 |
eXeL@B —› Вопросы новичков —› ASProtect 1.23 RC4 Demo Распаковка |
| Посл.ответ | Сообщение |
|
|
Создано: 28 мая 2007 13:00 · Личное сообщение · #1 Доброе время суток. Пожалуйста подскажите что не так. По --> статье <-- на данном сайте я распаковал программу 3Wget 1.5? запакованную этой версией аспры там говорилось что OEP в SoftIce выглядит так push 004762A5 ; <= OEP push 00F67BA2 RET Где 004762A5 и есть адрес перехода на OEP. После перехода, на который идет мусорный код с крадеными байтами посмотрел в HIEW по этому адресу, выше есть нули для записи краденых байт, вообще все сделал,как написано и все получилось, распаковал. Но взял другую программу --> Remote Desktop Control 1.8 <-- запакованную такойже версией аспры, там переход на OEP выглядит также, два пуша и рет, а дальше нули (хотя до этих пушей очень много кода, не так как в 3Wget). push 00A57DD2 (00A57DD2=00406DD54) ; так было написано в SoftIce push 00A546EE4 RET Посмотрел также в HIEW на дамп, но там места (нулей) для краденых байтов нету, хотя , да и OEP какой-то странный адрес (406DD54). Как мне кажется я неправильно нашел OEP. Вопрос вот в чем, всегдали в аспре, ну хотябы в случае этой версии переход на OEP выглядит как push xxxxxxxx ; <=OEP ? push xxxxxxxx RET ps: Прошу прощения если даный вопрос поднимался на форуме. Я не нашел нужного ответа.  |
|
|
Создано: 28 мая 2007 13:02 · Личное сообщение · #2 Прошу прощения за невнимательность. 406D54 адрес OEP а не 406DD54 |
|
|
Создано: 29 мая 2007 09:38 · Поправил: Sturgeon · Личное сообщение · #3 Заранее прошу прощения, что не могу помочь ничем конкретным. Я не спец по Аспру, да и вообще чайник. Но раз никто из "взрослых" не хочет помогать, то может быть какую-то пищу для размышлений я смогу подкинуть. OEP скорее всего нашел правильно. Я пробовал доходить до него руками по разному, скриптами. Результат вроде тот же 406D54. Спертые байты сильно метаморфизированны, насколько я понимаю. Их наверное проще выдернуть из какой нибудь другой проги, чем разгребать это дерьмо. Вот пара ссылок на туторы по этой версии аспра. Я сам не пробовал по ним распаковывать, но вроде уважаемые люди писали. [url=http://www.exelab.ru/art/?action=view&id=222 ]www.exelab.ru/art/?action=view&id=222 [/url] www.nuc.cz/tutorials/&direction=0&order=&directory=UNPACKING /ASPROTECT http://www.nuc.cz/tutorials/&direction=0&order=&directory=UNPACKING/ASPROTECT |
|
|
Создано: 30 мая 2007 14:45 · Личное сообщение · #4 Sturgeon В RAR-статьях есть прекрасная статья - Распаковка AsProtect 1.2х “Шаг за шагом”. (LaBBa & Nice) почитай и все встанет на место (по крайней мере OEP). |
|
|
Создано: 30 мая 2007 20:09 · Личное сообщение · #5 cadet Спасибо, конечно... Только это не я спрашивал. Статью эту я читал. Замечательная статья. Только к сожалению она сильно отличается от данного случая |
|
|
Создано: 31 мая 2007 10:43 · Личное сообщение · #6 dmoon пишет: 406D54 адрес OEP - это неправильная OEP, это прыжок на GetModuleHandleA. Нужно поднятся в главную ветку проги. Про это мнооого было написано Тут лежит статья -= ALEX =- hack4joy.narod.ru/crack/arc4/arc4.htm Один в один с этой прогой. Кури Вот правильная OEP с восстановленными спертыми байтами 004BC608 PUSH EBP
|
|
eXeL@B —› Вопросы новичков —› ASProtect 1.23 RC4 Demo Распаковка |
Для печати