Русский / Russian English / Английский

Сейчас на форуме:
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 1 апреля 2008 08:08 New!
Цитата · Личное сообщение · #2

Этот DWORD называется Encryption constant, с чего ты взял, что он не менялся? У меня он абсолютно другой для этой версии аспра.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 1 апреля 2008 08:17 New!
Цитата · Личное сообщение · #3

PE_Kill пишет:
Этот DWORD называется Encryption constant, с чего ты взял, что он не менялся? У меня он абсолютно другой для этой версии аспра.


В аспре v2.4 разработчики усложнили процесс подготовки к раскриптовке закриптованных областей кода. Но у меня вылезла именно это значение Encryption constant.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 1 апреля 2008 08:20 New!
Цитата · Личное сообщение · #4

Код декриптуется этим значением?

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 1 апреля 2008 08:27 New!
Цитата · Личное сообщение · #5

PE_Kill пишет:
Код декриптуется этим значением?


Нет, это значение участвует в подготовке Hex-цепочки для раскриптовки закриптованных участков кода.

Ранг: 136.5 (ветеран)
Статус: Участник

Создано: 4 апреля 2008 11:58 New!
Цитата · Личное сообщение · #6

Может я ошибаюсь, но в ветке аспра 1.35 я не нашел Encryption constant. А в ветке 2.х - она присутствует. И так же подтверждаю, что ЕС меняется в пределах одной версии аспра версии 2.х.
И ее значение зависит как от длины ключа, так и от включенных опций.


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 4 апреля 2008 13:49 New!
Цитата · Личное сообщение · #7

PE_Kill пишет:
Код декриптуется этим значением?

забыл про много_раз md5 от enc_const ? брут самой константы упирается во время формирования hex-цепочки для раскриптовки закриптованных участков кода (с)
tar4
Ее значение не зависит от длинны ключа и опций - оно рандомное и генерируется при включении опции Encrypted Sections - каждый режим с этой опцией имеет свою enc const

Ранг: 136.5 (ветеран)
Статус: Участник

Создано: 5 апреля 2008 08:09 New!
Цитата · Личное сообщение · #8

lord_Phoenix пишет:
генерируется при включении опции Encrypted Sections

Я знаю. В свое время, я накрывал тестовую прогу аспром и экспериментировал с включением и отключением прочих опций проекта (при включенной Encrypted Sections). При этом было видно, как менялась
ЕС. Но если менять только ключ (без изменения его длины), то насколько я помню, ЕС не меняется.


Ранг: 199.4 (ветеран)
Статус: Участник

Создано: 21 апреля 2008 16:01 New!
Цитата · Личное сообщение · #9

Исследования в дауне, процессе или в приват все ушло?

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 22 апреля 2008 07:20 New!
Цитата · Личное сообщение · #10

YDS пишет:
Исследования в дауне, процессе или в приват все ушло?


Скоро выложу четыре части тутора по анализу AsProtect. Просто, в процессе их подготовки, кое-что пришлось корректировать, с точки зрения доступности материала. После этих четырех частей, будет еще две, в которых будет описана работа ключа активации, и восстановление оригинальных инструкций, взамен украденных.

Ранг: 10.8 (новичок)
Статус: Участник

Создано: 23 апреля 2008 00:00 New!
Цитата · Личное сообщение · #11

А кто-то взломал последнюю версию?

Ранг: 210.5 (наставник)
Статус: Участник

Создано: 6 мая 2008 16:28 New!
Цитата · Личное сообщение · #12

Bronco пишет:
Моё имхо, нет просто паблик_релиза


Есть с кейгеном

ASProtect SKE 2.41 build 02.26 Beta

os: WinAll
size: 03 X 1.44
date: 01.05.2008

by: REVENGE Crew


Это паблик или приват, уважаемые REVENGE Crew-овцы?

{ Атач доступен только для участников форума } - REVENGE.nfo


Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 6 мая 2008 17:06 New!
Цитата · Личное сообщение · #13

arnix
этот релиз спокойно же можно слить с сайта ревенжа.. значит паблик..

Ранг: 210.5 (наставник)
Статус: Участник

Создано: 6 мая 2008 17:23 New!
Цитата · Личное сообщение · #14

kaiZer
а, не видел, ок.


Ранг: 276.3 (наставник)
Статус: Участник
Advisor

Создано: 6 мая 2008 23:46 New!
Цитата · Личное сообщение · #15

arnix пишет:
Есть с кейгеном

Дык...дата паблик_релиза = 1 мая!!!


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 7 мая 2008 02:28 New!
Цитата · Личное сообщение · #16

Bronco пишет:
Дык...дата паблик_релиза = 1 мая!!!


Дык, если ещё и глянуть номер релиза, то можно уже начинать поздравлять REVENGE


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 7 мая 2008 05:55 New!
Цитата · Личное сообщение · #17

Bronco а там и не надо конектица, если знаешь другой способ получить свой хвид то вбивай в кейген. Можно выбрать офлайн активацию и тыкнут на ссылку онлайнактивации откроется бравзер и в адресной строке увидишь свой хвид.

Ранг: 195.8 (ветеран)
Статус: Участник

Создано: 7 мая 2008 06:04 New!
Цитата · Личное сообщение · #18

PE_Kill пишет:
Можно выбрать офлайн активацию и тыкнут на ссылку онлайнактивации откроется бравзер и в адресной строке увидишь свой хвид.

или рядом с сылкой тыкнуть на Copy....

Ранг: 516.1 (!)
Статус: Участник

Создано: 7 мая 2008 11:58 New!
Цитата · Личное сообщение · #19

чет revenge прям с unpack.cn сравнили, обидно


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 7 мая 2008 15:33 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #20

Av0id пишет:
чет revenge прям с unpack.cn сравнили, обидно


да лана, закейгенить отличный прот на юбилей - что лучше?

там хоть конектитЦо наверно не надо будет, чтобы хвид у мну расшарили...

здесь тоже не надо


Ранг: 756.2 (! !)
Статус: Участник
Student

Создано: 7 мая 2008 16:54 · Поправил: Isaev New!
Цитата · Личное сообщение · #21

REVENGE - ай молодца!
Ещё бы хвид сам в кейген прописывался


Ранг: 2008.6 (!!!!)
Статус: Модератор
retired

Создано: 7 мая 2008 20:26 New!
Цитата · Личное сообщение · #22

Так и знал, что релиз не останется незамеченным и обязательно выплывет на полный паблик... В прошлом КГ (от китайцев что ли) он сам был накрыт аспром, оттуда и брался хвид, тут, видимо, эти функи куда-то подевались, вот с хвидом и гемор.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 12 мая 2008 13:45 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #23

Наконец добил скрипт для восстановления эмулированных инструкций. Убедительная просьба помочь в его тестировании на разных программах, упакованных Asprotect. Этот скрипт снабжен подробными комментариями, которые показывают его работу. Скоро выложу четыре части статьи по распаковке Asprotect, в которой будет описан анализ виртуальной машины по эмуляции подпрограмм. Этот скрипт не сработал на OdbgScript v1.65, но нормально работает на версии 1.48 (на версии 1.65 не работает выполнение команды ask), поэтому обратите на это внимание.

{ Атач доступен только для участников форума } - Восстановление эмулированных подпрограмм.osc

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 12 мая 2008 15:16 New!
Цитата · Личное сообщение · #24

На обменнике dump.ru/files/p/p856460785/ я выложил первые 4-е части статьи по распаковке Asprotect. Буду признателен за критику, отзывы, пожелания. Я опять не могу закачать эти статьи на Cracl@Lab в раздел RAR-cтатьи. Может быть кото-то их перезальет туда?


Ранг: 500.5 (!)
Статус: Участник

Создано: 12 мая 2008 15:42 New!
Цитата · Личное сообщение · #25

vnekrilov
перезалей еще раз, архив мёртвый

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 12 мая 2008 16:37 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #26

Smon пишет:
перезалей еще раз, архив мёртвый


Перезалил на narod.ru/disk/307414000/Tutorial%20for%20Asprotect.rar.html
Проверил, качается нормально.

Ранг: 441.3 (мудрец)
Статус: Участник

Создано: 12 мая 2008 16:46 New!
Цитата · Личное сообщение · #27

vnekrilov
Спасибо
Убери точку из ссылки, а то могут опять написать что ссылка битая


Ранг: 276.3 (наставник)
Статус: Участник
Advisor

Создано: 12 мая 2008 18:58 New!
Цитата · Личное сообщение · #28

vnekrilov
Нах юзать вздроченные обменники набитые флешем и всякой ....?????

Вот http://www.sendspace.com/ нормальный обменник...

Ранг: 72.7 (постоянный)
Статус: Участник

Создано: 12 мая 2008 20:06 New!
Цитата · Личное сообщение · #29

Всем привет. Первая ссылка точно битая, по второй без загрузки яндекс-бара не качается(мож это у меня так). Цыферки хоть завводись. Не надо никаких баров.

Может кто переложит куда?
Ну и vnekrilov-у спс,- это большой труд забабахать столько статей по такому материалу!

Ранг: 441.3 (мудрец)
Статус: Участник

Создано: 12 мая 2008 20:26 New!
Цитата · Личное сообщение · #30

Small_S
Если конечно vnekrilov не будет против
rapidshare.de/files/39388173/2.4.rar.html

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 13 мая 2008 06:15 New!
Цитата · Личное сообщение · #31

Bronco пишет:
Вот нормальный обменник...


Спасибо за подсказку.

tihiy_grom пишет:
Если конечно vnekrilov не будет против


Конечно не против.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ