столкнулся с сабжем в проге LAN2NET - Лучший NAT-сервер для локальных сетей!
www.lan2net.ru/downloads/lan2net_setup_1_5.exe (2.8 Мб)

честно говорю, по форуму искал, но ничего толком не нашёл...
все про какую-то чудесную статью SergSh'а говорят, но и её я не обнаружил...

может кто помочь по сабжу? с чего начать?

| Сообщение посчитали полезным:

nobody пишет:
все про какую-то чудесную статью SergSh'а говорят, но и её я не обнаружил...
Мб тут она: http://exelab.ru/rar/

| Сообщение посчитали полезным:

хммм...
что-то не получается дойти до ОЕП...
там где по тутору должен быть ОЕП я вижу следующее
00453650 8B DB 8B
00453651 EC DB EC
00453652 6A DB 6A ; CHAR 'j'
00453653 FF DB FF
00453654 68 DB 68 ; CHAR 'h'
00453655 48 DB 48 ; CHAR 'H'
и т.д.

может я что не так делаю?

| Сообщение посчитали полезным:

cntrl A и на середине процесса по пробелу

| Сообщение посчитали полезным:

anton2v, чё-та не понял я тебя

| Сообщение посчитали полезным:

0045364F 55 PUSH EBP ==> OEP
00453650 8BEC MOV EBP, ESP
00453652 6A FF PUSH -1
00453654 68 484C4600 PUSH 00464C48
00453659 68 DC374500 PUSH 004537DC ; JMP to msvcrt._except_handler3
0045365E 64:A1 00000000 MOV EAX, DWORD PTR FS:[0]
00453664 50 PUSH EAX
00453665 64:8925 00000000 MOV DWORD PTR FS:[0], ESP
Дальше скриптом восстанавливай калы вида call 00DC0000. Парочка возможно восстановятся не корректно
Их ручками

| Сообщение посчитали полезным:

crc1, а как ты до ОЕП дошел?

я делаю как в туторе: долблюсь много раз по шифт-ф9, дохожу до последнего исключения, ставлю бряк на секцию кода, ф9, и оказываюсь в
00453650 8B DB 8B
00453651 EC DB EC
00453652 6A DB 6A ; CHAR 'j'
00453653 FF DB FF ... и т.д.

| Сообщение посчитали полезным:

nobody

1. Загружаешь в olly.
2. Жмешь шифт+ф9 до 00A1A76A - кстати очень часто оканчивается на A76A
3. Ставим бряк на add esp,4
4. Жмешь шифт+ф9
5. alt+M и ставим бряк на секцию 00401000
6. Жмем шифт+ф9
7. Мы на ОЕР
8. чтоб привести в должный вид жмем контрл+а(как советовал anton2v)

| Сообщение посчитали полезным:

nobody пишет:
я делаю как в туторе: долблюсь много раз по шифт-ф9, дохожу до последнего исключения, ставлю бряк на секцию кода, ф9, и оказываюсь в
00453650 8B DB 8B
00453651 EC DB EC
00453652 6A DB 6A ; CHAR 'j'
00453653 FF DB FF ... и т.д.
Так ты и так на OEP, чуть повыше по адресу :0045364F у тебя байт 55 это PUSH EBP =>это OEP
У тебя код не распознан, нажми как тебе советуют cntrl A или попробуй измени опции в Debugging Options
Лично у меня все распознается

67b7_Analysis.rar.zip

| Сообщение посчитали полезным:

cadet, tnks!
crc1 пишет:
Дальше скриптом восстанавливай калы вида call 00DC0000. Парочка возможно восстановятся не корректно
Их ручками
а что за скрипт? и почему именно калы 00dc0000?

| Сообщение посчитали полезным:

nobody пишет:
а что за скрипт? и почему именно калы 00dc0000?
http://exelab.ru/rar/dl/CRACKLAB.rU_20.rar ты эту статью читал?, там все расписано и скрипт приведен
(его под свою прогу нуна поправить)
калы 00dc0000 у тебя могут быть другие, но они все одинаковые

36b2_Untitled_1.jpg.zip

| Сообщение посчитали полезным:

crc1 пишет:
и скрипт приведен
(его под свою прогу нуна поправить)
вроде я его правильно подправил, но олька виснет сразу после запуска скрипта...
а как найти "Адрес последнего восстанавливаемого callа"?
Я отсортировал в ольке список каллов и адрес самого последнего калла 00c70000 записал в скрипт.
crc1 пишет:
http://exelab.ru/rar/dl/CRACKLAB.rU_20.rar ты эту статью читал?
А это статья вообще к сабжу подходит?

| Сообщение посчитали полезным:

в скрипте я исправил:
mov ickcall,00C70000 //Искомая процедура
mov r,00C70000 //Искомая процедура
mov iatstart, 0045B000 //Адрес начала таблицы импорта
mov y, 0045B000 //Адрес начала таблицы импорта
mov iatend, 0045BC44 //Адрес конца таблицы импорта
mov startscan,00401000 //Начало сканирования программы
mov jmpstart, 004537AE //Адрес начала прыжков в IAT
mov jmpend, 00453840 //Адрес конца прыжков в IAT
mov endcall,00453777 //Адрес последнего восстанавливаемого callа

может кто-нить проверить правильно ли я подставил адреса...

| Сообщение посчитали полезным:

nobody

А почему 007С0000? У меня 005C0000.
Наверно от системы зависит.
Посмотри топик Asprotect и Script там прекрасный скрипт Pavka выложил (за что ему огромное спасибо).

| Сообщение посчитали полезным:

Есле в этой проге много спертых jcc и cmp+jcc то нечиго вы не распакуете. Ну а если, как в статье SergSh то вполне реально... Завтра качну, посмотрю... Как раз свой скрипт по декомпиляции VM затестю.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

cadet пишет:
Посмотри топик Asprotect и Script там прекрасный скрипт Pavka выложил (за что ему огромное спасибо).
хммм... интересно! заюзал я скрипт Aspro2_AIP2.txt
я так понял, когда он спрашивает адрес калла который нужно проанализировать, надо вбивать как раз адреса CALL 00C70000
и так почти 70 адресов весело)))
ну собсно я так и сделал, после чего снял дамп и пофиксил таблицу импреком.
но файл нихера не хочет запускаться! даже ошибку не выдаёт! потрейсил немного, но ничего интересного пока не нашел...
может кто хочет посмотреть эту прогу?

| Сообщение посчитали полезным:

nobody

Ты топик не внимательно читал Pavka пишет сначала 4, а потом 2

| Сообщение посчитали полезным:

PE_Kill
будем ждать
кстати, статью ещё не написал по ВМ?

cadet,crc1 вы не пробовали ещё получить рабочий дамп с этой проги?

| Сообщение посчитали полезным:

cadet пишет:
Ты топик не внимательно читал Pavka пишет сначала 4, а потом 2
может быть. тогда что надо вводить в "Enter the AIP Call destination address"? не пойму чего надо этому скрипту

| Сообщение посчитали полезным:

nobody пишет:
статью ещё не написал по ВМ?
Неа, но пишу.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

nobody

Вчера распаковал. Испробовал скрипт от Tima. Смотри топик "Asprotect 2.0 что за Х".

| Сообщение посчитали полезным:

Не знаю в чем трудности? Попробовал и распаковал за 2 минуты. VM там нет, импорта совсем чуть чуть сперто. заменять аспровские келлы надо на FF15. Весь импорт уже есть в IAT.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Не знаю в чем трудности?
трудность для меня в том что я снимаю АСПр впервые

PE_Kill пишет:
импорта совсем чуть чуть сперто.
это как раз те CALL 00C70000 ?

PE_Kill пишет:
заменять аспровские келлы надо на FF15
что за аспровские келлы? как их отличить от остальных?

cadet пишет:
Вчера распаковал
слушай, там помоему триал(30 дней) был АСПром реализован, больше триальность не достает?

| Сообщение посчитали полезным:

nobody

Я пробовал дату перевести. Ничего , вроде не ругается. А для чего эта прога нужна? Может в работе как-то проявится? Это уж тебе проверять.

| Сообщение посчитали полезным:

cadet пишет:
Я пробовал дату перевести. Ничего , вроде не ругается.
это радует

cadet пишет:
А для чего эта прога нужна?
Нат/прокси сервер в локальных сетях... проще говоря прога для "расшаривания" инета...

cadet пишет:
Может в работе как-то проявится? Это уж тебе проверять.
Ок! Проверю - сообщу! К тому же Тимовский скрипт и правда хорош!

| Сообщение посчитали полезным:

cadet
а ты смотрел файл l2nservice.exe ?
в нём что-то импорт восстановить не получается...ИмпРек считает ветку 460104 инвалидной
что можно сделать?

| Сообщение посчитали полезным:

nobody пишет:
ИмпРек считает ветку 460104 инвалидной
В той ветке по адресу 60300 функция GetProcAddress, а по адресу 60308 делай Cut Thunk(s)

| Сообщение посчитали полезным:

crc1, tnks!

| Сообщение посчитали полезным:

А не у кого такого не было чтоб ОЕР(нашел по скриптом от OEP finder by sanniassin::REVENGE Crew
) по таким одресам была и что с этим делать.Если делать ручками тоесть проходить исключения потом ставить брекпоинт на доступ к памяти то попадаешь на другой адрес но там на оер мало похоже

01099D6C 55 push ebp
01099D6D 8BEC mov ebp,esp
01099D6F 81C4 F8FEFFFF add esp,-108
01099D75 53 push ebx
01099D76 56 push esi
01099D77 33C0 xor eax,eax
01099D79 8985 F8FEFFFF mov dword ptr ss:[ebp-108],eax
01099D7F 33C0 xor eax,eax

Это на программе BVS Solitaire Collection 5.5 лежит на softodrom

| Сообщение посчитали полезным:

Ломал я ее когдато. Насколько я помню это и есть OEP. Что тебя смутило? Большой адрес OEP? Так ты посмотри какой размер у секции кода. А так там все просто. Только защита импорта и где - то 15 зашифрованых кусков кода

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: