| Сейчас на форуме: bartolomeo (+3 невидимых) |
 |
eXeL@B —› Вопросы новичков —› помогите с ASProtect 2.1x SKE ;) |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 06 февраля 2006 00:13 · Личное сообщение · #1 столкнулся с сабжем в проге LAN2NET - Лучший NAT-сервер для локальных сетей! www.lan2net.ru/downloads/lan2net_setup_1_5.exe (2.8 Мб) честно говорю, по форуму искал, но ничего толком не нашёл... все про какую-то чудесную статью SergSh'а говорят, но и её я не обнаружил... может кто помочь по сабжу? с чего начать?  |
|
|
Создано: 10 марта 2006 16:13 · Поправил: nobody · Личное сообщение · #2 (продолжу в этом топике, засорять форум не охото  )
Попалась мне сегодня на глаза одна прога RunpadShell(6.5Mb) http://runpad-shell.com/download/runpad_setup_rus.exe Используется в комп.клубах как защищённый интерфейс пользователя... Так вот, на ней весит ASProtect 2.0x Registered -> Alexey Solodovnikov С серверной части снялся АСПР без вопросов, а вот клиентская часть(Shell) что-то выежывается! Самое интересное в клиентской части это то как происходит снятие АСПРа! а именно то, что когда я хотел дойти до ОЕП, как всегда прошел кучу исключений(порядка 34) и вроде уже пора но олька выплюнула сообщение об ошибке "Entry Point Alert блаблабла"! Странно... продолжил дальше проходить исключения(порядка 30) и вот он заветный запуск проги. Проделал всё ещё раз, бряк на секции кода, и... оказался не пойми где!
004064F4 . 68 C8474200 PUSH rshell_.004247C8 ; ASCII "ShowSettings" 004064F9 . 50 PUSH EAX 004064FA . A3 28945100 MOV DWORD PTR DS:[519428],EAX 004064FF . FFD6 CALL ESI 00406501 . A3 18945100 MOV DWORD PTR DS:[519418],EAX 00406506 . A1 28945100 MOV EAX,DWORD PTR DS:[519428] 0040650B . 68 BC474200 PUSH rshell_.004247BC ; ASCII "MouseSetup" 00406510 . 50 PUSH EAX 00406511 . FFD6 CALL ESI 00406513 . 8B0D 28945100 MOV ECX,DWORD PTR DS:[519428] 00406519 . 68 B0474200 PUSH rshell_.004247B0 ; ASCII "ShowRules" ... есесно OEPом это назвать нельзя! Кстати, когда олька ругнулась после первых 34 исключений, тогда в секции кода как раз я и оказывался на ОЕП, но есесно что прога не распакованна до конца и делать дамп, а тем более восстанавливать импорт нет смысла! Что посоветуете?? PS:если кто будет смотреть эту прогу у себя, то рекомендую запускать Shell(клиентскую часть) из под VMware'a |
|
|
Создано: 10 марта 2006 16:50 · Личное сообщение · #3 У меня такое было, когда с прогой была еше DLL тоже с ASProtect'ом и когда запускаешь в ольке, то она сначала на DLL реагирует, также исключения и т.д., а после того, как DLL прогружается она орет про Entry Point а затем начинается все тоже, только для егзешника. Так что проверь все DLL-ки, не запакованы ли? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 10 марта 2006 17:41 · Личное сообщение · #4 хммм...да, вроде есть какая-то ДДЛка! settings.dll распаковка библиотеки сильно отличается от EXE? кстати, мне показалось кое-что странным в memory map:
00320000 00001000 rp_share 0 PE header Imag 0 R RWE 00321000 00002000 rp_share 0 .text code Imag 0 R RWE 00323000 00001000 rp_share 0 .rdata imports,expo Imag 0 R RWE 00324000 00001000 rp_share 0 .data data Imag 0 R RWE 00325000 00005000 rp_share 0 .rsrc resources Imag 0 R RWE 0032A000 00001000 rp_share 0 .reloc relocations Imag 0 R RWE 00330000 00001000 0 Priv 0 RWE RWE 00340000 00001000 0 Priv 0 RWE RWE 00350000 00001000 0 Priv 0 RW RW 00360000 00001000 0 Priv 0 RW RW 00370000 00001000 0 Priv 0 RW RW 003F0000 00004000 0 Priv 0 RW RW 00400000 00001000 rshell_ 0 PE header Imag 0 R RWE 00401000 00022000 rshell_ 0 code Imag 0 R RWE 00423000 00009000 rshell_ 0 data Imag 0 R RWE 0042C000 0020B000 rshell_ 0 Imag 0 R RWE 00637000 00046000 rshell_ 0 .rsrc resources Imag 0 R RWE 0067D000 00058000 rshell_ 0 .data imports,relo Imag 0 R RWE 006D5000 00001000 rshell_ 0 .adata Imag 0 R RWE 006E0000 00003000 0 Map 0 R E R E что за rp_share интересно мог оказаться в памяти раньше самой проги? вообще первый раз такое вижу! |
|
|
Создано: 10 марта 2006 22:49 · Личное сообщение · #5 может кто подскажет как с DLL аспр снять? |
|
|
Создано: 10 марта 2006 23:28 · Личное сообщение · #6 PE_Kill, кстати, класс статья получилась! написано доступно
я щас как раз из комплекта Runpad'a одну прогу смотрю(bodyimgview.exe), так там VM тоже достаточно хитро сделан
получается, что управление проге передаётся гораздо раньше чем происходит последнее исключение! найти бы это место, где прога на ОЕПе... думаю сегодня-завтра разбирусь... |
|
|
Создано: 11 марта 2006 08:25 · Личное сообщение · #7 nobody если файл загружен в память выше другого файла, то это не значит, что он загрузился раньше. Просто у него ImageBase (предпочитаемый адрес загрузки) меньше. А с bodyimgview.exe если запары, то могу помочь. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 11 марта 2006 13:46 · Личное сообщение · #8 PE_Kill пишет: А с bodyimgview.exe если запары, то могу помочь. я пока её особо не изучал, но и от твоей помощи не откажусь ;) если не сложно глянь её, прав ли я оказался на счет ОЕПа? меня поначалу вообще глюкнуло(а может это так и было на самом деле) что адреса на возврат(в стеке) всё время разные
а пока вся сложность заключается в нахождении ОЕП |
|
|
Создано: 11 марта 2006 14:25 · Личное сообщение · #9 кстати, насчет моего вопроса про ДЛЛ, я не могу понять, почему не прикручивается импорт к сдампленной ДДЛке? вначале как всегда забросил длл в ольку, дошёл до оеп, отремонтировал калы(00BA0000) с помощью скрипта, потом дамплю эту длл через лордПЕ, загружаю длл в ИмпРек(через кнопочку Pick DLL), ОЕП, РВА импорта, размер, CutThunks'ы, FixDump и выскакивает "Invalid dump file! Can't match RVA to Offset in the dump file." |
|
|
Создано: 11 марта 2006 14:35 · Поправил: nobody · Личное сообщение · #10 совсем забыл про ImageBase
только вот теперь вроде всё в порядке, но прога отказывается работать с распакованной библиотекой... |
|
|
Создано: 13 марта 2006 07:22 · Личное сообщение · #11 Ты про какую конкретно программу? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 марта 2006 23:14 · Личное сообщение · #12 Извини, я действительно тут всё в кучу собрал
1) про VM и непонятности с ОЕП я говорил о проге bodyimgview.exe из утилит комплекса (<a href="http://runpad-shell.com/download/runpad_setup_rus.exe" target="_blank">RunpadShell(6.5Mb)</a>) 2) а про ДЛЛ(запротекченную) и фишки с ImageBase я имел ввиду библиотеку settings.dll из того же комплекта РанПада. Просто я с ней до сих пор не разобрался и выразил здесь свои мысли вслух. Если мне не изменяет память, то прога просто отказалась выполнить LoadLibrary с этой ДЛЛ. Саму библиотеку и ЕХЕшник(rshell.exe) проги я распаковал нормально... |
|
|
Создано: 14 марта 2006 09:02 · Личное сообщение · #13 nobody пишет: отказалась выполнить LoadLibrary Отказывается возможно, потому, что надо релоки восстановить. nobody пишет: про VM и непонятности с ОЕП Выложи сам exe файл, а то 6.5 м многовато. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 18 марта 2006 16:39 · Личное сообщение · #14 PE_Kill пишет: Отказывается возможно, потому, что надо релоки восстановить. а есть какие-нить туторы по теме?
PE_Kill пишет: Выложи сам exe файл, а то 6.5 м многовато. Ок! 698 Кб. webfile.ru/866021 странный EXE с аспром про который я говорил - bodyimgview.exe и ещё туда же выложил библиотеку с экзешником, которую тоже не получается по человечески распаковать... 
|
|
|
Создано: 24 марта 2006 14:55 · Личное сообщение · #15 PE_Kill, ещё не смотрел bodyimgview? |
| << . 1 . 2 . |
|
eXeL@B —› Вопросы новичков —› помогите с ASProtect 2.1x SKE ;) |
Для печати