| Сейчас на форуме: bartolomeo, -Sanchez- (+4 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Asprotect.... что делать дальше???? |
| Посл.ответ | Сообщение |
|
|
Создано: 05 апреля 2006 15:05 · Личное сообщение · #1 Доброго времени суток. Вобщем суть проблемы в следующем есть DLL-ка запакована Asprotect- ом (Черт его знает каким, но вроде 2.?? SKE(так показал RDG Packer Detector 0.5.8 а PEid Говорит Aspack 2.12(вроде лажа))) При отладке в Ольке вижу только 2 Int3 останавливаюсь на 2ом ставлю бряк на секцию кода... Все на что пока хватило мозгов. Далее снимал дамп раз 20 с разных мест но в ImportRec-е Все ОЕР(которые пишеш ручками) неверные. Може там VM? Наверное где нибудь у Вас на сайте есть инфа по распаковке этого Аспра но для начала очень бы хотелось понять чем конкретно запакована данная ДЛЛка. Заранее спасибо. (кстати пробовал различными Stripper и QUnpack не помогло) Да еще забыл, нет ли у кого нибудь инфы по распаковке Armadillo 3.78-4.xx? hxxp://webfile.ru/get/623073301/Exp.dll (500 kb)  |
|
|
Создано: 05 апреля 2006 15:38 · Личное сообщение · #2 Здорово! А какой версией PEID пользуешся?! Касаемо распасковки dll - может тебе поможет статья: http://exelab.ru/rar/dl/CRACKLAB.rU_4.rar Скачай и посмотри, там в конце автор неплохо описывает принцип распаковки dll. |
|
|
Создано: 05 апреля 2006 21:59 · Личное сообщение · #3 PEid 0.93 и 0.94 - и тот и другой определяет Aspack 2.12 (Ну неверю и все тут) А по распаковке ДЛЛ спасибо Vadim за статейку. Так то принцип понятен. Может кто глянет DLL своим опытным взглядом,всего ведь 500кб. Мне бы только понять чем запакована. |
|
|
Создано: 05 апреля 2006 22:17 · Личное сообщение · #4 Sybex Привет! Я бы посмотрел, но ссылка устарела! Дай, мне новую ссылку, будет время посмотрю 
|
|
|
Создано: 05 апреля 2006 23:07 · Личное сообщение · #5 hxxp://webfile.ru/895398 держи Заранее спасибо! |
|
|
Создано: 06 апреля 2006 00:54 · Личное сообщение · #6 Sybex PEiD 0.94 показал что ASProtect 2.1x SKE -> Alexey Solodovnikov В принципе смотря по секциям так и есть Это ASProtect 2.х Какой не знаю. Кстати нужен для него еще setupproject.dll ----- Есть вопросы ко мне? В личку! |
|
|
Создано: 06 апреля 2006 08:13 · Личное сообщение · #7 hxxp://webfile.ru/895773- setupproject.dll YoriCH У тебя какой то плагин к Peid 0.94 стоит?? А как ты по секциям определил? Заранее спасибо! |
|
|
Создано: 06 апреля 2006 08:17 · Личное сообщение · #8 hxxp://webfile.ru/895773 setupproject.dll YoriCH А как по секциям определить???? Заранее спасибо! |
|
|
Создано: 06 апреля 2006 08:40 · Личное сообщение · #9 Sybex Привет! Я посмотрел dll - она и правда запакована ASPack 2.12, подобие того, что есть у меня. Ну теперь вперёд распаковывать.... |
|
|
Создано: 06 апреля 2006 09:21 · Личное сообщение · #10 Sybex Vadim Да у него впереди идут секции без названий (штук 6), так ASPack по моему не делает. Плагин - какой именно? Сигнатуры качал отсюда же. При попытке скажем распаковать скажем распаковщиком от PE_Kill он как раз и говорит: ASPack the nucleus is in the allocated memory, it is possibly ASProtect!... Так что ASProtect... ----- Есть вопросы ко мне? В личку! |
|
|
Создано: 06 апреля 2006 11:40 · Личное сообщение · #11 YoriCH да, это я забыл сказать, что моя тулза еще и ASPR детектит. Это так сказать скрытая фишка 
----- Yann Tiersen best and do not fuck |
|
|
Создано: 06 апреля 2006 12:05 · Личное сообщение · #12 PE_Kill пишет: да, это я забыл сказать, что моя тулза еще и ASPR детектит. Это так сказать скрытая фишка Видимо наработка на будущее...  Удачи.
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 06 апреля 2006 12:32 · Личное сообщение · #13 Ну да, правда процедура определения версии аспра вырезана полностью, за ненадобностью... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 06 апреля 2006 13:38 · Личное сообщение · #14 Короче, при попытке распаковать Stripperom 2.11 определяется Аспр но не распаковывает (версия 2.11 снимает Аспр 1.3-2.0(из readme)) . Это Не Аспак потому что Qunpack 1.0 точно снимает Аспак 2.12 а это не проходит. Далее, DieAspack 1.41 вообще не обнаруживает в Дллке Аспака. При отладке в ольке много Access violation when write to [000000000]. Далее запаковал Аспаком 2.12 Нотепад в ольке ставлю бряк на Push 8000(из тутора) торможусь там и снимаю дамп Импрек все определяет и восстанавливает импорт(правда нотепад не запускается наверно надо резать секции). В этой Дллке тоже есть PUSH 8000 но на нем не брякает. Вот такая фигня. Дак что это за пакер на ДЛЛке? Мужики помогайте ни чего не понимаю. (Прошу прощения может написал чего не так поправте если что) |
|
|
Создано: 06 апреля 2006 13:40 · Личное сообщение · #15 Уточнюсь,--- вроде понятно что АСПР но какой???? |
|
|
Создано: 06 апреля 2006 17:29 · Поправил: YoriCH · Личное сообщение · #16 Sybex Лучше спросить у PE_Kill он же говорит у него вырезана процедура определения версии ASProtect. Может определит и скажет? 
----- Есть вопросы ко мне? В личку! |
|
|
Создано: 07 апреля 2006 08:06 · Личное сообщение · #17 PE_kill подскажи чего делать с этим Аспром? С какой стороны подойти? |
|
|
Создано: 07 апреля 2006 10:01 · Личное сообщение · #18 Sybex Распаковывается также как и ексешник. Вроде не ВМ и спёртых байт нет. Только у меня пока проблеммы с импортом. |
|
|
Создано: 07 апреля 2006 10:45 · Личное сообщение · #19 rep0A Подскажи пожалуйста как нашел ОЕР? Буду оооооочень признателен!!! |
|
|
Создано: 07 апреля 2006 12:46 · Личное сообщение · #20 Что дела, что делать - сухари сушить. Там же всё просто. Даже VM нету и OEP на месте. Единственная жопа - это релоки. Но я кажется кое что придумал. Если надо, могу распаковать, но как сделал писать не буду, чтобы в n-й раз не повторять, то что везде написано. Распаковать? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 07 апреля 2006 14:40 · Личное сообщение · #21 ДА |
|
|
Создано: 07 апреля 2006 15:32 · Личное сообщение · #22 Sybex пишет: Подскажи пожалуйста как нашел ОЕР? Загружаем длл в ольку, убираем все галки в Exceptions, в плагине IsDebugPresent выбираем Hide, жмём Shift+F9 пока прога не запустится, смотрим какое было последнее исключение в логе(кнопка L), запоминаем последние 3 цифры(мой личный извратный способ), жмём кнопку << (вторая с лева) для перезапуска, опять выбираем Hide в плагине IsDebugPresent, жмём Shift+F9 пока прога не брякнется на последнем исключении(смотрим последние три цифры), ставим бряк на ближайшем ret-e или прыжке и нажимаем F9, нажимаем кноpку M, выбираем секцию кода(code) жмём F2 и F9. Прога должна тормознутся на OEP. А вообще надо статьи читать, там это уже не раз писали. PE_Kill А не мог бы ты дать линк на то что везде написано?
|
|
|
Создано: 07 апреля 2006 17:01 · Личное сообщение · #23 rep0A В самом начале я написал При отладке в Ольке вижу только 2 Int3 останавливаюсь на 2ом ставлю бряк на секцию кода.. Прога тормозитьса на [009548a4 ------push ebp] снял дамп загнал в Импрек ввожу там ОЕР вычитая предварительно ImageBase Импрек пишет --- "нету ОЕР"!!! |
|
|
Создано: 07 апреля 2006 18:18 · Поправил: cadet · Личное сообщение · #24 Sybex А ты как импорт восстанавливал? Или ты так оеп проверяешь? А в импеке еще кроме оер, лучше еще ввести начало иат и размер. |
|
|
Создано: 07 апреля 2006 19:00 · Поправил: rep0A · Личное сообщение · #25 Sybex Ты ImageBase не правильную вычитаешь, правильная - 870000. Убери галку в настройках импрека Use PE Header From Disk. Хотя всёравно придётся RVA и Size вручную вводить - импрек находит не всё. |
|
|
Создано: 08 апреля 2006 00:20 · Личное сообщение · #26 Sybex Вопрос снимаю, вроде "дошло" как импорт восстанавливать, правда пока ручками. |
|
|
Создано: 08 апреля 2006 09:15 · Личное сообщение · #27 Проверь... rapidshare.de/files/17465755/exp_.rar.html ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 апреля 2006 21:34 · Личное сообщение · #28 Работает отлично!! Всем Огромное спасибо в особенности Pe_Kill"y |
|
eXeL@B —› Вопросы новичков —› Asprotect.... что делать дальше???? |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати