Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› Распаковка ASProtect 1.23 RC1 Dll
Посл.ответ Сообщение

Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 19 сентября 2005 08:42
· Личное сообщение · #1

Доброго всем времени суток
у меня такая проблемка с распаковкой этой длл последний execption в олле здесь:

00CB306E 3100 xor dword ptr ds:[eax], eax
00CB3070 64:8F05 0000000>pop dword ptr fs:[0]
00CB3077 58 pop eax
00CB3078 A1 6C6DCB00 mov eax, dword ptr ds:[CB6D6C]
00CB307D 3B45 FC cmp eax, dword ptr ss:[ebp-4]
00CB3080 74 40 je short 00CB30C2
00CB3082 8B15 0855CB00 mov edx, dword ptr ds:[CB5508]
00CB3088 8B12 mov edx, dword ptr ds:[edx]
00CB308A 8BC6 mov eax, esi
00CB308C E8 6FE5FFFF call 00CB1600
00CB3091 8BD8 mov ebx, eax
00CB3093 85DB test ebx, ebx
00CB3095 74 2B je short 00CB30C2
00CB3097 8D43 08 lea eax, dword ptr ds:[ebx+8]
00CB309A 50 push eax
00CB309B 8D85 F0FEFFFF lea eax, dword ptr ss:[ebp-110]
00CB30A1 8D95 F5FEFFFF lea edx, dword ptr ss:[ebp-10B]
00CB30A7 B9 FF000000 mov ecx, 0FF
00CB30AC E8 7304FFFF call 00CA3524
00CB30B1 8B85 F0FEFFFF mov eax, dword ptr ss:[ebp-110]
00CB30B7 E8 A007FFFF call 00CA385C
00CB30BC 50 push eax
00CB30BD E8 A2E9FFFF call 00CB1A64
00CB30C2 8BC6 mov eax, esi
00CB30C4 E8 6FF9FEFF call 00CA2A38
00CB30C9 E8 3A000000 call 00CB3108
00CB30CE 68 D730CB00 push 0CB30D7
00CB30D3 FF0424 inc dword ptr ss:[esp]
00CB30D6 C3 retn



Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 19 сентября 2005 09:52
· Личное сообщение · #2

Попробуй поставить F2 на 1-й условный переход.



Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 19 сентября 2005 10:23
· Личное сообщение · #3

SergSh
а потом??



Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 19 сентября 2005 10:30
· Личное сообщение · #4

и что это такое:
00CB30C4 E8 6FF9FEFF call 00CA2A38
00CB30C9 E8 3A000000 call 00CB3108
00CB30CE 68 D730CB00 push 0CB30D7
00CB30D3 FF0424 inc dword ptr ss:[esp]

?????



Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 19 сентября 2005 10:38
· Личное сообщение · #5

а потом на секцию кода бряк (кстати, magic-call нопил?)



Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 19 сентября 2005 10:43
· Личное сообщение · #6

Av0id
если это когда он поганит импорт то да



Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 19 сентября 2005 11:52
· Личное сообщение · #7

а всё таки что делает эта часть кода?

00CB30C4 E8 6FF9FEFF call 00CA2A38
00CB30C9 E8 3A000000 call 00CB3108
00CB30CE 68 D730CB00 push 0CB30D7
00CB30D3 FF0424 inc dword ptr





Ранг: 78.6 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 19 сентября 2005 12:26
· Личное сообщение · #8

crio
откуда мы знаем, мы же не видем кода каторый он выполняет
посматри с адреса 00CA2A38 иузнай, и так для всех call



Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 20 сентября 2005 05:13
· Личное сообщение · #9

Av0id пишет:
а потом на секцию кода бряк (кстати, magic-call нопил?)

я поставил бряк но длл запустилась

есть ещё варианты???



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 20 сентября 2005 06:02
· Личное сообщение · #10

crio
есть, оттрейсь TC EIP<ASPR_Start_Section_Code

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 24.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 21 сентября 2005 10:45
· Личное сообщение · #11

nice пишет:
есть, оттрейсь TC EIP<ASPR_Start_Section_Code

неполучается
длл запускаеться. Я делалл так смотрел начало секции .adata и EIP<.adata-1



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 21 сентября 2005 22:00
· Личное сообщение · #12

crio
так ты лог трэйсера посмотри, он же тебе пишет куда, чего и наглядно покажет от куда произошел прыжок
тут ты ещё с ДЛЛ работаешь, так что в памяти она может быть загружена где угодно и адреса аспра окажутся ниже самой длл, условие трэйса думаю сам смогешь изменить ;)

-----
Подписи - ЗЛО! Нужно убирать!



 [email protected] —› Протекторы —› Распаковка ASProtect 1.23 RC1 Dll
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати