Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 [email protected] —› Протекторы —› Аспровый импорт в LearnWords
Посл.ответ Сообщение

Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 15 апреля 2005 14:17
· Личное сообщение · #1

www.learnwords.com/rus/download/learnwords.exe

Как всегда вместо call/jmp dword ptr [XXXXXX] куча вызовов аспровой функции, но проблема в том, что аспр там забирает не только переход на апи, но и следующую за ним команду (например по адресу 402485).



Ранг: 253.9 (наставник)
Активность: 0.130
Статус: Участник

Создано: 15 апреля 2005 14:22
· Личное сообщение · #2

sanniassin
Кстати, а каком аспре ты говоришь? Если 2.0, то я бы и сам хотел знать, как у него восстанавливать импорт.

-----
MicroSoft? Is it some kind of a toilet paper?




Ранг: 28.0 (посетитель)
Активность: 0.020
Статус: Участник
anarchist

Создано: 15 апреля 2005 15:05
· Личное сообщение · #3

Если не ошибаюсь, эти команды в самом конце эмуляции выполняются, без мусора всякого. И этого на дельфовых прог нету, я не видел.



Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 15 апреля 2005 16:02
· Личное сообщение · #4

Хмм... вроде разобрался с восстановлением команд вида mov reg, reg (reg - любой регистр)

0 = EAX
1 = ECX
2 = EDX
3 = EBX
4 = ESP
5 = EBP
6 = ESI
7 = EDI

ImageBase of aspr dll=9B0000
9D354F - is_code_stolen (if ZF=1 -> code not stolen)
----------mov reg, reg----------
9D37AA - mov al_type, reg - в al инфа о том, какой регистр сравниваем (см. по таблице)
9D37C3 - mov reg, al_type - в al инфа о том, с каким регистром сравниваем

Но не всегда спираются подобные команды (по алресу 418198 украдено что-то другое)



Ранг: 253.9 (наставник)
Активность: 0.130
Статус: Участник

Создано: 15 апреля 2005 17:24
· Личное сообщение · #5

sanniassin
Не скажешь, как ты восстанавливаешь импорт в аспре 2.0? Пжалста!

-----
MicroSoft? Is it some kind of a toilet paper?





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 15 апреля 2005 23:54
· Личное сообщение · #6

эка бяка =)
с "mov exx, exx" действительно просто, т.к. их опкоды идут по порядку и с восстановлением проблем не будет - первый опкод одинаковый, второй = reg1_aspr*8 + reg2_aspr + 0C0h. Плохо то, что судя по коду аспра эмулируется много разных команд (хз каких, в проге этой в основном "mov exx, exx" потырены). На 418198 похоже cmp, хотя может и не оно, разбираться вообщем надо, а времени нет =(


 [email protected] —› Протекторы —› Аспровый импорт в LearnWords
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати