Вот,тыкал в PEID показывает ASProtect 2.1
http://zl0y.jino-net.ru/download/proga.rar http://zl0y.jino-net.ru/download/proga.rar если кто сможет распакуйте плиз !

| Сообщение посчитали полезным:

-->тебе сюда<--

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

Скачай эту утилиту ТЫЦ http://syd.nightmail.ru/stripper_v213b9.rar , ей твоя программа легко распакуется.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Люди может кто на примере этой самой проги расскажет как в нем (ASProtect 2.1x SKE) до OEP дойти?
В статьях про нахождение OEP толком не нашел.

| Сообщение посчитали полезным:

Спасиюо помогло

| Сообщение посчитали полезным:

sliderZ пишет:
В статьях про нахождение OEP толком не нашел.
А это чтоhttp://exelab.ru/rar/dl/CRACKLAB.rU_32.rar
Коротко для танкистов
1. Грузишь прогу в Олю, снимаешь все игноры (Options > Debuggind options > Exeptions - убрать все галки)
Дальше жмешь Shift+F9 пока не запустится прога. Идешь в Олю открываешь меню Viev > Log в логе ищешь
адрес последнего исключения
вырезано......
00BD0923 Access violation when writing to [00000000]
00BD0ACB Access violation when writing to [00000000]
00BD0BF5 Access violation when writing to [00000000]
00BCBCDA INT3 command at 00BCBCDA
00BCDA0A Access violation when writing to [00000000]
00BCF569 Access violation when writing to [00000000] => последнее исключение. Запомни адрес
5B260000 Module D:\WINDOWS\system32\uxtheme.dll
10000000 Module D:\Program Files\Socrat Personal\schook32.dll
вырезано......
Перезапусти прогу и по Shift+F9 чапай до последнего искл. Попадешь сюда
00BCF569 0156 00 ADD DWORD PTR DS:[ESI], EDX
00BCF56C EE OUT DX, AL ; I/O command
00BCF56D B7 D8 MOV BH, 0D8
вырезан......
00BCF5AA 8858 08 MOV BYTE PTR DS:[EAX+8], BL
00BCF5AD 833F 00 CMP DWORD PTR DS:[EDI], 0 => сюда бряк (F2) и Shift+F9
00BCF5B0 75 1D JNZ SHORT 00BCF5CF
2.Когда бряк сработает снимай его и ставь в карте памяти след. бряк Set memory breakpoint on access на секцию Code и F9
Попадешь сюда
00406B54 E8 A7949E00 CALL 00DF0000 => вызов в виртуальную машину (VM)
00406B59 0E PUSH CS
00406B5A 8BC0 MOV EAX, EAX
00406B5C FF25 6CC24900 JMP DWORD PTR DS:[49C26C] ; kernel32.LocalAlloc
Видно, что это нихрена не ОЕР. Че делать
Глядим на стек
0012FFA0 00DD0ABA RETURN to 00DD0ABA from 00E60000 => адрес возврата
0012FFA4 00000000
0012FFA8 3D83D8BF
Вывод: протектор использует VM и ОЕР находится в виртуальном адресном пространстве (начало секции 00DD0000)
Начинай все сначала до пункта 2. Во втором пункте ставь Set memory breakpoint on access на секцию с адресом 00DD0000 и F9. Брякнешься тут
00DD02F3 55 PUSH EBP => вот это ОЕР
00DD02F4 E9 8D090000 JMP 00DD0C86
00DD02F9 68 A608DD00 PUSH 0DD08A6
00DD02FE E8 FDFC0800 CALL 00E60000
00DD0303 68 820BDD00 PUSH 0DD0B82
00DD0308 E8 F3FC0800 CALL 00E60000
А дальше начинай исследовать VM гы...
ЗЫ. Виртуальные адреса у тебя будут другие

| Сообщение посчитали полезным:

Поправочка
crc1 пишет:
00406B54 E8 A7949E00 CALL 00DF0000 => вызов в виртуальную машину (VM)
Это вызов защиты "Advanced import protection". Т.е. замена jmp/call dword ptr [API]

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Поправочка
Принимается (но вызов ведет в VM или нет?)

| Сообщение посчитали полезным:

crc1
Все ясно, только у меня почему-то вместо

00406B54 E8 A7949E00 CALL 00DF0000 => вызов в виртуальную машину (VM)
00406B59 0E PUSH CS
00406B5A 8BC0 MOV EAX, EAX
00406B5C FF25 6CC24900 JMP DWORD PTR DS:[49C26C] ; kernel32.LocalAlloc



00406B54 E8 DB E8
00406B55 A7 DB A7
00406B56 94 DB 94
00406B57 C6 DB C6
00406B58 00 DB 00
00406B59 0E DB 0E
00406B5A 8BC0 MOV EAX,EAX
00406B5C $-FF25 6CC24900 JMP DWORD PTR [49C26C] ; kernel32.LocalAlloc


ctrlA не помогает, первые 6 байт всеравно вот такие.

| Сообщение посчитали полезным:

sliderZ
Твои

00406B54 E8 DB E8
00406B55 A7 DB A7
00406B56 94 DB 94
00406B57 C6 DB C6
00406B58 00 DB 00
00406B59 0E DB 0E
00406B5A 8BC0 MOV EAX,EAX

Это
00406B54 E8 A794C600 CALL 01070000
00406B59 0E PUSH CS
00406B5A 8BC0 MOV EAX,EAX

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

а почему у него нормально этот кусок прописалси а у меня db?

| Сообщение посчитали полезным:

Надо учиться читать вначале инструкцию по использованию отладчика!
Выделяешь свои байту, топчешь правой кнопкой на выделенном участке->Analysis->During next analysis, tread selection as->Commands и получишь такой листинг, т.е. нормальные инструкции (объяснять почему так происходит небуду)

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Забирай распакованную прогу:

FormPoster_unpacked.rar (354.kb) http://samlab.info/bokiv/temp/FormPoster_unpacked.rar

-----

| Сообщение посчитали полезным: