Всем доброго времени суток. Недавно столкнулся с необходимостью распаковки старых, но не очень, 2.0-2.1 версий аспра. Инфы по этому делу достаточно, так что распаковка у меня прошла без проблем. Но решил на будущее чисто для себя написать плагин для PeiD и Die для автоматического нахождения ОЕР. Суть в том, что в этом плагине с помощью отладочных АПИ реализую простенький цикл отладчика, перехватываю первое исключение аспра EXCEPTION_ACCESS_VIOLATION, далее к текущим атрибутам первой секции (границы секции считываю с диска) добавляю PAGE_GUARD, а когда происходит исключение по доступу к этим страницам, смотрю, не произошло ли оно по адресу, который находится в первой секции. Если нет, то отладчик передаёт далее DBG_CONTINUE, а если да, то мы, типа, нашли место рядом с ОЕР. Алгоритм вполне рабочий для старых версий, до ОЕР которых можно было дотопать по исключениям. Но проблема в том, что если без таких мемори брейкпоинтов, исключений происходило где-то 20-30, а срабатываний мемори брейкпоинтов и того меньше (так, например, происходит в ольке) то в моём минидебаггере срабатываний этих мемори брейкпоинтов штук 70. И ни один адрес не указывает на ОЕР, которое я нашёл в отладчике. Почему такое происходит - ума не приложу. Т.к. проект ещё не готов - исходники не прилагаются, ноесли кто-то считает, что действительно может помочь, то могу выложить в личку.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
если кто-то считает, что действительно может помочь

Ну смотря на чём написано. На самом деле лучше бы выложил пример того что распаковал. Может найдётся способ попроще для нахождения OEP, нежели ловить исключения.

| Сообщение посчитали полезным:

Если не секрет, зачем распаковывать ?

| Сообщение посчитали полезным:

Может быть потому что инлайн это полу ламерское решение?

P.S. Хотелось бы вопросов и предложений по существу, а не флуда.

| Сообщение посчитали полезным:

Написано на Delphi, но без ооп и другого фанатизма, я старался, чтоб код был прост и функционировал правильно, а распаковывал для простоты исследования, но тут вопрос не только и не столько в распаковке, сколько в проходе до ОЕР, не пойму, зачем может сама цель понадобиться?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Цель может понадобиться для того, чтобы всем было интересно, а не только тем, кто в этой защите уже ковырялся

| Сообщение посчитали полезным:

В принципе, подойдет любая программа, запакованная аспром упомянутых версий, я ведь хочу сделать универсальный ОЕР поисковик, чтоб для всех версий аспра подходил,
Если эта версия генерит исключения, то с помощью моего детища можно будет найти место либо непосредственно на оригинальной точке входа, либо рядом

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
не пойму, зачем может сама цель понадобиться?

Чтобы точно знать, для какой версии создаётся тулза.

| Сообщение посчитали полезным:

В качестве цели, например, можно взять крякми из раздела рар-статьи, там статья про то, как некий аргентинский реверсер пытается снять зарегистрированную вторую версию, там нет краденных байт, поэтому вышеупомянутый алгоритм должен будет сразу показать ОЕР. Я бы привел ссылку для скачкавния на статью, но мне неудобно сделать это с мобилы

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Всем спасибо за внимание, решил проблему - это была моя ошибка реализации алгоритма.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: