Здравствуйте всем!
Прошу прощения за, возможно, повторяющуюся тему, просто в поиске не нашёл нужной.
Можно ли представить, какой "облом" для меня случился, когда я скачал с Интернета такую громадину, как (download.ord.iolo.net/sm/7pro/trial/SystemMechanic7Pro.exe) System Mechanic Professional 7 (38 МБ) с целью её ПОЛНОЙ русификации (вполне серьёзно!), установил и не смог распаковать её программные файлы, запакованные ASPack'ом! Конечно, безусловно, что защита распространённая и не стоит её "оскорблять", но в прошлом с ней я с лёгкостью справлялся с помощью Aspack1.41. Однако до такого я ещё не доходил... Прошлая 6-ая версия System Mechanic Professional легко распаковывалась (там было, по-моему, "ASPack 2.12a -> Alexey Solodovnikov"). Теперь в PEiD отображается "ASPack 2.12b -> Alexey Solodovnikov [Overlay]", а при распаковке тем же Aspack1.41 появляется ошибка "Couldn't force debuggee to load User32.dll "! И другими программами пробовал - ничего! Одно плохо - ручками не умею, простите уж меня. Да я и буду учиться, если в этом случае поможет только такой способ. Просто дело в том, что все другие проги я так или иначе распаковывал автоматом... Только подскажите мне. Я уже всё испробовал, помогает только присоединение сдампированного файла с расширением *.RU, только в этом случае невозможен перевод "зашитого" текста, а там его много!
Может, это из-за оверлея, или b-версия такая крутая?
Пожалуйста, подскажите, почему возникает эта ошибка, и что ещё можно сделать, если есть какие-нибудь статьи по такому случаю, пожалуйста, укажите ссылку. Буду очень благодарен за любую помощь!
Вот ссылка на один из файлов (там их 16), запакованных этим аспаком: www.rapidshare.ru/197124
Выложил один на всякий случай, т.к. все весят 13,5 мегабайт.

| Сообщение посчитали полезным:

Veliant
Пасиб, только там еще где-то надо править... Пробовал cadet пишет:
Поставил бряк на ExitProcess а оно мне в ответ "You must run this add-on from the 'Add-Ons' folder located in the path where LaunchIt NOW! Plus is currently installed. Re-installing the add-on may fix this problem."

| Сообщение посчитали полезным:

Snake 60 пишет:
ou must run this add-on from the 'Add-Ons' folder located in the path where LaunchIt NOW! Plus is currently installed.
Он тебе пишет, что из папки с установленным LaunchItNow запускать надо, ты плагины никуда не копировал?
P.S. А зачем тебе в плагинах бряк на ExitProcess, тоже выкидывает?

| Сообщение посчитали полезным:

Это ты для плагинов пробовал?
clenup - попробуй поправить 40B80C и 40C3B9. Другие наверное тоже самое.

| Сообщение посчитали полезным:

cadet пишет:
попробуй поправить 40B80C и 40C3B9
По адресу 40C3B9 находится "MOV BYTE PTR SS:[EBP-8],0". И проблема в данном случае даже не в этом. Просто, по-моему, Snake 60 запускает плагины не из папки addons

| Сообщение посчитали полезным:

cadet пишет:
Это ты для плагинов пробовал?
Да, плагин открывал OLLY через File -> Open... плагин находился в папке с программой, установленные по умолчанию... Получается, что плагин понимает что его открыли через другую прогу. Если его просто запускаешь то вываливается с другим сообщением, про целостность файла и вирусы...
cadet пишет:
clenup - попробуй поправить 40B80C и 40C3B9
слушай... что-то по этим адресам переходами не пахнет
вот что у меня в clenup по ним:
.0040B80B: 007409C6 add [ecx][ecx][-003A],dh
.0040C3B8: 04С6 add al,0C6
И еще вопросик, если я знаю код строки этих сообщений об ошибке (для cleanup например 14016 и 14031) это может мне помочь найти адрес вызова этих сообщений и если да, то как это сделать???
Snake 60 запускает плагины не из папки addons
ошибаешься... в том то и дело, что из папки где прога установлена, то бишь: C:\Program Files\LaunchIt NOW! Plus\Add-Ons

| Сообщение посчитали полезным:

Snake 60, у меня такое сообщение выскакивает, когда я на первый exception в kernel32 нажимаю Ctrl+F9. А с Shift+F9 проходит нормально

| Сообщение посчитали полезным:

Snake 60

40b80c - правильно
а второй слегка перепутал 40c3a5

Нажимаем ctrl+g, вводим адрес и увидишь переход.

По поводу остановок попробуй в оле выставить галочки так:

| Сообщение посчитали полезным:

В cleanup попробуй это занопить
004028C9 . 85C0 TEST EAX,EAX
004028CB . 0F84 22010000 JE Dumped_.004029F3

| Сообщение посчитали полезным:

Что-то не цепляется.

| Сообщение посчитали полезным:

третья попытка

6f5c_23.04.2007_CRACKLAB.rU.tgz - ol.JPG

| Сообщение посчитали полезным:

cadet пишет:
40b80c - правильно
а второй слегка перепутал 40c3a5
Veliant пишет:
В cleanup попробуй это занопить
004028C9 . 85C0 TEST EAX,EAX
004028CB . 0F84 22010000 JE Dumped_.004029F3
Не помогает... Либо где-то не там ковыряем или у меня руки кривые...

| Сообщение посчитали полезным:

Делай как кадет говорит))
По адресам (или после них)
40b80c
40c3a5
есть JE, после того как я их заNOPил стало норм))

| Сообщение посчитали полезным:

cadet пишет:
По поводу остановок попробуй в оле выставить галочки так:
Ага, выставил... получил сообщение об ошибке, только где проверка там идет так и не нашел чайник я ещё торни носом, плиз...
Veliant пишет:
есть JE, после того как я их заNOPил стало норм))
Щас попробую...

| Сообщение посчитали полезным:

Veliant
cadet
Урааа... заработала... Я то блин, чайник, не NOP-ил, а менял 75 на EB... Век живи - век учись...
Спасибо, ребяты... с вами я умнею на глазах

| Сообщение посчитали полезным:

Veliant
cadet
Ещё бы кто-нить торнул носом в адреса для revpwd.exe и shutdown.exe ;)
или обьяснили бы поподробней как их найти... на будущее

| Сообщение посчитали полезным:

Snake 60

Там защита одинаковая.
ищи по сигнатуре
1-я 83 b9 58 01 00 00 00 74 09
2-я 83 b8 58 01 00 00 00 74 12

меняй 74 на 75. И усе.

С тебя русик

| Сообщение посчитали полезным:

cadet пишет:
Там защита одинаковая. ищи по сигнатуре
Спасибо, дружище

cadet пишет:
С тебя русик
Не вопрос

| Сообщение посчитали полезным:

ребята, можете помочь мне разобраться на примере этой --> Link <--, в ней Aspack 2.12, пробывал как написано в посте №2, но пишет:
[ 41,89] Load file Donrest.exe... [ ok ]
[ ---- ] Header info: ImageBase: 00400000, EP: 003AD001
[343,18] Start debug session... [ ok ]
[ ---- ] PID: 00000DB0
[732,76] Wait EP... [ ok ]
[ ---- ] Real ImageBase: 00400000
[ ---- ] Trace...
[ ---- ] ASPack not found Done...

| Сообщение посчитали полезным:

utwer
Берёшь OllyDbg и вперёд. --> Статьи <--, --> RAR-cтатьи <--, --> FAQ <--

| Сообщение посчитали полезным:

Konstantinя уже читал все это, но вот просто не могу понять с какой Олей лучше рабоатть, во всех версиях 2,0 нет опции плагин и я не могу запустить дамп, а вот в версия 1,1 я не найду ф-ции breakpoint? вот на этих местах и застрял

| Сообщение посчитали полезным:

Я давно распаковщик не обновлял, может дойдут руки перепишу его, а может и нет

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

utwer пишет:
вот в версия 1,1 я не найду ф-ции breakpoint

на любом адресе в окне дампа или кода, жмёшь правую кнопку мыши, в появившемся меню ищешь - breakpoint, далее выбираешь нужный. Соответственно бряк установится на адрес, где был курсор.

| Сообщение посчитали полезным:

Konstantin пишет:
на любом адресе в окне дампа или кода, жмёшь правую кнопку мыши, в появившемся меню ищешь - breakpoint, далее выбираешь нужный.
костя, все это я понял, вот в версии 2,0 так получается, а в версии 1,1 нет этого пукта при нажатии правой кнопки. Возможно это связано с ошибкой, которая выпадает при запуске Оли ? (В аттаче скриншот)

1a45_16.06.2011_EXELAB.rU.tgz - Image 1.jpg

| Сообщение посчитали полезным:

В какой системе работаешь? x86 или x64?

Для x64 есть плаг - stealth64. У него в настройках установи - x64 Compatibility mode.
То сообщение на картинке - это так и должно быть для ольки настроенной по дефолту. Она сообщает, что ОЕП проги находится вне секции кода. Это нормально для упакованных программ. Где то в настройках его можно отключить. Вроде.

| Сообщение посчитали полезным:

Konstantin пишет:
В какой системе работаешь? x86 или x64?
х86

ЗЫ: вот скриншот при нажатии правой кнопки и на нем видно,ч то нет опции breakpoint

4c21_16.06.2011_EXELAB.rU.tgz - Image_2.JPG

| Сообщение посчитали полезным:

У тебя активно окно стека. Поэтому и контекстное меню другое.
Я же писал:
на любом адресе в окне ДАМПА или КОДА

| Сообщение посчитали полезным:

Konstantinя вот делаю все по этой --> инструкции <--, тогда не могу понять пункт - "Выделяем четыре первых значения (00 12 FF A4)" - где и как их выделить, а также "запоминаем значение 00154678" - что это за значение ?

| Сообщение посчитали полезным:

Ну все правильно там написано:
Выбираем Follow in Dump (Пройти в дамп)
Т. е в окно дампа, а не стека. Окно дампа внизу справа, стека - внизу слева. выделяешь в нем первые четыре байта, далее по инструкции.



utwer пишет:
"запоминаем значение 00154678"
Это относительный адрес OEP программы (RVA OEP). Т. е. берем OEP - 554678. Вычитаем из него Image Base - 400000, т. е. базовый адрес по которому загружена программа. Получаем RVA OEP - 154678. У тебя он будет другой - OEP=66BB48, RVA OEP=26BB48

P.S.Konstantin пишет:
Окно дампа внизу справа, стека - внизу слева.
Это моя ошибка, правильно - Окно дампа внизу слева, стека - внизу справа.

| Сообщение посчитали полезным:

Спасибо за помощь, сделал все доконца, но результата нет - всеравно просить ключ

ЗЫ: заметил, что у тебя на скрине другой адресс, у меня 00 12 FF A4, а у тебя 00 18 FF 6C

| Сообщение посчитали полезным:

utwer пишет:
но результата нет - всеравно просить ключ
Так исследуй дальше код, прога теперь распакована. Распаковка - это не лом, патчить код можно без проблем.

| Сообщение посчитали полезным: