 |
eXeL@B —› Вопросы новичков —› Проблема с распаковкой ASProtect 1.2c, программа Embird |
| Посл.ответ | Сообщение |
|
|
Создано: 01 апреля 2007 22:02 · Личное сообщение · #1 Здравствуйте, про распаковку АСпротекта написанно много, но я так понял что каждый случай все более и более индивидуальный становиться, потому вот моя история: Embird studio 2004 www.embird.org/sw/embird/estudio4b4.exe ломал вот эту программку, не столько из-за надобности, сколько из спортивного интереса, хотя и интерес к этой программе имеется. Что я имею PEiD 0.9 показал что программка обработана ASProtectom версии 1.2С, именно ц, хотя думаю профи это не удивляет, но я не нашел ничего про версию с таким индексом. Пробовал множество автоматических распаковщиков, распакованной версии получить так и не удалось. Начал распаковывать руками с помощью ОллиДбг. Что делал: Влетел в секцию исключений, посчитал сколько исключений до старта программы, на последнем через шаг поставил бряк, влетел в основную программу, поискал ближайшие POPAD, первый был какой-то невразумительный, а вот второй найдены попад мне показался хорошим, там в ЕАХ пихается адрес и по нему идет джамп. Посчитал данный адрес OEP, зациклил прогу, снял с нее дамп PEeditorom. Потом из набора статей про то как распаковывать АСПротекторы, я вычитал что есть еще варианты stolen byte, но не имея знаний что с ними делать, ничего делать не стал. В многих описаниях распаковки они частенько даже не упоминались, потому решил что и без их учета можно что-то сделать. Далее запустил оригинал программы (не дамп) и при помощи imprec 1.4 попытался восстановить таблицу импорта, данный товарищ после трасинга нашел практически все переходы кроме 2, если их попросить найти скриптом для распаковки АСПротекторов 1.22 то они радостно находятся. Причем на предложенную точку входа, мною найденную, и скорректированную на 0х0040000 ругаться импрек не стал, так что похоже это правильная точка. Пофиксил снятый дамп и... Далее меня ожидал облом с тем что программа не заработала, вернее запустилась что то начала подгружать и вылетела. Тут я опять вспомнил про столен байты, но опять же ничего про них не знаю, полез отлаживать уже распакованную программу(как советывали в одном из описаний распаковки), нашел функцию при вызове которой происходит облом, но сделать с ней ничего не могу, любые попытки обхода функции приводят к крашу программы. Вот теперь ищу помощи у гуру, очень хочется дожать эту программку. В итоге конечно хочется снять триальную защиту, или убедить программу, что она зарегестрированна, последние у меня почти удалось, в упакованном варианте. Но интересно сделать это самому, хочется получить комментарии, что я сделал не так, и по каким признакам, что было сделано теми, кому удалось ее дожать. Пробовал добиться цели при помощи регмонов и файлмонов, но опыта у меня ноль и особенно ничего не нашел, также и устранитесь мертвых ключей не помог, способ решения «проблемы» с этого конца тоже очень интересен.  |
|
|
Создано: 02 апреля 2007 09:43 · Личное сообщение · #2 T34 ASProtect 1.2c - энто ж древняя версия аспра, никаких stolen byte там нет(в то время Солод еще не додумался:s5 
Caspr рулит |
|
|
Создано: 02 апреля 2007 12:20 · Личное сообщение · #3 Дык не работает же. Я не нашел каспра который бы его распаковал. Есть варианты что это под АСпротект маскируетсья какой то другйо протектор? Может кто из знающих на файлик поглядеть? |
|
|
Создано: 02 апреля 2007 12:23 · Личное сообщение · #4 Слушай, тот архив...не инсталяха то...прога при запуске не находит нужную длл, какае-то itkrn14n.dll... Залей ее сюда  и посмотрим что там и как...
|
|
|
Создано: 02 апреля 2007 13:03 · Личное сообщение · #5 Да я ща решил повторить все заново готовыми программа, и понял что не на то ссылку дал. www.embird.org/sw/embird/embrd2k4b7.exe вот сама программа, то была дополнительная опция к ней. прошу прощения |
|
|
Создано: 02 апреля 2007 15:28 · Личное сообщение · #6 Слушай, дак она без проблем распаковывается....что-то ты не то делал...там действительно ASProtect 1.2, а сама прога на Delphi написана. Пробуй, можеш и не руками, возьми даже Stripper 2.07 final....но для практики конечно пробуй своим умом
P.S. OEP=00814AE0 Также обрати внимание на FEEDER.EXE, там ASProtect 2.1x SKE Удачи в твоих начинаниях 
|
|
|
Создано: 02 апреля 2007 15:57 · Личное сообщение · #7 OEP знамо правильно нашел. И что она на дельфи написанна тоже уже знаю, причем еще по косвенным определил,а потом в распакованной мной ПЕид так и написал. Но вот что то все попытки стрипперов делали проги неработающие. Да и ручками тоже не особо работующая прога вышла... ну феедер меня пока мало интересует, или без него ничего работать не будет? Я просто так понял что феедер определяет инфу про комп, но далее не участвует в работе программы. или я не прав? |
|
|
Создано: 02 апреля 2007 16:13 · Личное сообщение · #8 не что то стрипперы у меня не те чтоли. все одно и тоже 17:12:17 - error in finding last SEH, (drn == 0).. 17:16:37 - error in reaching last SEH.. 17:16:37 - unpacked file was not created.. 17:16:37 - done.. может кинете куда распакованный файл, если у вас получилось? |
|
|
Создано: 02 апреля 2007 17:12 · Личное сообщение · #9 Наконец то нашел стрипер 2.07 который написал что все распаковал. Но при запуске программы она пишет файл возможно поврежден и рухает. Все тоже самое как было у меня после ручной распаковки. Ничего нет нового на земле, у вас распакованная программа запустилась? или вы просто поверели надписи стриппера что все распаковалось и ура?! Вопросы начала темы остаются актуальны! |
|
|
Создано: 02 апреля 2007 19:32 · Личное сообщение · #10 Не, ну ты и даеш...конечно что запустилась, у меня все ОК! работает как и запакованная... Напиши что имеенно пишет, а я тебе распакованный файл куда-то залью...только мне надо опять инсталяху качать и распаковывать....я дома уже, а все то на работе осталось
|
|
|
Создано: 02 апреля 2007 19:53 · Личное сообщение · #11 пишет File is probably damaged! после нажатия ок, программа начинает грузиться, рисует окно и благополучно вылетает. Есть конечно шанс что я какие то не те настройки в стрипере поставил, но он не очень большой. Буду весьма благодарен за распакованный файл. И за указания какими настрйоками это было сделанно, ну и для полноты картины дистриб того стриппера, которым распаковывали вы. |
|
|
Создано: 02 апреля 2007 22:38 · Личное сообщение · #12 ОК! Завтра с работы залью... |
|
|
Создано: 04 апреля 2007 09:58 · Личное сообщение · #13 Ну так ищи проверки на распакованность, еще может быть обращение к памяти, которой после распаковки нет, а там было имя юзера ----- Yann Tiersen best and do not fuck |
|
|
Создано: 04 апреля 2007 13:34 · Личное сообщение · #14 там все падает на кернеловской функции. Я так полагаю эта та, к которой переход не восстановился при трасинге, когда таблицу имортов восстанавливал. Этот момент не очень гладко прошел, потому предвижу что он и виноват, как руками таблицу импорта восстанавливают? может надо именно эти 2 ненайденные функции ручками поправить и понеслась? |
|
|
Создано: 04 апреля 2007 15:18 · Личное сообщение · #15 Нашел первую проблемку, там еще библиотека была присобачена, тоже АСпротектором запакованная, распаковал ее автоматической распоковывалкой, появилось еще несколько экцепшенов, но работать прога все равно не начала... |
|
|
Создано: 04 апреля 2007 17:16 · Личное сообщение · #16 Есть ли смысл распаковывать библиотеки связанные с программой, если в них мне ничего патчить не надо? Я так понял смысл распаковки в возможности добраться до кода программы, и модифицировать его, или я не прав? Распакованная программа, при вызове упакованной библиотеки будет работаьт также как упакованная, или система защиты просечет этот момент и не будет давать работать распакованной программе? |
|
|
Создано: 05 апреля 2007 15:24 · Личное сообщение · #17 T34 Прога чекает размер файла 00403A18 CALL <JMP.&kernel32.GetFileSize> Поставь бряки в распакованной программе тут 0074C34D CMP BYTE PTR DS:[ESI+B76],0
Вопчем исследуй |
|
|
Создано: 05 апреля 2007 15:46 · Личное сообщение · #18 О спасибо! попробую |
|
eXeL@B —› Вопросы новичков —› Проблема с распаковкой ASProtect 1.2c, программа Embird |
Для печати