Привет всем!!
Я как посмотрел тут все чайники решили начать сражаться с ASProtectом под руководством PE_Kill. И будучи тоже посудой со свистком решил я попробовать распаковать FontExpert 2005 пользуясь статьей вышеупомянутого геноссе.
Оказалось что из всех чайников я самй-самый. Кто-то не может импорт восстановить, кто-то спертые байты; кто-то ОЕР ищет... а я даже НАЧАТЬ искать ОЕР не могу.

Праблы в следующем:
Открываем FontExpert в Оле. Снимаем все галочки на вкладке Exceptions в опциях отладки и отпускаем прогу по Ф9. По идее (и по статье PE_Kill) я должен остановиться примерно на таком исключении

Access violation writing to {00000000},

а я останавливаюсь на

INT 3 command at 00E672C6.

Ладно, прорвемся... жму Ф9 еще раз. Останавливаюсь второй раз на такой же хрени. И еще раз Ф9. Прога запустилась... охренеть;

Блин, что же делать. ПОМОГИТЕ!!! Я совсем никудышный, да?
В чем может быть причина такой хрени?
Пробовал разные сборки Оли. Не помогает.
Может дело в каких-то плагинах? Типа Оlly Advanced? Могу перечислить что у меня стоит.
Может в настройках Оли?. Настройки как в статье Bit-hack "Olly Debugger от А до Я". Естественно с убранными галками в Exceptions.
Может глюки в самой Винде?. ХР Home+SP2. Пробовал на разных компах. такая же лабуда.

Вот же, блин...

| Сообщение посчитали полезным:

Так как ты не написал, какая версия проги FontExpert 2005, я взял свою версию 7.0.0.4 и плагин PE Killa показал asprotect 1.35 build 04.25 or 6.26 release, а статья PE Killa называется распаковка asprotect 2.XX. Может в этом проблема?

| Сообщение посчитали полезным:

А ты достал версию 2005 года?на сайте токо 2006..Может там и другая версия аспра?что пеид показывает?

| Сообщение посчитали полезным:

Мдя... лох это судьба... это песня про меня...


с сайта я скачал версию 2006. В нете нашел 2005 года, правда русифицированную.


Для обеих версий PeId показывает

ASProtect 2.1x SKE -> Alexey Solodovnikov


А если с плагином Ver A, то опять же для обоих версий:

Version: ASProtect 1.35 build 04.25 Release [Extract]

То есть это как бы совсем не тот ASProtect?


Я как по статьям посмотрел вроде для всех версий протектора алгоритм нахождения ОЕР одинакоый. Или нет?

| Сообщение посчитали полезным:

Почитай здесь --> Link <--
если нужно просто распаковать Striper 213b9 эту заразу берет.

| Сообщение посчитали полезным:

cadet пишет:
если нужно просто распаковать
да нет. не нужно. просто хотел научиться ручками распаковывать. Видно пока рано. Пойду заглядывать через плечо к старшим товарищам.
Все равно спасибо за участие

| Сообщение посчитали полезным:

Это дело никогда не рано начинать и даже полезно. Просто жертву попроще выбери.

| Сообщение посчитали полезным:

Sturgeon пишет:
Ладно, прорвемся... жму Ф9 еще раз. Останавливаюсь второй раз на такой же хрени. И еще раз Ф9. Прога запустилась... охренеть; - ну и в чем проблема? Ну меньше исключений - быстрее до ОЕП дойти (если оно не сперто), т.к. большинство пакеров добавляет свою секцию после секции кода, и секция кода сжата, то пакер вначале её расжимает и обрабатывает, а потом уже прога начинает выполняться (когда расжата), выполнение начинается с ОЕП - значит нам надо отловить этот момент, когда управление передастся секции с кодом, для этого в общем случае, на последнем исключении, ставят в олли игноры всех экзепшинов, и ставят на секции с кодом бряк "мемори он аксцесс" и жмут shift+F9. Сразу после этого мы должны прерваться в секции с кодом. Затем восстанавливаешь ОЕП (если украдено), импорт (на глаз найдешь способ восстановить) и спертые части проги.
Все написанное - мои предположения, я тоже посуда со свистком=> сильно не пинать.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

мне ASProtect 1.3x - 2.xx OEP Finder v0.1.txt скрипт помог ОЕР найти в похожем случае , правда я долго не верил что это OEP =) потому что чуть скрол вверх сделаешь сразу PUSH в какуюто ерись превращался...

Script written by VolX
//support Asprotect 1.32, 1.33, ,1.35, 1.4, 2.0, 2.1, 2.11, 2.2beta, 2.2, 2.3

все скриты брал тут: www.pediy.com/tools/debuggers/ollydbg/script.htm

=== Описание собственой проблемы ==================================
исследовал WhereIsIt 3.73 (702) www.whereisit-soft.com/

PEiD v0.94: ASProtect 2.1x SKE -> Alexey Solodovnikov
VerA v0.15: ASProtect 1.35 build 04.25 or 06.26 Release [Extract]

Идея была простая т.к. прога работет некоторе время со сгенереным ключем нормально, а потом в случайный момент времени делает доп. проверку, то просто правим
0068FFEB 75 0A JNZ SHORT WhereIsI.0068FFF7
на jmp и все ob! казалось бы ... но вот с распаковкой траблы.

во первых Striper 2.13b9 распаковывает эту заразу только на одной машине (на которой винду переустанавливал недавно со всеми патчами WinXP SP2 Pro Rus) и при отсутствии key файла , но прога перестает обращать внимание на License.key и соответственно фишка с jmp уже не катит ;)

попробывал ручками ... с месяц наверно уже бадаюсь
итоги:

1) до OEP дошел по скриту

2.1) сдампил impRec 1.6 подправил две функции plaginom ASProtect 1.22.dll
в итоге запускается, но куча CALL 014A0000,
понятно что нужно править импорт еще до impRec...

2.2) юзаю скрипт ASProtect 1.3x - 2.xx IAT Repair Script v1.02.txt , в итоге приходится снимать дамп заново уже после его работы ( на OEP поподаю ставя в Memory map бряк на секцию "code") а то дамп не запускается вааще.... Call 014A0000 пофиксены вродебы все ок,
но начинаются вылеты по jmp 0150000 или PUSH 0150000 RETN.
думаю фигня щас из оригинального exe повыдираю код вставлю в коней секции код в дампе подправлю jmp и push и все ;)
профиксил 4 прыжка, а дальше оказываетя что есть еще N-штук переходов на секции которые сами появляются у же в распакованом файле естественно что там мусор и как пофиксить эти грабли я не доганяю ибо в оригинальном файле этих кусочков кода size=1000 штук 20 ;)
да еще походу в них код изменяется уже по ходу выпонения основной программы ...
вот такой ppc ...

а теперь вопрос: как вообще боротся с тем что сама прога юзает код аспра ??? тупо занупать не получается вроде

P.S. вобщем нужен пинок в правельном напралении, а дальше уж сам буду доковыривать

P.S.S. пока писал обнаружил, что уже новая версия вышла WhereIsIt? 3.74 (build 904)

| Сообщение посчитали полезным:

Sturgeon, да не парься ты, пройди по F7 один раз всю распаковку (вдумчиво обходя циклы), у меня на это ушло в первый раз минут 20-30, даже если понадобится несколько часов, всё равно, дело того стоит.
Мусора там совсем не так много как может показаться с первого взгляда, обход циклов при грамотной постановке условий элементарен (например: на проверке значения завершенности цикла Shift+F2 и условие типа ECX==0). Короче говоря: настоящий киллер должен знать анатомию лучше хирурга.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Всем спасибо за советы. Сегодня научился снимать АСПР 1.23 по статье ValdiS и соседней ветке форума. Так что и до второго АСПРа доберусь.
Хотя может действительно пока рановато. Я к программированию никакого отношения не имею. Начал осваивать асм самостоятельно, читая книги, статьи, задавая глупые вопросы на форумах, и, засовывая в дизассемблер все подряд. Но когда-нибудь все равно смогу и АСПР распаковать.
Обязательно попробую потрассировать. Ну а если ничего не получиться вернусь к этому вопросу попозже.

П.С. Краклабовцы, вы молодцы!

П.П.С.
Bitfry пишет:
Короче говоря: настоящий киллер должен знать анатомию лучше хирурга.
Ну дык... PE_Kill уже есть, а я буду PЕ_Surgeon . Даже ник менять почти не придется

| Сообщение посчитали полезным:

Моя статья не научит распаковке, она лишь даст начальные знания для дальнейшего его изучения, не больше... Нормальная статья по распаковке будет весить не менее 20 мб с картинками, а может и больше...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Sturgeon пишет:
Сегодня научился снимать АСПР 1.23 - в нем есть место замены спертого импорта, чтоб не париться, там меняешь пару строк и IAT получаешь чистую, ну только ессно гетпрокадресс и еще пару функций не восстановяться т.к. в другом месте засовываются (это чтоб меньше с IAT париться), я такого вроде ни в одной статье невидел по 1.23 т.к. вроде только сам я так делал.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Людиии! у кого у осталась версия fontexpert той версии, которая в статье, поделитесь пожалуйсто! Хочется по шагам попробывать, поизучать. То что на сайте там уже другие релизы и более новой версией аспра упаковано. Вобщем поделитесь, если не трудно именно этой версией

| Сообщение посчитали полезным:

rapidshare.de/files/37300223/FontExpertSetup.exe.html
www.rapidshare.ru/75396
slil.ru/23271530
tryor.com/files/10720/FontExpertSetup.exe.html

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill, спасибо..
бессонная ночь только впереди...
кстати динамич. адреса там отличаются от тех, что в статье. И Инструкции местами тоже не совпадают. Но общий принцип такой же. Буду ковырять

| Сообщение посчитали полезным:

Я распаковывал именно этот дистрибутив

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Здравствуйте. Понимаю, что лезу немного не туда, но обсуждения статьи "Распаковка нового ASProtect на примере Advanced Archive Password Recovery v.3.00" автора SergSh на форуме и в поисковике вроде бы не видно(может статья просто древняя), а тут вроде бы тоже у ASR-ра 2-я версия. Суть проблемы:

1 Сам по вашим статьям научился распаковывать ASProtect 1.22-1.23 ,1.23 RC4, 1.24(проги типа Electra, Куриная месть.Первая разборка, скринсейвер и т.д. с затиранием репой краденого начала проги и без).

2 Нужно двигаться дальше и тут с удивлением обнаруживаю, что статей по распаковке версий 1.3-2.0 нет вааще(может я в шары долблюсь, незнаю). Плиз, если можно, то ссылку на подобную статью, а то руководство как починить велосипед есть(1.21-1.22), как починить мопед-есть(1.23 RC4), как починить боинг747 и космический челнок-есть(2.0x-2.12xx и выше). А вот как отремонтировать просто машину нет.

3 Из всех имеющихся статей более всего понятно было у SergSh в "Распаковка нового ASProtect на примере Advanced Archive Password Recovery v.3.00", но тут такой казус. Проискав в инете подопытную прогу версии 3.0 нашел две ссылки, скачал, инсталятор обещал версия 3.0 (как в статье),- в итоге версия 3.01, чем забиты все ссылки на эту прогу в инете и PEID говорит не ASProtect 1.2-1.3 registered(2.0x по словам SergSh),а ASProtect 2.1x SKE. Ну ладно:

а)34раз Shift+F9 ставим бряк на ближайший переход внизу, ещё раз Shift+F9, снимаем бряк,ставим на Alt+M на секцию кода(401000), но не снова Shift+F9, как в статье, а trace into(а то EOP будет на две команды ниже и затруться два Push-а). Останавливаемся на EOP 42A910. Ctrl+A и всё видится чинно и благородно.

б)Читаем статейку дальше и пробуем запустить его скрипт(в папку его,в Script , в Олю, в виде txt предварительно). И оля повисает пробовал подождать 1,5 часа думал это скрипт так долго на более свежей версии ASp-ра трудится(хрен то там:s14. Запущено как положено без бряков и с OEP после trace into и я в plugin->IsDebuggerPresent ->Hide, с полным игнором исключений.

в) Руками по его совету IAT пока не пробовал, всё так пока трудно для понимания и непривычно и завтра на работу а уже 2ночи. Граждане, слезно молю дайте ссылку на настоящий Advanced Archive Password Recovery v.3.00, а то шатл починить не могу пока, дайте хоть чертежи к боингу. А если почти серьезно, то научиться распаковывать ASPr до второй версии включительно руками хочется так, что аж эти руки зудят.

P.S. Не пинайте сильно за дурацкие просьбы самого маленького. Это первый выход в свет. Начал реверсить 18.12.06 с нуля. Реверсил даже в новогоднюю ночь. Для меня это очень важно(научиться распаковывать)!

| Сообщение посчитали полезным: