Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 [email protected] —› Протекторы —› Распаковка "ART" ASProtect 1.2x - 1.3x
Посл.ответ Сообщение

Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 08 июля 2005 22:37
· Личное сообщение · #1

В апреле был топик по распасовке "art"
http://exelab.ru/f/action=vthread&forum=1&topic=1965&page= 0#1
где crc1 предлогал следуюшее:
Делай так:
Тормози на EP, далее по F10 до
PUSHAD
CALL 0062A00A ;тут тормозни и bpm esp-04
JMP 45BFA4F7
PUSH EBP
RET

19 раз жми F5, попадешь сюда
:00EC4CC1 5D POP EBP
........... ;немного кода и перед REt'ом увидишь спертые байты
Уважаемые спецы помогите разобратся? почему на 19цатом "жми" у меня запускается прога. Сначало я грешил на глючную работу SoftIce в winXP, но как оказалось в 9x таже проблема. при чём и в SoftIce и TRW2000 одинаково. Не однократные попытки трассировки после 18цатого "жми" по F10 а местами по F8 к заветным спёртым байтам так и не привели. Заранее благодарен за ответы.




Ранг: 260.3 (наставник), 2thx
Активность: 0.120
Статус: Участник
PPC-PROTECT author

Создано: 08 июля 2005 23:25
· Личное сообщение · #2

да потому что неправельный способ что-то там считать... это ему повезло просто, на его машине, что такая случайность ...

-----
Пиво, сиськи, транс




Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 09 июля 2005 07:07
· Личное сообщение · #3

-= ALEX =-
Всё понял. Просто выбрал самый лёгкий путь и зациклился на нём.




Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 09 июля 2005 12:56
· Личное сообщение · #4

shel_nik
Допустим,что отложим пока эти спёртые байты с OEP.
У тебя получается с импортом разобраться (в частности как написано в статье у -= ALEX =-) ?

-----
the Power of Reversing team




Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 10 июля 2005 03:33
· Личное сообщение · #5

DillerInc
ставлю на mapviewoffile F12 выхожу сюда :5B26B9B7 CMP EAX,EDI
ставлю на getprocaddress F12 выхожу сюда :00BBABA8 MOV [00BE313C],EAX
Длее 2 раза F12 попадаю сюда :00BBB93F POP EBP
crc1 в том топике пищет:
Тормозни на MapViewOfFile, потом на GetProcAddress (если у тебя все же не получается
тормознуться на GetProcAddress, тогда ставь bpx 00EB2319, но это выход только для
данной проги ) Попадешь сюда
:00EB2319 MOV[EBP-08], EAX
два раза F12, будешь тут
:00EB2688 CALL 00EB22E0
:00EB268D CALL 00EB251C => будешь тут (Этот CALL занопить)
:00EB2692 MOV EDX, [EDI] => в EDX начало таблицы импорта (005A11B8)
Уж на что я только не ставил но эти процедуры так и не вышел.




Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 10 июля 2005 12:30
· Личное сообщение · #6

shel_nik
После того,как вывылился с отладчик после...
:bpx MapViewOfFile
...надо просто убрать эту точку останова и сразу вводить следующую, т.е. не выходить из этой функции по F12 .
Когда же вывалился на GetProcAddress, тогда нажимаешь F12, пока не придёшь сюда...
MOV [EBP-08],EAX
...ну и далее как ты написал уже.

-----
the Power of Reversing team




Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 10 июля 2005 15:21
· Личное сообщение · #7

DillerInc


[i][/i]Когда же вывалился на GetProcAddress, тогда нажимаешь F12, пока не придёшь сюда...

Если я не снимаю бряк GetProcAddress жму F12 то брякаюсь сново.
Если я снимаю бряк GetProcAddress и жму F12 то просто запустится прога.
Если я снимаю бряк с GetProcAddress и ставлю бряк на RET, далее выхожу по F10 из функции и жму F12 два раза, попадаю туда куда уже писал. Если жму 3 раза запустится прога. Видимо все беды изза ненормальной работы SoftIce как я уже писал в предыдушем топике.
В 98ом после вряка на MapViewOfFile получаю ошибку даже не видя окна SoftIce.
Так что сиё занятие продолжу как решу проблему с SoftIce. (закажу DVDдиск c Driver ctudio 3.2)
Благодарю всех за ответы.



Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 31 июля 2005 17:32
· Личное сообщение · #8

DillerInc

После установки Driver ctudio 3.2 удалось добратся до спёртых байт и OEP. Но я разбирался с завалявшейся на диске версией "ART 1.67SR2" А вот скачанную мной с сайта версию ART 2.03 распаковать не удалось, похоже там ASProtect другой версии. Если это так может кто подскажет про какие версии ASProtect следует читать.

-= ALEX =- кстати сказать в SoftIce из Driver ctudio 3.2 удалось повторить
(19 раз жми F5, попадешь сюда :5D POP EBP ) что не удалось в рипнутых SoftIce




Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 31 июля 2005 19:43
· Личное сообщение · #9

shel_nik пишет:
похоже там ASProtect другой версии

...PEiD показывает:
ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
...а это не есть гут
shel_nik пишет:
Если это так может кто подскажет про какие версии ASProtect следует читать

...ну,чтобы уж наверняка,то я думаю про все,что выше версии 1.23 .

-----
the Power of Reversing team




Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 31 июля 2005 20:30
· Личное сообщение · #10

DillerInc
Понял, только из всего прочитанного выше 1.23 ни чего не получается.



Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 31 июля 2005 20:59
· Личное сообщение · #11

Вобшем если BPM ESP-04 то на 18 бряке выхожу на 00BE063A 8310 MOV [EAX],EDX
как и в версии "ART 1.67SR2" а вот дальше идёт совсем другой код.




Ранг: 115.8 (ветеран)
Активность: 0.080
Статус: Участник

Создано: 31 июля 2005 21:40
· Личное сообщение · #12

DillerInc пишет:
...PEiD показывает:
ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov


PEiD может показывать такое даже если там Аспр более поздней версии (2.0 например).

-----
Ни одно доброе дело не должно остаться безнаказанным !!!




Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 02 августа 2005 16:55
· Личное сообщение · #13

[EXE]_cutor
Похоже версия ASProtect выше 1.23 хотя я из тех что ниже не все распаковывал.
Да и врятли ART более позней версии, запакован ASProtect более ранней.




Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 04 августа 2005 04:50
· Личное сообщение · #14

- ASProtect 1.2x - 1.3x [Registered] - Find OEP and hide Olly

var cbase
var csize
var eip_
var check

gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
gmi eip, CODESIZE
mov csize, $RESULT
log csize

eob lab1
esto

lab1:
mov check,0
sto
log "Find anti Debugger call:"
trace:
inc check
log check
cmp check,20
je error
sto
mov eip_,[eip]
log eip_
cmp eip_,C084D0FF
jne trace
cmt eip,"[ IsDebuggerPresent ]"
log "call eax is found"
FIND eip,#74#
cmp $RESULT,0
je error
eob lab3
log $RESULT
bp $RESULT
esto

lab3:
log "Change flag !ZF"
mov !ZF,1
sto
bc $RESULT
eob lab4
esto

lab4:
cmt eip,"[ Anti Olly ]"
mov eip_,[eip]
log eip_
cmp eip_,00F88090
jne error
sto
sto
log "Change flag !ZF"
mov !ZF,1
eob end1
esto

end1:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip," [ OEP ]"
bpmc
ret

error:
log "Not found"
MSG "Error"
ret




// [BACK]



Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 05 августа 2005 19:00
· Личное сообщение · #15

Z0oMiK
Спасибо за листинг. Вроде на этод код я не раз выходил, (только в SoftIce) буду снова смотреть.




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 05 августа 2005 19:11 · Поправил: Ara
· Личное сообщение · #16

shel_nik
ЛОЛ, это листинг скрипта к ОллиСкрипт....



Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 06 августа 2005 23:37
· Личное сообщение · #17

Ara
Понял что лол, тем более в оле а в SoftIce то как сиё распаковывается?




Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 07 августа 2005 00:19
· Личное сообщение · #18

shel_nik
По-моему,не стоит тебе пока гнаться за всякими вторыми аспрами.Попробуй лучше распаковать программы,приведённые далее в том же апрельском топике - наберёшься определённого опыта в этом деле.

-----
the Power of Reversing team



 [email protected] —› Протекторы —› Распаковка "ART" ASProtect 1.2x - 1.3x
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати