Русский / Russian English / Английский

Сейчас на форуме: 1967 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< 1 ... 36 . 37 . 38 . 39 .
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Ранг: 307.2 (мудрец)
Статус: Модератор
CrackLab

Создано: 14 марта 2017 03:56 · Поправил: SReg New!
Цитата · Личное сообщение · #2

dosprog когда сказать нечего по делу, зачем херню нести? причем тут импорт и какие-то твои проги, если у него с релоками трабла

Jaa пишет:
Заметил что в запакованном файле адреса распаковываются сначало с базой 10000000, а потом какой то цикл их исправляет

--> Link <--
--> Link <--

| Сообщение посчитали полезным: Jaa


Ранг: 125.1 (ветеран)
Статус: Участник

Создано: 14 марта 2017 12:11 New!
Цитата · Личное сообщение · #3

SReg
То что нужно, как сам не заметил хз. Огромное спасибо

Ранг: 14.3 (новичок)
Статус: Участник

Создано: 28 марта 2018 00:14 New!
Цитата · Личное сообщение · #4

Можно выложить ссылку на pdf?

Ранг: 19.9 (новичок)
Статус: Участник

Создано: 16 августа 2018 09:15 New!
Цитата · Личное сообщение · #5

вопросик возник.
есть прога накрыта аспром с коротким ключом. в зависимости от введенного ключа можно активировать редакции Стандарт и Про.
если патчить аспровскую апишку CheckKey путем mov eax, 1 / ret получается версия Стандарт. Получить Про версию никак не получается. Это ж насколько я понимаю тоже аспровский функционал? Как правильно запатчить?


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 16 августа 2018 16:48 New!
Цитата · Личное сообщение · #6

evggrig
см. в сторону GetModeInformation

Code:
  1. GetModeInformation ( BYTE ModeID, char** ModeName, PMODE_STATUS mode_status)

Code:
  1. typedef struct _MODE_STATUS {
  2.     BYTE ModeId;
  3.     bool IsRegistered,
  4.           IsKeyPresent,
  5.           IsWrongHardwareID,
  6.           IsKeyExpired,
  7.           IsModeExpired,
  8.           IsBlackListedKey,
  9.           IsModeActivated;
  10. }MODE_STATUS, *PMODE_STATUS;

| Сообщение посчитали полезным: evggrig


Ранг: 19.9 (новичок)
Статус: Участник

Создано: 16 августа 2018 17:19 New!
Цитата · Личное сообщение · #7

Jupiter
а может быть такое что эта апишка не используется в этой проге? я вижу из аспровых только CheckKey и GetHardwareIdEx.


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 16 августа 2018 17:27 New!
Цитата · Личное сообщение · #8

evggrig
Да, вполне достаточно CheckKey, он тоже сообщает информацию о режиме:
Code:
  1. CheckKey( char* Key, char* Name, PMODE_STATUS mode_status );

Так что можешь пропатчить структуру, в ней номер режима - первый байт.
Например:
Code:
  1. mov eax, pModeStatus
  2. mov byte ptr [eax], MODE_PRO

Где pModeStatus - указатель на структуру MODE_STATUS с инфой о режиме, а MODE_PRO - это константа режима Professional (подбери самостоятельно)

Ранг: 29.9 (посетитель)
Статус: Участник

Создано: 28 декабря 2019 00:36 New!
Цитата · Личное сообщение · #9

Гуру, подскажите, пожалуйста. Столкнулся с аспром одной из последних версий и есть пара вопросов:

1) в принципе, я разобрался, что с ней делать, но как называется эта api?

Code:
  1. int FUNC(const char* t_key, char *t_buffer, uint32_t wtf)
  2. {
  3.     //описание всей функции одной строкой
  4.     return sprintf(t_buffer, "%s", SOME_VALUE_ARRAY[t_key]);
  5. }


если её перехватывать, то можно выдывать проге свои значения в ответ на её запросы (мне так прогу удалось зарегать);

2) где новый аспр хранит триальные ключи? Я случайно системное время назад перевёл и после этого прога ни в какую запускаться не хочет. Или подскажите, как он делает проверку и можно ли её запатчить?...


Ранг: 322.4 (мудрец)
Статус: Участник

Создано: 28 декабря 2019 00:54 · Поправил: difexacaw New!
Цитата · Личное сообщение · #10

[X-Ray]

Протекторы две вещи выполняют, аналогично как они и решаются - статика и динамика. В статике протекторы могут засрать всё, криптовать, морфить и виртуализировать. Поэтому решать это тупиковая затея, особенно вручную. Остаётся динамика.

Любое действие приложения происходит через ядерный интерфейс. Над ним есть очень толстый слой жира в виде винапи, точнее их два, есть есчо промежуточный нэйтив-гуй, там точно сам чёрт ноги сломит, с этими обратными вызовами. Вам это впрочем и не нужно. Всё куда проще, нужно снять лог по сервисам, чего ваш семпл там в ядре дёргает. Есть всякие мониторы и логгеры, но это всё сложно. Проще возьми онлайн монитор, сейчас есть всяких много, ты им загрузишь семпл, вирт машина его прокрутит и отдаст тебе лог активности. Это самый простой путь. Сложнее ты ничего не сделаешь, в приемлемое время.


Ранг: 267.7 (наставник)
Статус: Участник
RBC

Создано: 28 декабря 2019 01:06 New!
Цитата · Личное сообщение · #11

[X-Ray] пишет:
Я случайно системное время назад перевёл и после этого прога ни в какую запускаться не хочет.

посмотри обращение через софт:
https://download.sysinternals.com/files/ProcessMonitor.zip

сделай фильтр только на твою прогу и смотри какие ключи/файлы чекает. найти несложно, я недавно искал так проверку забаненного "ключа" одного из протов, минут 10-15 потратил.

Ранг: 29.9 (посетитель)
Статус: Участник

Создано: 28 декабря 2019 01:17 New!
Цитата · Личное сообщение · #12

Kindly пишет:
посмотри обращение через софт:

спасибо, что-то я не догадался

ключи хранились тут HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Licenses


Ранг: 266.6 (наставник)
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 08:53 · Поправил: WELL New!
Цитата · Личное сообщение · #13

Ребята, тема с анпаком вроде закрыта, поэтому пишу сюда

Есть простая (наверное ) задача - снять с довольно древнего ехе-шника (от 2005 года) ASProtect.
peid показывает: ASProtect 2.1x SKE -> Alexey Solodovnikov

Если быть точнее, то таких ехе-шников 6 штучек.

Я уже от этих дел совсем отошёл, да и распаковка никогда не была моим любимым делом.

Может у кого есть наработки, чтобы быстро и несложно распаковать аспр? Далее там защита по ключу, в том числе часть функций пошифрована, но это уже не самое критичное.

P.S. Собственно дистрибутив программы вот _https://cdn.sight2k.com/utsetup.exe. После установки там файлы Editor.exe, Monitor.exe, Report.exe, Settings.exe, Test.exe, UniTest.exe
P.P.S. Хотя, если кто нормально заломает программу, будет тоже неплохо. Я её ломал 15 или 16 лет назад (вот же время летит), забыл уже что и как там было

Сорри, если офтоп

Ранг: 253.0 (наставник)
Статус: Участник

Создано: 14 февраля 2020 09:28 New!
Цитата · Личное сообщение · #14

WELL
Анпакер от пеко спокойно берет. DecomAS который

| Сообщение посчитали полезным: WELL



Ранг: 266.6 (наставник)
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 09:46 New!
Цитата · Личное сообщение · #15

TryAga1n пишет:
Анпакер от пеко спокойно берет. DecomAS который

TryAga1n
Понял, попробую им.

Добавлено спустя 48 минут
Не прокатило
Распаковывает, но анпакнутый ехе при запуске сразу валится с ошибкой

Ранг: 253.0 (наставник)
Статус: Участник

Создано: 14 февраля 2020 11:19 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #16

UniTest.exe распаковался и работает на разных системах, щас остальные посмотрю еще https://www.sendspace.com/file/sgd1nk
Settings.exe распаковался CodeDoctor'ом https://www.sendspace.com/file/0l2q3t
Editor.exe распаковался, однако при выходе какой-то эксепшен, смотреть где именно и почему не стал, ибо не критично https://www.sendspace.com/file/vu2zzi


Ранг: 266.6 (наставник)
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 11:29 New!
Цитата · Личное сообщение · #17

TryAga1n пишет:
UniTest.exe распаковался и работает на разных системах, щас остальные посмотрю еще https://www.sendspace.com/file/sgd1nk

Глянь плиз Editor.exe

Добавлено спустя 0 минут
UniTest.exe у меня тоже распаковался.
Единственный кто распаковался

Ранг: 253.0 (наставник)
Статус: Участник

Создано: 14 февраля 2020 11:32 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #18

Едитор постом выше. Продолжаем:
Report.exe - распаковался CodeDoctor'ом, но работает только на машине, где был произведен анпак, надо допиливать ручками
Test.exe - CodeDoctor, работает на других машинах https://www.sendspace.com/file/khk6d5


Ранг: 266.6 (наставник)
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 11:41 New!
Цитата · Личное сообщение · #19

TryAga1n пишет:
однако при выходе какой-то эксепшен, смотреть где именно и почему не стал, ибо не критично

О, я вспомнил этот эксепшен Это он так на изменение размера ехе реагирует, так что всё ОК

TryAga1n, спасибо большое

Добавлено спустя 6 минут
А можно ещё этот CodeDoctor выложить или ссылку дать?

Ранг: 253.0 (наставник)
Статус: Участник

Создано: 14 февраля 2020 11:49 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #20

Держи
https://www.sendspace.com/file/arlem7

Плаг для первой ольки, юзается по ПКМ с ЕР. Сам все делает и создает анпакнутый файл и дебаг инфу в папке с жертвой

| Сообщение посчитали полезным: WELL



Ранг: 266.6 (наставник)
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 11:55 New!
Цитата · Личное сообщение · #21

TryAga1n пишет:
Держи
https://www.sendspace.com/file/arlem7

Плаг для первой ольки, юзается по ПКМ с ЕР. Сам все делает и создает анпакнутый файл и дебаг инфу в папке с жертвой

TryAga1n
Благодарю.

| Сообщение посчитали полезным: TryAga1n

<< 1 ... 36 . 37 . 38 . 39 .
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ