Здравствуйте. Может кто-нибудь подскажет, у какого формата файлов вначале идет данная сигнатура: В данный файл зашито изображение и, возможно, сжато.
ты уверен что это сигнатура? то есть у тебя есть несколько экземпляров файлов этого формата и все оин начинаются с данных байт?
Если сжато, то все просто - картинки имееют сигнатуру и она сжимается в одно и то же. В результате получаем известный ответ : угадать можно только стандартные сигнатуры, все остальное требует анализа программы. Т.к. поиск по хексу в гугле ничего не дал - скорее всего это не стандарт...
С анализом программы у меня проблема - совсем нету опыта распаковки, а там ASProtect Два дня пытаюсь распаковать, но пока безрезультатно - не получается восстановить таблицу импорта. Хотя вчера при помощи QuickUnpacker`а и DeDe удалось вытянуть кое-что.
Если это просто картинка (не пожато чем-то сверху) то можно сохранить одну картинку, потом уменьшить размер, посмотреть какие поля изменились. Если пожато, то ставим бряк на чтение этой картинки, трассируешь до момента разжатия, копируешь процедуру разжатия и пользуешься в своих целях. Когда-то мной был подобным образом написан динамический распаковщик для свеетгеймс. Ставил бряк на окончание распаковки и сбрасывал картинку на диск. Ах, юность!
vladimir_ch Сорри, ваш пост пропустил... Для статического анализа вам и не надо чтобы она запускалась. Главное - чтобы полностью распаковалась и в ИДУ её! А что вам мешает запустить программу в оле? Если противиться запуску, то есть спец сборки оли. Но, по-моему, аспр противиться запуску под отладчиком, а вот аттачиться можно. Хотя я могу говорить глупости - давно уже этим занимался. PS На сайте есть туторы нарвахи по распаковки аспра. Вам рекомендую прочитать весь цикл. Потому, как лишним не будет.
В том то и дело, что пока есть проблемы с дизассемблированием. PeID говорит: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov AsprInf: [2.56 build 03.17]. Было бы круто, если бы кто-нибудь подсказал, чем запакован данный exe.
ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov можно за пару секунд распаковать прогой ASProtect Stripper. Не спортивно, но если нужен срочный результат, то отличный выход.
0xJace Может и не аспр вообще. Фейковой сигной никого не удивишь, в некоторые протекторы даже встроено. vladimir_ch Вы бы программу выложили, может кто-нибудь и посмотрел. Но вообще-то, если ищите кого-нибудь кто бы помог распаковать то вам на крэклаб надо было. По-крайней мере раньше помогали, как сейчас не знаю.
То,что ASProtect - точно знаю, поскольку удалось распаковать при помощи QuickUnpack, прошелся по результату DeDe, получил правдоподобные результаты. Теперь вот мучаюсь с таблицей импорта. Насчет того, чтобы кто-нибудь распаковал - нет, не ищу. Не привык, чтобы кто-то делал за меня мою работу, а вот советы от опытных в этом деле людей очень нужны.
vladimir_ch А, что статьи на помогли? Ещё, по-моему есть на cracklab.ru. Если это действительно так, то побольше бы таких. Но как восстанавливать таблицу написано в статьях шаг за шагом, а также обычно описаны все подводные камни и чем помочь ещё я не знаю.... Х( И всё же искренно недоумеваю зачем вам её распаковывать? Только если патчить собрались.... Исследовать можно и так.... Вам всего лишь надо найти точку где картинка грузиться, а там и распаковка близко.
Спасибо всем за советы, кажется, начинает получаться Буду пытаться вытащить алгоритм распаковки. Извините за детские вопросы - совсем нет опыта в данной теме, ну думаю в скором времени появится и весьма положительный.
vladimir_ch Файлемон/прокмон сильно упростят тебе задачу, где-то рядом с чтением есть процедура распаковки, как правило.
