Вот вообщем прожка запакована ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov Всё как описывал 1) Ищу OEP в OLLY (нашел 0075477С) 2) Снимаю дамп без восстановления импорта.. 3) Восстанавливаю импорт с ImportREC 1.7 4) ниче не работает.. вываливаемся в ошибку... вот архив (прогу не стал целиком заливать ~ 11 метров) залил только сам экзешник и одну библиотеку. http://slil.ru/26595230 Посмотрите плиз... если действительно там как нить хитро сверяет размер до и после.. или вообще надо зарегить.. зарегте плиз.. а если не влом то опишите как сделали.. Спасибо
даже проверка навскидку code xref к найденому oep=75477С показывает, что это не совсем oep, ибо есть вызов идущий на этот адрес. Code: 00755860 E8 17EFFFFF CALL taxi.0075477C oep на самом деле 7557E4
хм... видимо я совсем нуб... но по шифт в 9 с бряком на предпоследнем на .code выдало тот OEP и Peid показал мой OEP... Беру твой 7557E4 и не восстанавливаеться нормално...
Code: Listing OEP: 007557E4: 55 push ebp 007557E5: 8BEC mov ebp, esp 007557E7: 81C4ECFEFFFF add esp, FFFFFEECh 007557ED: 53 push ebx 007557EE: 56 push esi 007557EF: 57 push edi и сразу же апи аспра присутствует Code: 007558BA C640 5B 00 MOV BYTE PTR DS:[EAX+5B],0 007558BE E8 C94BE2FF CALL taxi_u.Asp_api::LocalHardwareID 007558C3 A1 2CC17500 MOV EAX,DWORD PTR DS:[75C12C] если его занопить, то вроде запускается но по хорошему, надо отэмулить её выполнение. з.ы. мой вариант анпака: http://filesurf.ru/92249
Hellsp@wn респект! но не запускаеться... во первых архив пишет битый... 2 раза скачивал... полечил.. а приложение не открываеться (пишет что не являеться win32 приложением) ООО вот щас нормально скачал всё ок... ошибки не вылазят но почему то прога и не работает... т.е. окно моргнёт и всё.... что это значит?
выводит окно, что не может какие то настройки прочитать и всё я же говорю там остались переходники на апи аспра, оладчик в зубы и вперёд.
если это не апи шифровки блоков кода, то просто переделать апи вручную, как выше было сказано - сэмулировать. т.е. есть у тебя апи условно gethwid - меняешь её так чтоб она возвращала всегда константу. Посмотри скрипт (ollyscript) распаковки аспра от VolX, многие вопросы отпрадут
я тоже не понял.. вручную? а если применить как раз скрипт Volx он автоматом поменяет всё? А есть у кого нить ODbgScript 1.65.1. а то скрипты от Volx не пашут...
применил скрипт от Volx... фалик распокавался всё переделал.. я глянул всё вроде чудненько.. тока не доконца чего то доэмулировал так всё и вываливаеться в ошибку... если занопить всё равно не помогает...
ну я так впринципе и сделал.. дальше что можно сделать я незнаю... Вот это на несуществующий адрес указывает? (7CC0AC28) <- адрес ----------------------------------------- MOVZX ECX,WORD PTR DS:[ECX] DS:[7CC0AC28]=??? ECX=7CC0AC28
Гляди в стек на ближайшие адреса возврата, относящиеся к программе и оттуда раскручивай цепочку вызовов. зы: Надо было eip привести а не адрес несуществующий. Похоже на то что это где то в системных библиотеках находишься. Заодно глянь в этот момент SEh обработчик, наверняка где-то рядом окажешься от источника
