Отучил от регистрации несколько простых, незапакованых прог и решил попробовать запакованую.
Выбор пал на offline explorer enterprise 4.3.2442.
Запустил peid- он говорит aspack 2.12b (overlay), pesniffer говорит Asprotect x.xx. Ну я подумал, дело плохо.
Запустил для интереса quickunpack, он говорит asprotect. Запучкаю stripper, он вроде начинает что-то делать, запускает прогу, потом пишет "error in finding last SEH". Короче автоматическая распаковка не получилась.
Решил попробовать вручную. Почитал несколько статей по распаковке aspacka. Короче нашел в проге место
00A8D3B0 61 POPAD
00A8D3B1 75 08 JNZ SHORT OE.00A8D3BB
00A8D3B3 B8 01000000 MOV EAX,1
00A8D3B8 C2 0C00 RETN 0C
00A8D3BB 68 00000000 PUSH 0
00A8D3C0 C3 RETN

Я так понял по последнему ret'у мы попадаем на пресловутый OEP, зашел туды, через plugin ollydump задампил. Запускаю ImpRec, вписываю OEP, жму ITAAutoSearch, пишет че-то нашла, жму get imports, появляется одна функция на конце valid:no. Делаю fixdump, пишет IAT is still invalid...
Дамп не запускается. Где я накосячил?

Еще 2 ламерских вопроса в догонку:

1)При просмотре проги в Olly натыкаюсь на такие места:

00878A04 . 55 PUSH EBP
00878A05 ? 8BEC MOV EBP,ESP
00878A07 ? B9 0C000000 MOV ECX,0C
00878A0C . 6A 00 PUSH 0
00878A0E . 6A 00 PUSH 0
00878A10 . 49 DEC ECX
00878A11 ?^75 F9 JNZ SHORT OE.00878A0C
00878A13 ? 53 PUSH EBX
00878A14 . 56 PUSH ESI
00878A15 ? 57 PUSH EDI

Причём при перемещении по строчкам команды постоянно меняются... а если зайти на любой call в этих местах то попадаешь на такое дело:

0040571D C2 DB C2
0040571E 58 DB 58 ; CHAR 'X'
0040571F 52 DB 52 ; CHAR 'R'
00405720 8B DB 8B
00405721 48 DB 48 ; CHAR 'H'
00405722 FC DB FC
00405723 E8 DB E8
00405724 B4 DB B4

Что это все значит?

2) Уж извините если чушь спрашиваю, но тем не менее, можно ли сделать такой патч для запакованой проги который "прикручивается" к ней и в момент запуска программы (когда программа уже распаковалась в памяти но еще не запустилась) меняет нужные байты в памяти тем самым избавляя ее от регистрации и т.д?

| Сообщение посчитали полезным:

sliderZ пишет:
00A8D3BB 68 00000000 PUSH 0
00A8D3C0 C3 RETN
ты хочешь сказать, что OEP == 0 ??? ОШИБКА!!!
sliderZ пишет:
2) Уж извините если чушь спрашиваю...
Инлайн патч тебе поможет. В статьях (не уверен) и на www.wasm.ru (точно) есть статьи по этой теме.

-----
Blame the victim!

| Сообщение посчитали полезным:

sliderZ

Посмотри здесьomega.intechhosting.com/~access/ARTeam/tutorials/ интересные
статьи, особенно omega.intechhosting.com/~access/ARTeam/tutorials/file_info/download1.php?file=Synopsis_on_Asprotect_SKE_Patching_by_MaDMAn_H3rCuL3s.rar (7 метров) правда на английском,
но на безрыбье и рак рыба.

| Сообщение посчитали полезным:

1nn0cent

Когда доходит до этого места "push 0" меняется на "PUSH OE.00878A04"

| Сообщение посчитали полезным:

sliderZ пишет:
offline explorer enterprise 4.3.2442.
Раньше были запакованы ASPack 2.12b -> Alexey Solodovnikov [Overlay] - по версии PeID

sliderZ
OEP = 00478A04 - это вписываешь в ImpREC.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS

Как раз этот OEP (00878A04-00400000) и вписывал, его еще ollydump показал когда дампил.

| Сообщение посчитали полезным:

sliderZ

Импек, не правильно размер и расположение иат определяет. поставь 4b124c и размер 1000. Лишнее отрежешь.

| Сообщение посчитали полезным:

cadet

Все получилось! Спасибо. Не скажешь хотя бы в общих чертах откуда правильный RVA и Size взял?

| Сообщение посчитали полезным:

Я делаю так, в олле выбираем all intermodular call
выбираем например RegQueryValueExA call 40941c
переходим по 40941с, там jmp dword [8b13b4]
в дампе смотрим 8b13b4, вот и иат, а дальше на глаз видно
где начало и примерно конец.

| Сообщение посчитали полезным:

sliderZ - не геморойся распросами, лучше почитай по этой тематике отличную статью (на краклабе она есть - "Об упаковщиках в последний раз. Часть вторая"), в ней есть подраздел "9. Практический пример: Aspack" - где подробно описанно что, как и главное почему именно так делается, тебе только останется отрезать секции аспака (там неописанно=>можешь спросить), а таким шаманством заниматься - жуть одним словом.
В аттаче скрипт для Олли, иногда помогает ;)

3bb0_19.08.2006_CRACKLAB.rU.tgz - aspack.rar

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Да вроде с основами уже разобрался, прогу распаковал и вылечил (хотя и не полностью, малость сложновата она для меня оказалась чтобы все красиво сделать).

| Сообщение посчитали полезным:

sliderZ пишет:
чтобы все красиво сделать

а крастота во взломе иногда не вожна (разработчики софта тоже не дремлют) - главное отлом
дай ссыль на прогу, поможем

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Покопался еще - все сделал красиво. Ни нага, ни надписи Notregistered.
Сейчас тестю прогу и патч писать собираюсь

| Сообщение посчитали полезным: