Привет. Ребят, изучаю азы ASProtect. Столкнулся с проблемой, не могу найти украденные байты. Хочу почитать больше про методики, но нигде ничего не могу найти. Максимум что узнал, так это - то что можно через трассировку с подсвеченным EBP можно в самом конце их найти. А вот в моем случае EBP регистров подсвечивается штук 10. Есть какие-то знания по этой теме?

| Сообщение посчитали полезным:

difexacaw пишет:
Есть общий способ определения OEP
чувак, всё что ты на выделял в скринах, есть в каждой приблуде, слинкованной начиная от д3( хз д1 и д2 не видел) и заканчивая чем то там текущим в кареро...)))
не помню, жетмодулехендл аспр вроде эмулил, но в любом случае это стандартный набор и последовательность инструкций для дельфового линкера, всё, шаблон готов.
нужны только родные указатели, чтобы восстановить спёртую фуйню. зная компилятор, не трудно догадаться, где прерываться, и что искать.
выборки, шмыборки...не усложняй простое...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

А с чего ты решил что это дельф, по исходному бинарю

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
А с чего ты решил что это дельф, по исходному бинарю


-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan

Так ведь сигнатуры данной процедуры нет в криптованном модуле, там ведь морф. Что и как искать, какой шаблон и как его применить?
А если на дельф два слоя крипта наложить или вообще там не дельфи.. ваши методы это танцы с бубном, гадание.

-----
vx

| Сообщение посчитали полезным:

difexacaw У тебя вообще нету способности к самообучению? Почитай уже что-то для новичков, а то так и будешь тупить из года в год.
--> Практика распаковки<--
--> Введение в крэкинг с нуля, используя OllyDbg (сборник)<-- там есть про распаковку, даже анпак аспра есть

| Сообщение посчитали полезным:

SReg

Из тысяч крипторов нужно на данном сделать в отладчике руками по древнему описанию

-----
vx

| Сообщение посчитали полезным:

Bronco пишет:
по переходникам в иат и именам апи приблуда вроде сишная

Мой случай - делфя 100%..

difexacaw пишет:
Взял дельфовый калькулятор из первой ссылки гугла, накрыл его asp. EP как всегда находится по первой абс адресации:
Спасибо наглядно.

Признаюсь честно я даже цель для изучения не выбирал, просто решил изучать на том, что попалось. Наверно такой подход в корне не правильный.
Но зато столкнулся с массой интересных моментов.
Интересно еще - то , что в некоторых местах apr даже отслеживает бряки, и завершает программу если ее туда влепить.

--> Цель<--

SReg пишет:
--> Введение в крэкинг с нуля, используя OllyDbg (сборник)<-- там есть про распаковку, даже анпак аспра есть

Проблема в том, что гайды не работают) Там много деталей упускается) Вот попробуйте пройтись по этому с моей целью и убедитесь, что все не так просто

Похоже нужно больше опыта...

| Сообщение посчитали полезным:

ideadline

Так а что с EP на не коде, ты так и не ответил, что да как ?

А этих не слушай, даже если и модеры, они не способны обучаться и решать задачи, приводить их к общему решению. Сигнатурный поиск никогда решением небыл. На любом семпле не известном/изменённом осядешь на дно"

-----
vx

| Сообщение посчитали полезным:

0056BFE3

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

difexacaw пишет:
Так а что с EP на не коде, ты так и не ответил, что да как ?

OEP?

По access violation можно дойти до последней точки с которой поидее ASP должен перейти к оригинальному коду, но конечно же на OEP мы уже не попадем


Дойдя сюда мы должны поставить бряку на доступ к памяти 40100 - это наш код прожки


Выходит, что мы пришли в место где якобы можно дамп делать, так - как все манипуляции ASP закончились, но


поскольку известный факт что ASP крадет инструкции с начала OEP вот тут мы очевидно и наблюдаем что OEP были украдены. Вот в этом была моя логика
Кстати поидее это какие-то унифицированные инструкции свойственные компилятору , наверняка можно их угадать... или нет?

| Сообщение посчитали полезным:

ideadline пишет:
но конечно же на OEP мы уже не попадем
для дельфовых приблуд, очень критично, если дамп снят после инициализации.
в этом случае, тело образа в памяти, заполнится калбеками на таблицу инит.
дамп уже будет не рабочим.
открой любые чистые на дельфе, наглядись на код после первого вызова.
твоя задача не проскочить указатель на таблицу. пох, если айпи за пределами образа, перед дампом вручную его поменяй.
difexacaw пишет:
Сигнатурный поиск никогда решением небыл.
угу...ты это аверам расскажи...
к примеру двиг яра только для сигнатур и построен, свободен, открыт, юзают многие, и даже солидные.
снифер хорса, криптоанализы и тп. бинарь, даже под протектором ничем не отличается от остального.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
для дельфовых приблуд, очень критично, если дамп снят после инициализации.
Обнуления секции BSS спасёт отца русской демократии

Добавлено спустя 41 минуту
ClockMan пишет:
0056BFE3
эх...............


-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: ideadline

ideadline

> наверняка можно их угадать... или нет?

Ну если всё дело не решить общим путём, а гадать.. Тогда и распаковывать ничего не нужно:

SourceRescuer.exe

5729E4 -> 1 => registered version.

- сылку на строку посмотреть и всё. А ключ берётся из реестра, толстая его обработка и что бы разобраться нужно декомпилить.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Ну если всё дело не решить общим путём, а гадать.. Тогда и распаковывать ничего не нужно:

Пожалуй соглашусь) Хочется все же понять и научиться.

Нашел хорошую книгу - "Искусство дизассемблирования. Крис Касперский "
Там есть раздел с моим вопросом, думаю для начала изучу ее , а потом вернусь к моему вопросу)

Добавлено спустя 3 минуты
Всем спасибо за внимание

| Сообщение посчитали полезным:

ideadline

Вот с загрузчиком, развлекайся

--> Link <--

-----
vx

| Сообщение посчитали полезным: ideadline

Scorpion13

Ну а что смешного. Зачем распаковывать, если можно использовать лодер. Конечно лишние компоненты на диске не нужны, можно проекцию создать и не файловую и без загрузчика, но это усложнит тс отладку. Использовать для загрузки uxtheme.dll не получится на старших версиях.

-----
vx

| Сообщение посчитали полезным:

Прицепил оверлей с ntlz-dll и страницей ориг кода. На EP длл читается с файла в буфер, расжимается и загружается из памяти, после чего страница с EP восстанавливается. Но почему то падает, хотя две страницы одинаковые, как такое может быть

--> Link <--

Добавлено спустя 14 часов 45 минут
Короче с этим семплом засада полная, откуда идёт ошибка не понятно.

Контекст при вызове второй раз EP одинаковый, ниже границы стека обращений прямых нет. TLS-cb тоже нет. Чтений MapViewOfFile() нет. Разница в работе ориг и патченного модулей начинается без проверки файла. Если стаб не запускать, то с оверлеем апп работает.



- слева число инструкций от начала EP. Второй лог исходного апп.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Короче с этим семплом засада полная, откуда идёт ошибка не понятно.

Очень интересный объект попался) Обязательно нужно его добить

| Сообщение посчитали полезным: difexacaw

ideadline

За день не осилил. Выяснил лишь что загрузка из памяти ломает работу протектора. Причём если это сделать ниже границы стека на 1kb, то всё норм.

Сарказм типо.. только на таких ситуациях дорабатывается автоматика, поэтому разобраться необходимо

-----
vx

| Сообщение посчитали полезным:

Нашёл я причину, ничего не помогло, только удаление частей кода из загрузчика(самый тупой способ который можно только придумать). Оказалось что загрузчик регистрирует VEH и фиксит в стеке адреса возврата в копию нт. Это как то коррелирует с протектором, как я пока не смотрел.

-----
vx

| Сообщение посчитали полезным:

возьмите аспр х64, там внутри старфорс и намного интереснее, чем 32-битные версии аспра - говно, отламывающееся за пару вечеров, тем более уже в паблике скрипты есть, которые автоматом все делают

| Сообщение посчитали полезным:

int_256

Интересно если есть инструмент для динамического анализа, какой же вы предложите, отладчик

-----
vx

| Сообщение посчитали полезным: