Здравствуйте! Уважаемые форумчане. Пытаюсь распаковать unpckme упакованный ASProtect 2.30 по данному тутору https://tuts4you.com/download.php?view.2187 дохожу до места где он пишет "...Now use olly trace till retn future..." нажимаю ctr+ f9 и попадаю на retn хотя в видео он попадает на инструкцию jg, что я делаю не так (unpacme прикреплён)

0f21_27.10.2016_EXELAB.rU.tgz - UnPackMe_ASProtect.SKE.2.2.a.exe

Добавлено спустя 10 часов 25 минут
прошу закрыть тему, так как я её создал не в том разделе

| Сообщение посчитали полезным:

скорее вторая - не в том, так как для подраздела с протекторами слишком мало своей работы.

| Сообщение посчитали полезным:

OEP пишет:
попадаю на retn
а если в этот момент нажать F7, случайно не на тот самый jg попадёшь?

| Сообщение посчитали полезным:

OEP пишет:
Добавлено спустя 10 часов 25 минут
прошу закрыть тему, так как я её создал не в том разделе
No comments.
OEP пишет:
нажимаю ctr+ f9 и попадаю на retn хотя в видео он попадает на инструкцию jg
Facepalm.Эта комбинация так-то выполняет функцию трассировки именно до Retn, если руками не судьба трассировать.

PS.Сначала документацию читайте, а потом лезьте практиковаться, неучи.Достали в край уже эти дети индиго.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Достали в край

банька спасет отца русской демократии.

| Сообщение посчитали полезным: plutos

unknownproject пишет:
Эта комбинация так-то выполняет функцию трассировки именно до Retn
Не обязательно до.
В настройках ольки есть еще фича "Trace -> After Executing till RET, step over RET", угадайте что она делает.
Собственно, я чут выше предположил что у автора видео именно она и включена, и предложил проверить.

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
а если в этот момент нажать F7, случайно не на тот самый jg попадёшь?

к сожалению нет если нажать F7 то я попадаю на следующий ret потом ещё на ret и.т.д и в итоге выхожу на это место

А вот, что делать дальше....

| Сообщение посчитали полезным:

А зачем распаковывать файл, если он сам распаковывается в памяти
Может не парится, а использовать загрузчик или иной метод для ожидания развёртывания апликухи и выполнять свои тёмные дела ?

-----
vx

| Сообщение посчитали полезным: neshta

difexacaw пишет: А зачем распаковывать файл, если он сам распаковывается в памяти

Таки да, подобное может понадобиться лишь для полного реверса приложения, но кто способен на полный реверс не задает вопросы о распаковке какого то там аспра.
У Краша был анпакер на базе pin, с аспром вполне справляется.

| Сообщение посчитали полезным:

neshta

Так событие найти только нужно, при котором модуль сам себя уже анпакал. Оно стандартное --> Link <--

Первое обращение к гую и в 90% случаев модуль анпакан. Нафиг такая защита хз.

-----
vx

| Сообщение посчитали полезным:

difexacaw, он же neshta, ты же понимаешь, что обсуждаешь сам с собой UnPackMe?

| Сообщение посчитали полезным:

Gideon Vi

Мы все суть одно, единый механизм

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Оно стандартное --> Link <--

Поэтому и возможны универсальные анпакеры, как раз по причине такого безобразия.

Gideon Vi пишет: difexacaw, он же neshta, ты же понимаешь, что обсуждаешь сам с собой UnPackMe

Мы разные люди, просто рассматриваем похожие задачи, а выше написанное это настолько древний баян, что просто стыдно не знать.

| Сообщение посчитали полезным:

OEP пишет:
он пишет "...Now use olly trace till retn future..."
...
в видео он попадает на инструкцию jg
не нашёл в видео ни этой фразы, ни остановки на иструкции jg, хотя пересмотрел 4 раза.
оеп 004271B0, по тутору можно дойти ровно и чётко.
на каком этапе Вы свернули с пути - определить затрудняюсь, но предоставленный выше скрин уже явно не в протекторном коде, а в коде самой проги.

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
не нашёл в видео ни этой фразы, ни остановки на иструкции jg, хотя пересмотрел 4 раза.

вот на этом месте я впал в ступор

| Сообщение посчитали полезным:

OEP пишет:
вот на этом месте я впал в ступор
а вот на этом месте и я впал в ступор
проверьте линк на тутор - я смотрел тот что в шапке, там такого нету

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
а вот на этом месте и я впал в ступор
проверьте линк на тутор - я смотрел тот что в шапке, там такого нету
действительно это был другой тутор, извините, что парил вам мозги столько времени. Большое спасибо за помощь!
-=AkaBOSS=- пишет:
В настройках ольки есть еще фича "Trace -> After Executing till RET, step over RET", угадайте что она делает.
Собственно, я чут выше предположил что у автора видео именно она и включена, и предложил проверить.
ОГРОМНОЕ спасибо, благодаря вашему совету я всё - таки нашёл OEP!

| Сообщение посчитали полезным:

О_о да не за что, собственно =)
я даже и не понял в чём проблема была =)


Наверное, тему и закрыть можно?

| Сообщение посчитали полезным:

neshta

У них нет общего понимания. Вот взял семпл из первого поста, открыл олькой, поставил останов на KiFastSystemCall: Eax > 0x1000. На втором останове модуль анпакан. Но мы не ищем лёгких путей, лучше вручную покопаться неделю, логику работы разобрать

-----
vx

| Сообщение посчитали полезным:

difexacaw

difexacaw пишет:
поставил останов на KiFastSystemCall: Eax > 0x1000. На втором останове модуль анпакан.

Это отлов вызова какого сервиса?

| Сообщение посчитали полезным:

> 0x1000: shadow.

-----
vx

| Сообщение посчитали полезным: Lambda

Всем спасибо за помощь! Тему можно закрывать

| Сообщение посчитали полезным:

Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".

| Сообщение посчитали полезным: