Короче, распаковываю я ASPAck 2.12.
Там висит ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov.

Нашел я OEP=44289C.
Дамплю PETools.
Запускаю ImprREc, нахожу импорт, Fix Dump (Add new section).

Запускаю дамп, он падает на первом калле. (CALL call 004033F4).
Смотрю чё в калле, а он падает на ret.
Посмотрел в запакованном EXE - там ret возвращает на 4428A7.
А в распакованном - на 12FFE0.

Чё за фишка? Наверно ламерский вопрос.

| Сообщение посчитали полезным:

sniperZ пишет:
Нашел я OEP=44289C
OEP 442CE8 .Еще кое что подправить и работает

| Сообщение посчитали полезным:

sniperZ пишет:
Нашел я OEP=44289C
Все правильно.

Мой импорт в аттаче, сравни со своим. После распаковки 2-ды упадет, потрассируй, разберешься. Если нет, подскажу...

cf82_15.11.2006_CRACKLAB.rU.tgz - tree.rar

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
sniperZ пишет:
Нашел я OEP=44289C
Все правильно.

если OEP 44289C- у меня лажа и импорт здесь равен 0.
если 442CE8 импорт такой же.

Скрин OEp приатачте плиз сравню.

| Сообщение посчитали полезным:

Нефиг вам делать, маетесь ерундой, почитали бы лучше статью какую-нибудь и прошлись по коду аспра, а то ваши диалоги непонять - как импорт может от ОЕП зависеть? Да и по импреку непомешало бы уяснить что-нибудь о его работе.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits пишет:
диалоги непонять - как импорт может от ОЕП зависеть? Да и по импреку непомешало бы уяснить что-нибудь о его работе.

Мое OEP 442ce8 импорт нормальный
если OEP 44289C пишет что импорт найден но там лажа а че непонятно(вот что имел ввиду), то вот и непойму может сборка какая то другая бог его знает.

А как импрек работает и так неплохо знаю.

| Сообщение посчитали полезным:

Импорт восстанавлевается нормально.

sniperZ пишет:
Смотрю чё в калле, а он падает на ret.
Посмотрел в запакованном EXE - там ret возвращает на 4428A7.
А в распакованном - на 12FFE0.

А вот почему ret в call 44289C выводит не туда.

Этот call идёт сразу после OEP(где-то рядом).

| Сообщение посчитали полезным:

sniperZ пишет:
Этот call идёт сразу после OEP(где-то рядом).
Это не ответ. Давай с кусками кода. И подробнее.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Dark Star пишет:
Мое OEP 442ce8 импорт нормальный
если OEP 44289C пишет что импорт найден но там лажа а че непонятно(вот что имел ввиду), то вот и непойму может сборка какая то другая бог его знает.
И только из за этого ты выбрал другое ОЕП? Бу го го, метод поиска импорта от ОЕП еще для UPX писался, тогда и протов то нормальных не было. А если ты ОЕП = 0 сделаешь и импорт найдется, то нулем и оставишь?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
А если ты ОЕП = 0 сделаешь и импорт найдется, то нулем и оставишь

Да ни че я не выбипрал я только проверил.У меня тоже ASPACK 2.12 тоже на нем висит ASProtect1.22-1.23 beta 21. Почему OEP разное. Да бог с ним он у меня всеравно уже ломаный да и им не пользуюсь.
Все больше не кидайтесь камнями хорош.

| Сообщение посчитали полезным:

ValdiS пишет:
Это не ответ. Давай с кусками кода. И подробнее.

OK.

004033F4: E8B3FFFFFF CALL 004033AC
004033F9: 6A00 PUSH 00000000
004033FB: E8D0DEFFFF CALL 004012D0
00403400: 890514504400 MOV [00445014], EAX
00403406: E8ADDEFFFF CALL 004012B8
0040340B: 89051C504400 MOV [0044501C], EAX
00403411: C705185044000A000000 MOV [00445018], 0000000A
0040341B: B84C314000 MOV EAX, 0040314C
00403420: C3 RET

Вот на этом ret распакованная прога прыгает на 12FFE0.
А запакованная - на 4428A7.

Так понятно?

| Сообщение посчитали полезным:

sniperZ пишет:
Вот на этом ret распакованная прога прыгает на 12FFE0.
А запакованная - на 4428A7.
- у тебя стэк не сбалансирован

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

sniperZ А подумать не пробовал. Раз работает по разному - значит на стеке разное содержимое.
Либо один из этих call-ов сработал неправильно, либо сам call 4033F4. Как вариант - неправильно распаковал и от OEP по разному прога работает в нормальном и распакованном варианте.
DrFits
Про баланс стека ошибочка, т.к. команды одни и те же.

| Сообщение посчитали полезным:

tundra37 пишет:
Раз работает по разному - значит на стеке разное содержимое.

Это понятно.

А по конкретнее, как это исправить?

| Сообщение посчитали полезным:

sniperZ ASProtect SDK -> ASP_DecryptProc

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
ASProtect SDK -> ASP_DecryptProc

Ага я тебя понял.

Отвечай по внятнее.

| Сообщение посчитали полезным:

sniperZ пишет:
А по конкретнее, как это исправить?
Сначала найти причину путем трассировки и сравнения работы пакованной и непакованной проги.
Есть метод проще : попробовать другие методы распаковки. PETools ведь не дампит - дампит плугин, где гарантия ? Я бы использовал автоматический распаковщик или олли - надежнее.

| Сообщение посчитали полезным:

tundra37 пишет:
Я бы использовал автоматический распаковщик
А какой именно эту версию аспра берет?

| Сообщение посчитали полезным:

sniperZ пишет:
004033F4: E8B3FFFFFF CALL 004033AC
004033F9: 6A00 PUSH 00000000
004033FB: E8D0DEFFFF CALL 004012D0
00403400: 890514504400 MOV [00445014], EAX
00403406: E8ADDEFFFF CALL 004012B8
0040340B: 89051C504400 MOV [0044501C], EAX
00403411: C705185044000A000000 MOV [00445018], 0000000A
0040341B: B84C314000 MOV EAX, 0040314C
00403420: C3 RET

У тебя
004033FB |. E8 D0DEFFFF CALL <JMP.&kernel32.GetModuleHandleA> ; GetModuleHandleA

и

00403406 |. E8 ADDEFFFF CALL <JMP.&kernel32.GetCommandLineA> ; [GetCommandLineA?


sniperZ пишет:
Дамплю PETools.
В каком месте дамп снимал?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
В каком месте дамп снимал?

DumpFull

| Сообщение посчитали полезным:

sniperZ пишет:
DumpFull
Адрес? Я не спрашивал чем.
А call совпали?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
А call совпали?

Да.

Вот линк на мой дамп.
h_t_t_p://rapidshare.com/files/3980357/Dumped_.rar.html

Глянь плиз.

| Сообщение посчитали полезным:

ValdiS пишет:
Адрес? Я не спрашивал чем.

Стоя на OEP.

| Сообщение посчитали полезным:

А че сам не видеш
4033FB GetModuleHandleA и
403406 GetModuleHandleA (здесь должна быть GetCommandLineA)

| Сообщение посчитали полезным:

Dark Star пишет:
А че сам не видеш
4033FB GetModuleHandleA и
403406 GetModuleHandleA (здесь должна быть GetCommandLineA)

Дырявые глаза.

А чё ImprRec в этом аспре импорт прохо берёт?

Плагины тоже GetCommandLineA не находят.

| Сообщение посчитали полезным:

У меня все четко нашел может глюк просто.

Будут вопросы задавай.

| Сообщение посчитали полезным:

sniperZ пишет:
Плагины тоже GetCommandLineA не находят.
Пробуй


222d_19.11.2006_CRACKLAB.rU.tgz - Plugins.rar

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Я к своей статье прикладывал плагин, тот четко работает...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
К какой из статей? Что за плаг?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Распаковка ASProtect 2.xx (Декомпиляция VM) (1197 Кб)
http://www.exelab.ru/rar/dl/CRACKLAB.rU_32.rar

Там плагин для распознавания заэмуленых АПИ старых версий аспра, в 2.xx аспр только GetProcAddress и RaiseException эмулит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: