Autor
|
Tema: [HELP] Quitar proteccion Asprotect 2.3 o superior (Leído 9,148 veces)
|
yocar
Desconectado
Mensajes: 17
|
Hola gente! Me presento, soy Carlos pero me pueden decir "car" xD Tengo un problema con un programa q esta cifrado con Asprotect y he seguido varios tutos para removerle la proteccion pero no logro hacerlo arrancar, una vez q corrijo la IAT me tira error de aplicacion... calculo q estoy haciendo algo mal... Los identificadores me tiraron estas versiones: PEiD 0.95: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov PEiD con VerA: Version: [ Unknown! ], Signature: [ 0BCBD2DA ], E-Mail: [ PE_Kill@mail.ru ] ProtectioniD: ASProtect v2.3 - v2.4 (or newer) detected ! Vi en un post de hace unos meses q a un usuario le pasaba algo similar, y siguiendo un video tutorial lo pudo sacar... Si alguien tiene alguna data q me pueda servir se los agradecere... Estoy usando el script Aspr2.XX unpacker v1.15e para ollydbg para llegar al OEP, pero hay algo q me lo hace mal cuando reconstruyo la IAT Gracias! Saludos.
|
|
|
En línea
|
|
|
|
Amerikano|Cls
Desconectado
Mensajes: 789
[Beyond This Life]
|
Puede que tenga muchas de las tantas protecciones que tiene asprotect, mira, muestranos capturas de donde te sale el error y todo lo demas y nos quedaria mas facil ayudarte. En estos tiempos he aprendido algunas cosas sobre este packer, tanto así que estoy por resolver un SKE, y espero publicar un tute muy pronto, pero estoy corto de tiempo, pero mira, danos las caps o el programa y podremos decirte que proteccion mas o menos tiene . Salu2
|
|
|
En línea
|
|
|
|
yocar
Desconectado
Mensajes: 17
|
Hola Amerik@no, gracias por responder... si puede ser q tenga algo de eso, mira ahi te mando unos screens para q veas... aca llego al EOP y hago el dump arreglo la IAT y cuando corro el soft tira este error... el soft esta para descargar en esta pagina... gracias!... saludos
|
|
|
En línea
|
|
|
|
Amerikano|Cls
Desconectado
Mensajes: 789
[Beyond This Life]
|
Ese error quiere decir que hay una direccion que apunta a una zona de asprotect, es decir, puede que no este completamente reparada la IAT, o tambien que emule alguna API en la zona 160d7dc, o se trate de una maquina Virtual , mira, en estos tiempos aun no logro desatarme de las tareas y por eso no tengo tiempo de ver detalles en el programa, pero cuando me desocupe te ayudo con esto en lo que mas pueda. Pero tambien prueba con el stripper a ver si te anda . Te dejo un link donde puedes buscar la version que quieras del asprstripper y prueba a ver con cual te corre que si es de hacerlo a mano se llevaria su tiempo en analizarlo, y eso es lo que menos tengo, pero aca en el foro tambien hay gente que te puede ayudar . http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/Salu2 y suerte.
|
|
|
En línea
|
|
|
|
yocar
Desconectado
Mensajes: 17
|
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida gracias por el link. saludos!
|
|
|
En línea
|
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida gracias por el link. saludos! Yo más que probar con el stripper miraría a ver porque te pide esa sección, muchas veces ASprotect también agarra el sistema de protección del mismo software, y puede que tenga que ver con la licencia (a lo mejor está buscando una variable de entorno, string para licencia, etc etc...), como última opción siempre puedes dumpear esa región y añadirla al desempaquetado. Shaddy.
|
|
|
En línea
|
|
|
|
yocar
Desconectado
Mensajes: 17
|
Hola Shaddy =), probe el stripper pero no me sirvio para esa version de aspr... he probado con el ollydbg ambos archivos para ir paso por paso y ver si hay alguna diferencia en el codigo, pero a simple vista hace todo igual, no tuve tiempo de examinarlo mas detalladamente... voy a probar eso q dices, ver q hay en esa region para ver si tiene algo q ver...
saludos!... car.
|
|
|
En línea
|
|
|
|
solidcls
Desconectado
Mensajes: 72
|
Hola Yocar, bueno te cuento que yo alguna vez estuve mirando las aplicaciones de esa compañia, y te digo que al menos las que yo hice, ninguna tenia asprotect, he encontrado tElock, y no recuerdo si tambien ASPack, pero asprotect, seguro que no, no se si las que estas viendo son versiones mas nuevas a las que vi yo, esa captura del error que pones, me lo hacia a mi, porque el programa te borra el dumpeado, fijate por casualidad si cuando ejecutas el dumpeado, no crea un archivo .bat y ese archivo te borra el dumpeado cuando lo estas ejecutando. Si te sirve de algo, yo hice un tutorial de uno de esos programas, son 2 partes y estan en la web de ricardo, en las teorias. cualquier cosa me avisas Saludos. Solid.
|
|
|
En línea
|
Solid [CrAcKsLaTiNoS]
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida gracias por el link. saludos! ¿que hay en 0x4048BE? Un saludo. Shaddy. P.D: Haz caso al consejo de Solid.
|
|
|
En línea
|
|
|
|
yocar
Desconectado
Mensajes: 17
|
Hola gente como andan? @solidcls: mira tengo dos versiones diferentes del programa, la mas vieja viene protegida con el tElock y la nueva con asprotect 2.3, por lo menos el RGD dice eso... con respecto al .bat si lo he visto, cuando pongo aceptar al error me borra el dump, pero lo q hago es antes de apretar aceptar borro el .bat asi no tengo q volver a dumpear... pero el tema del error, haciendo el traceo, me llama a una funcion q no existe, porq el codigo no es legible... voy a ver si puedo poner un screen... ahora voy a revisar el tutorial q hiciste gracias @shaddy: no lo se LOL ahora voy a chequear eso, gracias! saludos...
|
|
|
En línea
|
|
|
|
|
|