Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Отдирание ASProtect 2.1 от файла. |
27.05.2007, 14:54
|
|
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
Провел на форуме:
4226446
Репутация:
1564
|
|
Отдирание ASProtect 2.1 от файла.
Решил разобраться с принципом работы ASProtect 2.1 (опыт распаковки более ранних версий был). Возникла следующая проблема. Запаковал им блокнот. На последнем исключении поставил точку останова на секцию с кодом. Сработало, но в теле аспра. Перешел по адресу OEP, заранее мне известному. А там как раз джамп в секцию ASProtect.
Oep:
0100739D .- E9 DB8EA6FF JMP 00A7027D
Перешел по этому адресу.
00A7027D 6A 70 PUSH 70
00A7027F EB 02 JMP SHORT 00A70283
00A70281 CD20 FF742410 VxDCall 102474FF
00A70287 66:9C PUSHFW
00A70289 57 PUSH EDI
00A7028A 64:EB 02 JMP SHORT 00A7028F ; Superfluous prefix
00A7028D CD20 8D3C11F2 VxDCall F2113C8D
00A70293 EB 01 JMP SHORT 00A70296
00A70295 - E9 F3EB02CD JMP CDA9EE8D
00A7029A 2003 AND BYTE PTR DS:[EBX],AL
00A7029C FA CLI
00A7029D F3: PREFIX REP: ; Superfluous prefix
00A7029E EB 02 JMP SHORT 00A702A2
00A702A0 CD20 8D7C245C VxDCall 5C247C8D
Ну то есть мало того, что аспр в свое тело переносит oep, он еще ее и с мусором смешивает. Как восстанавливать все на место не представляю. Может кто сталкивался?
|
|
|
27.05.2007, 15:06
|
|
Участник форума
Регистрация: 07.01.2007
Сообщений: 103
Провел на форуме:
726068
Репутация:
122
|
|
Если я не ошибаюсь то эта версия использует Vm (виртуальную машину) . Фактически аспр крадёт туеву хучу команд, и все их надо восстанавливать вручную очень трудоёмкий процесс...Насколько я помню где то в просторах инэта валяется скрипт для Ольки по восстановлению...Но по моему опыту он очень нестабильный. Стыдно признатся но именно из за Vm я откладываю большенство взломов. Многие сейчас криптуют аспром свои проги....
|
|
|
|
27.05.2007, 16:21
|
|
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
Провел на форуме:
4226446
Репутация:
1564
|
|
Спасибо. Материал отыскал. То, что я нашел - VOEP (Virtual OEP). Как с этим работать буду разбираться.
|
|
|
|
27.05.2007, 19:47
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
00A70281 CD20 FF742410 VxDCall 102474FF
ахха че за VxDCall ?)
это же INT 20
че у тебя за отладчик, который так любит вин9х-ные vxd
|
|
|
|
27.05.2007, 20:05
|
|
Участник форума
Регистрация: 07.01.2007
Сообщений: 103
Провел на форуме:
726068
Репутация:
122
|
|
а вообще давай линк на саму прогу..таки легче самому один раз увидеть чем...сто раз читать..
|
|
|
|
28.05.2007, 22:26
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
или юзай 9 бетку стриппера, которая восстановит вм-интрсукции сама
|
|
|
|
29.05.2007, 02:39
|
|
Участник форума
Регистрация: 07.01.2007
Сообщений: 103
Провел на форуме:
726068
Репутация:
122
|
|
проверял стриппер (последний (совсем последний, жалко что закрылся проэкт)) на АСпре 2.1 Ske-не распаковал, как мне кажется тут тоже Ske...
|
|
|
|
29.05.2007, 03:28
|
|
Banned
Регистрация: 13.09.2006
Сообщений: 523
Провел на форуме:
2869410
Репутация:
925
|
|
Файл выложи попробую распаковать =\
|
|
|
|
29.05.2007, 12:05
|
|
Постоянный
Регистрация: 20.08.2006
Сообщений: 327
Провел на форуме:
2472378
Репутация:
1077
|
|
Мля... а я так и не понял о чем идет речь.. автор говорит, что ASPr ворует инструкции, это называется "stolen bytes"
вы говрите вм.. имхо vm - это другое (типа конечные автоматы и тп) (Rascal вам еще покажет, что такое VM)
Я читал множество статей про PESpin и подобные проты, и везде это называлось "stolen bytes".
И вот что по поводу я говорю... их не обязательно восстанавливать! (Если пизженые баыты лежат в какойто секции. Вот если на выделенной памяти, тогда да). К примеру в том же PESpin.. я просто нашел stolen bytes и сказал что это EP. И все работало.. Другое дело если украденные байты записываются на динамически выделенную память.. Как у автора "/.. Тогда после дампа, сам понимаешь.. Они так и останутся безвестно пропавшими.. Поэтому тебе нужно их скопировать куданибудь в секцию..
to _Great_
Походу у него Olly, только как то тупо настроенна
to Топикстартер
Выкладывай файл
|
|
|
|
29.05.2007, 20:54
|
|
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
Провел на форуме:
4226446
Репутация:
1564
|
|
Запаковал блокнот чисто для интереса. Мануалы нашел, пару дней, думаю за ними просижу. Память под украденные с oep байты выделяется в процессе работы программы (проверял, ставил бряк на VirtualAlloc). А виртуальная машина (по крайней мере во всех описаниях встречается именно этот термин) там действительно используется,т.е. при работе программы код разбросан по разным участкам памяти при этом изрядно замусорен. А распаковать все же попытаюсь сначала сам.
Последний раз редактировалось 0x0c0de; 29.05.2007 в 20:59..
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
