Сейчас на форуме: ut2004, vsv1 (+8 невидимых)

 eXeL@B —› Вопросы новичков —› Помогите восстановить импорт.
Посл.ответ Сообщение

Ранг: 33.6 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 30 сентября 2006 14:04
· Личное сообщение · #1

Скачал маленькую прогу:
www.kgsoft.com/ftp/hiappk.zip

ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov

Снял дамп, начал импорт восстанавливать, после trace lvl 1 disasm осталось 6 нераспознанных, 4 из них я восстановил а 2 не могу опознать:

1:

009DC928 A1 44369E00 MOV EAX,DWORD PTR [9E3644] //тут лежит значение 0A280105
009DC92D C3 RETN

2:

009DC950 A1 48369E00 MOV EAX,DWORD PTR [9E3648] // тут лежит значение FFFFFFFF
009DC955 C3 RETN


Посоветуйте чего-нибудь




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 30 сентября 2006 15:10
· Личное сообщение · #2

Используй пулгины для ImportREC.exe, напр ASPR_1.23-ImpREC_Plugin.dll

Дамп файла прилипил сюда: rapidshare.de/files/35033234/_HiAppKiller.exe.html

-----
-=истина где-то рядом=-


Ранг: 420.3 (мудрец)
Активность: 0.240
Статус: Участник

 Создано: 30 сентября 2006 23:42
· Личное сообщение · #3

KingSise пишет:
Используй плугины для ImportREC
sliderZ, смотри аттач


249f_30.09.2006_CRACKLAB.rU.tgz - Plugins.rar

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

Ранг: 33.6 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 01 октября 2006 04:11
· Личное сообщение · #4

Плагин конечно сработал, но так никогда ничему не научишься...

Хотелось бы все-таки узнать, хотя бы в общих чертах, почему первую фун-ю он опознал как GetVersionA, вторую как GetCurrentProcessID и еще одну:

..........
009DC9A9 53 PUSH EBX
009DC9AA E8 5D7AFFFF CALL 009D440C ; JMP to kernel32.FindResourceA
009DC9AF 50 PUSH EAX
009DC9B0 53 PUSH EBX
009DC9B1 E8 C67AFFFF CALL 009D447C ; JMP to kernel32.LoadResource
009DC9B6 50 PUSH EAX
009DC9B7 E8 C87AFFFF CALL 009D4484 ; JMP to kernel32.SetHandleCount
009DC9BC 50 PUSH EAX
009DC9BD 53 PUSH EBX
009DC9BE E8 D97AFFFF CALL 009D449C ; JMP to user32.DialogBoxIndirectParamA
009DC9C3 5B POP EBX
009DC9C4 5D POP EBP
009DC9C5 C2 1400 RETN 14


Вместо DialogBoxIndirectParamA опознал как DialogBoxParamA и это оказалось правильно.



Ранг: 200.3 (наставник)
Активность: 0.090
Статус: Участник

 Создано: 01 октября 2006 04:45
· Личное сообщение · #5

Вот накатал мой ход распаковки, если интерестно узнать остальное - все в твоих руках ;)
Статейка в аттаче

ec68_01.10.2006_CRACKLAB.rU.tgz - unpack_asprotect_1.23.txt

-----
Само плывет в pуки только то, что не тонет.

Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

 Создано: 01 октября 2006 07:45
· Личное сообщение · #6

DrFits

Спасибо. Читал в захлеб.


 eXeL@B —› Вопросы новичков —› Помогите восстановить импорт.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати