Привет всем! Интересует такой вопрос - как заинлайнить AsPack 2.11? Тут есть небольшой полиморф которого нет в 2.12, и вот благодаря ему неполучается сделать инлайн. Дело в том что я делаю переход на свою секцию и в процессе выпонения проги этот переход замещается всякой лабудой... Что можно посоветовать?

| Сообщение посчитали полезным:

ну если инлайнят АСПр где полиморф еще побольше то с АСПаком вообще нечего делать

патч может быть многоступенчатым в общем случае, в АСПаке можно придумать варианты
попроще

| Сообщение посчитали полезным:

Asterix
Ок, мне бы информации побольше, с практической стороны, а не с теоретической То что заинлайнить можно я знаю, но как? Вот тут небольшое затруднение...

| Сообщение посчитали полезным:

ты статьи не пробовал читать?
вот например эту _http://www.reng.ru/articles/015/shadowsc.htm

рекомендую прочитать все статьи с этого сайта _http://www.reng.ru/articles/index.html

| Сообщение посчитали полезным:

Asterix

1.Ага, пробовал
2.

------| МНОГО ВЫРЕЗАНО |------

:091C35BB 8985E12E4400 MOV [EBP+00442C1D]
:091C35C1 61 POPAD <--- Восстанавливаем регистры (3).
:091C35C2 7508 JNZ 091C35CC
:091C35C4 B801000000 MOV EAX, 01
:091C35C9 C20C00 RET 000C
:091C35CC 684C750F09 PUSH 090F754C <--- OEP.
:091C35D1 C3 RET <--- Идем в распакованную программу.


Это листинг из статьи которую ты мне дал. Но это скорее всего 2.12, чем 2.11

3.Спасибо за рекомендацию, но у меня другие предпочтения
4.Лучше вообще не давай советов, чем такие.
5.Не обижайся

| Сообщение посчитали полезным:

NUCLEuS
ты дай конкретный пример проги с этим аспаком, а также что именно в ней нужно пропатчить

| Сообщение посчитали полезным:

bkslash
Прога - PHP Maker 3.0.1, весит около 5-ти метров, я её на диске нашёл, вряд ли щас её найти можно

Просто думал что кто то ещё сталкивался с такой проблемой

| Сообщение посчитали полезным:

NUCLEuS пишет:
Это листинг из статьи которую ты мне дал. Но это скорее всего 2.12, чем 2.11

3.Спасибо за рекомендацию, но у меня другие предпочтения
4.Лучше вообще не давай советов, чем такие.
5.Не обижайся

Я что должен был написать для тебя конкретно статью про патч аспак 2.11?
Я не утверждал что статья про аспак 2.11

ты ищешь легкие пути, не умеешь читать предложенные статьи и делать правильные выводы
ок, впредь не даю тебе советов, но в следующий раз будет бан за простой вопрос не в форуме
новичков

| Сообщение посчитали полезным:

Asterix
1.Нет конечно, я например на форуме спрашивал про инлайн PeCompact 2xx, и мне помогли, bkslash если быть точным, и он мне не писал статью, а просто дал совет, так что то что ты говоришь глупо

2.А зачем ты мне тогда её вообще советовал? Как инлайнить 2.12 я знаю, и тема называется "ИНЛАЙН AsPack 2.11", ты бы мне мог ещё по снятию tE Lock статью дать, и сказать что я из неё не смог сделать никаких выводов по инлайну AsPack 2.11

3.Читать я умею, но то что ты мне дал никак не относится к моему вопросу.

4.А если вопрос будет НЕ для новичков? Что тогда? Забанишь? А не много ли ты на себя взял, дружище? Ты думаешь если у тебя есть модераторские права то тебе всё позволено? Или может я неправ?

2Bad_Guy мою тему перенесли в раздел для новичков, в "правилах подфорума для новичков" ты говорил:

В данном подфоруме рекомендуется давать как можно более расширенные ответы, по возможности давать прямые ссылки, указывающие на решение заданного вопроса, прямые ссылки на статьи и документацию. Слишком общие ответы, вроде "читай статьи" считаются неинформативными и удаляются с понижением ранга на 1 или 2 пункта по решению модератора.

Ответ Asterix'a можно считать грубым нарушением этого правила, но так как у него модераторские права, то ранг он себе вряд ли понизит, восстанови справедливость, ты же сам сделал такие правила.

С уважением. NUCLEuS/[FpS]

| Сообщение посчитали полезным:

переход на OEP ASPack 2.11:
.aspack:0045A3A2 or ecx, ecx
.aspack:0045A3A4 mov ss:dword_443CE6[ebp], eax
.aspack:0045A3AA popa
.aspack:0045A3AB jnz short loc_45A3B5
.aspack:0045A3AD mov eax, 1
.aspack:0045A3B2 retn 0Ch
.aspack:0045A3B5 ; ---------------------------------------------------------------------- -----
.aspack:0045A3B5
.aspack:0045A3B5 loc_45A3B5: ; CODE XREF: start+3AAj
.aspack:0045A3B5 push 43A5B8h
.aspack:0045A3BA retn
это к сведению

NUCLEuS пишет:
я например на форуме спрашивал про инлайн PeCompact 2xx, и мне помогли, bkslash если быть точным, и он мне не писал статью, а просто дал совет, так что то что ты говоришь глупо

т.е. вместо того чтобы по статье разобрать общий принцип создания таких патчей ты собираешься
приходить и спрашивать по каждому пакеру то место в котором патчить и как это сделать?

NUCLEuS пишет:
2.А зачем ты мне тогда её вообще советовал? Как инлайнить 2.12 я знаю, и тема называется "ИНЛАЙН AsPack 2.11"

читай выше

NUCLEuS пишет:
3.Читать я умею,

а с пониманием прочитанного у тебя явно проблемы

NUCLEuS пишет:
4.А если вопрос будет НЕ для новичков? Что тогда? Забанишь? А не много ли ты на себя взял, дружище? Ты думаешь если у тебя есть модераторские права то тебе всё позволено? Или может я неправ?

а кто тебе дал право приходить сюда и хамить? другой модератор просто послал бы тебя
за такое поведение, тебя же послали подковаться в теории, для этого сайт reng.ru один из
лучших, многие статьи написаны так что заставляют думать

NUCLEuS пишет:
С уважением. NUCLEuS/[FpS]

супер

| Сообщение посчитали полезным:

Asterix
Ты явно задался целью вывести меня из равновесия Представь себе, я ЗНАЮ принцип создания таких патчей, и сделал их не один, но ИМЕННО С ЭТОЙ ВЕРСИЕЙ ЭТОГО ПАКЕРА у меня вышло недоразумение.

Насчёт хамства. Покажи мне пожалуйста того кто первый начал хамить (издеваться, подкалывать) называй как угодно.

Насчёт "супер" - тебе приятней когда к тебе относятся с НЕуважением?

| Сообщение посчитали полезным:

NUCLEuS пишет:
Представь себе, я ЗНАЮ принцип создания таких патчей, и сделал их не один, но ИМЕННО С ЭТОЙ ВЕРСИЕЙ ЭТОГО ПАКЕРА у меня вышло недоразумение.

мне это сложно представить, ибо ИМЕННО С ЭТОЙ ВЕРСИЕЙ ЭТОГО ПАКЕРА у меня вышло недоразумение,
складывается ощущение что недоразумение случилось где-то раньше, просто сейчас оно проявилось
во всей красе

NUCLEuS пишет:
тебе приятней когда к тебе относятся с НЕуважением

мне вобщем все-равно как ты ко мне относишься, следовало тебя сразу забанить а топик кильнуть
за неуважение к МОДЕРАТОРУ в общем случае

ты даже не признал что статья имеет смысл для пристального рассмотрения, так же как
еще одна статья по распаковке этой программы на reng.ru для понимания принципа создания
ступенчатых патчей, и проигнорировал кусок перехода к OEP в ASPack 2.11 хотя он в точности
совпадает с тем что приведен в статье

я не буду удалять этот топик, потому что более одаренные новички могут подчерпнуть
в нем полезную информацию

| Сообщение посчитали полезным:

в общем, покажу на примере проги из этого топика.
например, нужно поменять байт по адресу 407A41 с 7e на eb. ставим туда хардварный бряк на запись, брякаемся тут:

00535179 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
0053517B 8BC8 MOV ECX,EAX
0053517D 83E1 03 AND ECX,3
00535180 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

трейсим, оказываемся тут:

005350F8 50 PUSH EAX
005350F9 53 PUSH EBX
005350FA E8 DA060000 CALL SuperTex.005357D9

меняем CALL 005357D9 на JMP 00400003, сам код патча начнется с 00400002, но полиморф аспака декренентирует один байт, поэтому нужно именно JMP 00400003.
на 00400002 пишем следующее:

00400002 803D 417A4000 7E CMP BYTE PTR DS:[407A41],7E
00400009 75 07 JNZ SHORT SuperTex.00400012
0040000B C605 417A4000 EB MOV BYTE PTR DS:[407A41],0EB
00400012 E8 C2571300 CALL SuperTex.005357D9
00400017 -E9 E3501300 JMP SuperTex.005350FF

ну и все, вроде работает =)

| Сообщение посчитали полезным:

Asterix пишет:
мне это сложно представить, ибо ИМЕННО С ЭТОЙ ВЕРСИЕЙ ЭТОГО ПАКЕРА у меня вышло недоразумение,
складывается ощущение что недоразумение случилось где-то раньше, просто сейчас оно проявилось
во всей красе

Да мне всё равно что ты себе представляешь Если ты желаешь увидеть что я в инлайне не новичок, я тебе могу свои инлайны прислать Но, собственно, какой мне смысл доказывать ТЕБЕ, что я не такой, каким ты меня выставляешь ?

Asterix пишет:
...проигнорировал кусок перехода к OEP в ASPack 2.11 хотя он в точности
совпадает с тем что приведен в статье

Слушай, я щас упаду со стула Ты считаешь, что я не знаю как выглядит кусок перехода к OEP??? LOL!!!!!!! Если бы ты был внимательным, то увидел бы, что я написал :

Дело в том что я делаю переход на свою секцию и в процессе выпонения проги этот переход замещается всякой лабудой

Понимаешь, что меня интересовало, или опять нет? Прочитай ещё раз, и покажи, ГДЕ я спрашивал про переход на OEP????

Asterix пишет:
я не буду удалять этот топик, потому что более одаренные новички могут подчерпнуть
в нем полезную информацию

Вообщем то я не новичёк... Но тебе как я вижу это доказывать безполезно. Отсюда можно почерпнуть только то как ведёт себя человек который считает что если у него есть модераторские права то ему всё позволено.

bkslash
Большое спасибо, это именно то, о чём я спрашивал.
Вопрос исчерпан.

| Сообщение посчитали полезным:

NUCLEuS пишет:
Это листинг из статьи которую ты мне дал. Но это скорее всего 2.12, чем 2.11
NUCLEuS пишет:
Слушай, я щас упаду со стула Ты считаешь, что я не знаю как выглядит кусок перехода к OEP??? LOL!!!!!!!

это действительно LOL, я тебе привел листинг перехода на OEP ASPack 2.11,
он в точности такой же как ASPack 2.12
поэтому твои слова Но это скорее всего 2.12, чем 2.11 фикция

| Сообщение посчитали полезным:

NUCLEuS пишет:
Вопрос исчерпан

тебе это только показалось, потому что в следующий раз ты придешь спрашивать
как инлайнить ACProtect или еще что-нибудь

| Сообщение посчитали полезным:

Asterix
"№;%:ять !!!! НО AsPack 2.11 с полиморфом, и переход на OEP видно уже в ПРОЦЕССЕ распаковки, а я не знал как сделать так, чтобы мой джамп не парафинился этим грёбанным аспаком.

P.S.Как же ты меня достал.
Тема закрыта.

| Сообщение посчитали полезным:

NUCLEuS пишет:
а я не знал как сделать так, чтобы мой джамп не парафинился этим грёбанным аспаком.

В статье как раз об этом и написано
NUCLEuS пишет:
3.Читать я умею
вот в связи с этим возникают непонятки, умеешь читать или все-таки нет?

| Сообщение посчитали полезным:

NUCLEuS ну ты и вправду тугадум. Чего сложного? Если переход на OEP затирается, ставишь бряк на запись в это место и смотришь, где команды, затирающие код. Перезапускаешь прогу и смотришь по тому адресу. Если мусора нет, патчишь сначала тот адрес (переход на свой патч), а затем уже расшифрованый прыжок на ОЕП. Ну а если там мусор, то опять ставишь бряк на запись.... Я так AsProtect 2.11 SKE патчил. Там у меня получилось 6 уровней раскриптовки, прежде чем переход расшифровался. Ну а если хочешь красивее, то почитай статью Алекса про инлайн AsProtect'a 2.0, но тогда придется криптор и декриптор писать.

PS А топику тут самое место.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Ну а если хочешь красивее, то почитай статью Алекса про инлайн AsProtect'a 2.0
если речь о красоте, то красивее инлайн ASProtect 2.0 с помощью ASPRAPI от Spiteful, там ты патчишь API ASProtect'a, а не полиморф.
в кратце: ты перехватываешь API ASProtect'a, подставляя свои адреса. для этого ASPRAPI расшифровывает кусок данных, в которых хранятся адреса API аспра, ты подставляешь свои адреса, ASPRAPI криптует всё обратно.
подробнее см. ASPRAPI от Spiteful http://www.free-for-all.ru/tsrh/reliz/2005/04/asprapi.tutorial-tsrh.zip

-----
EnJoy!

| Сообщение посчитали полезным:

NUCLEuS
Asterix
Парни, не ругайтесь. Кто-то не догоняет, и задает вопрос, кто- то знает, но для него это в прошлой жизни

Asterix ты же модер. Я по следам этого топика написал мини-тутор в RAR статьи, четыре дня назад
и не привета не ответа? Если там что неправильно, отпишитесь, а если годится - выкладывайте и дайте сцилку NUCLEuS'у

| Сообщение посчитали полезным:

crc1 пишет:
Я по следам этого топика написал мини-тутор в RAR статьи

RAR статьями занимается ALe}{

| Сообщение посчитали полезным:

crc1 скинь мне свою статью, если не влом, на iamnovisible(_____@___mail__).ru

| Сообщение посчитали полезным:

P.S. Если кому-нибудь из новичков будет непонятен инлайн AsPack 2.11, пишите на мыло, доходчиво объясню.
P.P.S. Мыло выше

| Сообщение посчитали полезным: