9FF    CALL 004BD510 --> CALL 004BD510
  4. 0096F3EB   .  E8 E4050100    CALL 0097F9D4 --> CALL 0040BB78
  5. 0097D5F2    E8 19FFB3FF      CALL 004BD510 --> CALL 004BD510 
  6. 00A644FD   .  E8 962B0000    CALL 00A67098 --> CALL 004BD510
  7. 00AB5683   .  E8 887EA0FF    CALL 004BD510 --> CALL 004BD510
  8. 00B4B798    E8 731D97FF      CALL 004BD510 --> CALL 004BD510
  9. 00A64335   .  E8 E2180400    CALL 00AA5C1C --> CALL 005014D0
  10.  
  11. Указать размер --> 00361730 (30173600)
  12.  
  13. Размер 00361730 записан в следующих ячейках
  14. 00AD8394
  15. 00AD842C
  16.  
  17. 1-я доработка:
  18. 0092C4F8     /E9 01511900    JMP 00AC15FE 
  19. 00AC15FE      C785 ACFEFFFF >MOV DWORD PTR SS:[EBP-154],361730
  20. 00AC1608      8B9D ACFEFFFF  MOV EBX,DWORD PTR SS:[EBP-154]
  21. 00AC160E    ^ E9 EBAEE6FF    JMP 0092C4FE
  22.  
  23. 2-я доработка:
  24. 00AB5688     /E9 89BF0000    JMP 00AC1616
  25. 00AC1616      B8 30173600    MOV EAX,361730
  26. 00AC161B      8985 3CFFFFFF  MOV DWORD PTR SS:[EBP-C4],EAX
  27. 00AC1621    ^ E9 6840FFFF    JMP 00AB568E
  28.  
  29. 3-я доработка:
  30. 0097FA48     /E9 DD1B1400    JMP 00AC162A
  31. 00AC162A      C785 ACFEFFFF >MOV DWORD PTR SS:[EBP-154],361730
  32. 00AC1634      8B9D ACFEFFFF  MOV EBX,DWORD PTR SS:[EBP-154]
  33. 00AC163A    ^ E9 0FE4EBFF    JMP 0097FA4E
  34.  
  35. 4-я доработка:
  36. 0092C38E     /E9 AF521900    JMP 00AC1642
  37. 00AC1642      B8 30173600    MOV EAX,361730
  38. 00AC1647      A3 2C84AD00    MOV DWORD PTR DS:[AD842C],EAX
  39. 00AC164C    ^ E9 42ADE6FF    JMP 0092C393
  40.  
  41. 5-я доработка:
  42. 00B4B79D   /E9 92100000      JMP 00B4C834
  43. 00B4C834    B8 30173600      MOV EAX,361730
  44. 00B4C839  ^ E9 8EEEFFFF      JMP 00B4B6CC
  45.  
  46. 6-я доработка:
  47. 00A670E0     /E9 6FA50500    JMP 00AC1654
  48. 00AC1654      E8 B7BE9FFF    CALL 004BD510
  49. 00AC1659      B8 30173600    MOV EAX,361730
  50. 00AC165E    ^ E9 825AFAFF    JMP 00A670E5
  51.  
  52. 7-я доработка:
  53. 00AA5C78     /E9 EBB90100    JMP 00AC1668
  54. 00AC1668      E8 63FEA3FF    CALL 005014D0
  55. 00AC166D      B8 30173600    MOV EAX,361730
  56. 00AC1672    ^ E9 0646FEFF    JMP 00AA5C7D 
  57.  
  58. 8-я доработка:
  59. 0097D5F2     /E9 84401400    JMP 00AC167B
  60. 00AC167B      E8 90BE9FFF    CALL 004BD510
  61. 00AC1680      B8 30173600    MOV EAX,361730 
  62. 00AC1685    ^ E9 6DBFEBFF    JMP 0097D5F7 
  63.  
  64. 9-я доработка:
  65. 00929BCD     /E9 BC7A1900    JMP 00AC168E
  66. 00AC168E      E8 B9C1E6FF    CALL 0092D84C
  67. 00AC1693      C686 9C000000 >MOV BYTE PTR DS:[ESI+9C],0
  68. 00AC169A    ^ E9 3385E6FF    JMP 00929BD2
  69.  
  70. 10-я доработка:
  71. 00971738  ^\E9 6FD0FFFF      JMP 0096E7AC


Удачи!

| Сообщение посчитали полезным: kiryuha
 eXeL@B —› Вопросы новичков —› После распаковки ASprotect'a программа не запускаеться.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати