Русский / Russian English / Английский

Сейчас на форуме: leedo (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Ранг: 67.4 (постоянный)
Статус: Участник

Создано: 13 мая 2008 06:31 · Поправил: Kiev78 New!
Цитата · Личное сообщение · #2

---

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 13 мая 2008 08:35 New!
Цитата · Личное сообщение · #3

Kiev78 пишет:
Опечатка в названии темы или в названии архивного документа???


Я открыл эту тему для анализа AsProtect v2.4 build 12.20. Но эта версия пакера не содержит Stolen Bytes и Init Table, поэтому мне пришлось подробно разобрать эти темы на примере ASProtect v2.3 build 03.19. Нет необходимости создавать отдельный топик на ASProtect v2.3 build 03.19, тем более, что здесь далее будет выложен анализ AsProtect v2.4 build 12.20.


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 13 мая 2008 16:45 New!
Цитата · Личное сообщение · #4

vnekrilov
для определения версии аспра стоит воспользоваться прогой ASPrINFO (автор: nik0g0r)

В аттаче распакованная ASPrINFO v1.6 Beta.
Фишка этой проги в том, что она не использует сигнатуры, а выдаёт инфу, которую аспр сохраняет в упакованном файле.

ASPrINFO v1.6 Beta
100% detector version of ASProtect > v1.23

Важное замечание(!) последней строкой в отчёте программы идёт не имя автора программы, а имя владельца на кого зарегестрирован ASProtect. (они могут совпадать)
Таким образом отчёт ASPrINF выглядит след. образом:

Имя программы, версия программы, версия ASProtect + билд ASProtect, и иногда имя, на кого зарегистрирован ASProtect.






{ Атач доступен только для участников форума } - ASPriNF.v1.6.rar


Ранг: 1125.1 (!!!!)
Статус: Участник

Создано: 14 мая 2008 06:30 New!
Цитата · Личное сообщение · #5

vnekrilov пишет:
на версии 1.65


А где сейчас ODBGScript пасётся? На sf http://sourceforge.net/project/showfiles.php?group_id=195914 последняя 1.64.3 годовалой давности...

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 14 мая 2008 06:46 New!
Цитата · Личное сообщение · #6

Jupiter пишет:
для определения версии аспра стоит воспользоваться прогой ASPrINFO (автор: nik0g0r)


Спасибо.

Gideon Vi пишет:
А где сейчас ODBGScript пасётся? На sf последняя 1.64.3 годовалой давности...


Я не помню, откуда взял версию 1.65. Прикладываю ее в аттаче.


{ Атач доступен только для участников форума } - ODbgScript 1.65.1.rar


Ранг: 286.1 (наставник)
Статус: Участник
Advisor

Создано: 14 мая 2008 11:18 New!
Цитата · Личное сообщение · #7

Если Script-1.65.dll, то мну знакомо откуда..
//А ваще эта версия плуга нарисовалась в сборке для фимки, там где Олькин файлО, обсидом покрыли..

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 14 мая 2008 13:30 New!
Цитата · Личное сообщение · #8

vnekrilov пишет:
Я не помню, откуда взял версию 1.65

Это китайский вариант

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 15 мая 2008 00:37 New!
Цитата · Личное сообщение · #9

Немного оффтоп.
Поделитесь кто-нибудь коллекцией версий asprotect'a. Буду очень признателен .
А то статьи есть, практиковать не на чем .


Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 15 мая 2008 00:42 · Поправил: Isaev New!
Цитата · Личное сообщение · #10

4t rapidshare.com/files/93214337/ASProtect.rar
ASProtect v1.35 release 0114
ASProtect v1.35 release 0319
ASProtect v1.35 release 0425
ASProtect v1.35 release 0626

ASProtect v1.4 beta 0114
ASProtect v1.4 beta 0126

ASProtect v2.110313

ASProtect v2.2 release 0114
ASProtect v2.2 release 0319
ASProtect v2.2 release 0425

ASProtect v2.3 beta 0319
ASProtect v2.3 beta 0423
ASProtect v2.3 beta 0426
ASProtect v2.3 beta 0514
ASProtect v2.3 beta 0626.unpacked
ASProtect v2.3 beta 0626


Ранг: 1125.1 (!!!!)
Статус: Участник

Создано: 15 мая 2008 04:04 New!
Цитата · Личное сообщение · #11

vnekrilov пишет:
Прикладываю ее в аттаче.


спасибо

4t пишет:
Поделитесь кто-нибудь коллекцией версий asprotect'a.


_http://pediy.com/tools/packers.htm

Ранг: 218.5 (наставник)
Статус: Участник

Создано: 15 мая 2008 04:47 · Поправил: 0xy New!
Цитата · Личное сообщение · #12

del


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 15 мая 2008 09:04 New!
Цитата · Личное сообщение · #13

Isaev мля, с этими кошками запарился, перезалей хоть на webfile

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 15 мая 2008 13:36 New!
Цитата · Личное сообщение · #14

Isaev
Круто!. Спасибо.

Gideon Vi пишет:
_http://pediy.com/tools/packers.htm

ок. слил.

aspirin
Айфолдер подойдёт? _http://ifolder.ru/6564330

Есть у кого ещё aspr?

Вот, что пока насобирал. Аттач.

{ Атач доступен только для участников форума } - asp.txt

Ранг: 218.5 (наставник)
Статус: Участник

Создано: 15 мая 2008 13:46 · Поправил: 0xy New!
Цитата · Личное сообщение · #15

Выложите, плииз, ОТДЕЛЬНО эти билды:

ASProtect 1.4 build 01.14 Beta
ASProtect 1.4 build 01.26 Beta
ASProtect 1.4.build 11.20 Release


Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 15 мая 2008 13:51 · Поправил: Isaev New!
Цитата · Личное сообщение · #16

0xy
rapidshare.com/files/115052381/aspr14.rar" target="_blank">--> 114, 126 <--

aspirin


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 15 мая 2008 21:31 · Поправил: aspirin New!
Цитата · Личное сообщение · #17

4t, Isaev большое спасибо, если надо, то протов имеется хорошая коллекция, только скажите как сделать список, не вручную же вбивать


Ранг: 106.6 (ветеран)
Статус: Участник

Создано: 15 мая 2008 21:55 New!
Цитата · Личное сообщение · #18

aspirin пишет:
как сделать список, не вручную же вбивать

ну например можно заюзать сойтины Dir Lister или DIRECTORY LISTER или подобные ;) где их скачать, гугл подскажет)

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 16 мая 2008 00:37 · Поправил: 4t New!
Цитата · Личное сообщение · #19

aspirin пишет:
4t, Isaev большое спасибо, если надо, то протов имеется хорошая коллекция, только скажите как сделать список, не вручную же вбивать

Мне то спасибо за что, эт товарищу Isaev'у за подборку спасибо .
По поводу создания списка, можно dir использовать : dir /A:d /O:n /B, справка по команде dir /? .Dir Lister и подобный софт и не понадобится.

Ну так что, кто-нибудь ещё аспром поделиться?, очень интересует ASProtect 1.4.build 11.20 Release, а то у мну ток распаковыный есть, к статье плохо идет . (статья просто супер!)

Да и такой вопрос, есть ASProtect 2.4 SKE build 09.12 Beta, в хистори этот билд не упоминается (есть только 09.11). Солод конспирирует версии или это чья-то шутка.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 19 мая 2008 17:12 New!
Цитата · Личное сообщение · #20

Немного посмотрел на AsProtect v2.41 build 02.26. В нем довольно интересно организована анти-отладка путем массового применения кода типа
PUSH 0
PUSH 0CC5850
PUSH 0DB180C
CALL 00CEB814

Этот код довольно легко восстанавливается с помощью скрипта, но программа не проходит проверку, поскольку она подсчитывает CRC мусорного кода, а не восстановленного. И таких проверок она имеет очень много. Если представляет интерес обход всех этих проверок, могу подготовить статью.

Ранг: 210.5 (наставник)
Статус: Участник

Создано: 19 мая 2008 19:59 New!
Цитата · Личное сообщение · #21

4t пишет:
Есть у кого ещё aspr?

Вот, что пока насобирал. Аттач.


Залей куда-нить билды 2.4 (не 2.41, это есть) а то куда-то потерял я их )
У меня имеются эти, если что могу залить:



{ Атач доступен только для участников форума } - aspr.png


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 19 мая 2008 22:01 New!
Цитата · Личное сообщение · #22

arnix
Если не тяжко, залей плиз все.

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 20 мая 2008 02:58 · Поправил: 4t New!
Цитата · Личное сообщение · #23

arnix
Держи: _http://rapidshare.com/files/116158182/ASProtect.7z
ASProtect SKE 2.4 build 09.11 Beta (только экжешник + патч)
ASProtect SKE 2.4 build 11.20 Release (отломаный и накрытый темидой )
пасс: ASProtect

arnix
Если не тяжко, и вправду залей все.

Кто припрятал дистрибутив ASProtect 2.4.build 11.20 Release, поделитесь


Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 20 мая 2008 03:12 New!
Цитата · Личное сообщение · #24

4t пишет:
Кто припрятал дистрибутив ASProtect 2.4.build 11.20 Release, поделитесь

Есть отломаный unpack.cn и ничем не накрытый
rapidshare.com/files/116161898/ASProtect_SKE_v2.4_build_11.20.zip

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 20 мая 2008 04:00 New!
Цитата · Личное сообщение · #25

Isaev
ок. но хотелось бы всё-таки дистр найти.

arnix
Вот ещё 2.4 нарыл.

ASProtect 2.4 SKE build 12.20 Beta (дистрибутив) // лекарсто пока не нашёл
uploaded.to/?id=iibess
PD: Password link "www.unpack.cn"

PS. От китайского что-т в глазах уже рябить начинает... .

Ранг: 210.5 (наставник)
Статус: Участник

Создано: 20 мая 2008 11:19 New!
Цитата · Личное сообщение · #26

4t

Спасибо.

Spirit, 4t

Завтра все залью.


Ранг: 500.5 (!)
Статус: Участник

Создано: 20 мая 2008 11:59 · Поправил: Smon New!
Цитата · Личное сообщение · #27

vnekrilov пишет:
Немного посмотрел на AsProtect v2.41 build 02.26. В нем довольно интересно организована анти-отладка путем массового применения кода типа
PUSH 0
PUSH 0CC5850
PUSH 0DB180C
CALL 00CEB814


Я бы не сказал что это анти-отладка, скорей антидамп\антираспаковка.

В секции кода вызовы новой вм двух видов, например:
004A47CE . 68 B634F099 PUSH 99F034B6
004A47D3 . 68 44B77F2D PUSH 2D7FB744
004A47D8 . 68 24A2D700 PUSH 0D7A224
004A47DD . E8 3E228300 CALL 00CD6A20

004A4848 . 68 9363973A PUSH 3A976393
004A484D . 68 C2B87F2D PUSH 2D7FB8C2
004A4852 . 68 24A2D700 PUSH 0D7A224
004A4857 . E8 C4218300 CALL 00CD6A20


Хотя есть и такие например:
0054C54E 68 00000000 PUSH 0
0054C553 68 C435212D PUSH 2D2135C4
0054C558 68 9C42D300 PUSH 0D3429C
0054C55D E8 EAA47800 CALL 00CD6A4C

0054CBE3 3E:68 00000000 PUSH 0 ; Superfluous prefix
0054CBE9 68 6E3B212D PUSH 2D213B6E
0054CBEE 68 B84BD300 PUSH 0D34BB8
0054CBF3 E8 549E7800 CALL 00CD6A4C


Как я понимаю, первого типа - это еще не инициализированные, т.е. те, которые еще не получали управления.

vnekrilov пишет:
поскольку она подсчитывает CRC мусорного кода

Вот это интересней, контрольная сумма подсчитывается маркером crc или как то еще ? Если маркером, то она отлавливается установкой бряка на чтение восстановленного кода и лечится правкой перехода на противоположный


Ранг: 1125.1 (!!!!)
Статус: Участник

Создано: 20 мая 2008 12:36 New!
Цитата · Личное сообщение · #28

vnekrilov пишет:
Немного посмотрел на AsProtect v2.41 build 02.26


Это который от REVENGE Crew? Насколько я вижу, в эбауте версия v2.4 build 02.26, да и утиль для определения вресии выдаёт этот билд.


Ранг: 500.5 (!)
Статус: Участник

Создано: 20 мая 2008 12:46 New!
Цитата · Личное сообщение · #29

Gideon Vi пишет:
Насколько я вижу, в эбауте версия v2.4

Версия от REVENGE это 2.41, пока что последний (вроде как) билд, есть еще 1.41, но не отломан.
А почему в эбауте 2.4 - хз, наверное по той же причине что и 1999-2005 ASPack Software, который уже три года как не менялся

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 20 мая 2008 15:42 New!
Цитата · Личное сообщение · #30

Smon пишет:
В секции кода вызовы новой вм двух видов, например:
004A47CE . 68 B634F099 PUSH 99F034B6
004A47D3 . 68 44B77F2D PUSH 2D7FB744
004A47D8 . 68 24A2D700 PUSH 0D7A224
004A47DD . E8 3E228300 CALL 00CD6A20


Меня интересовал код, который расположен в AsProtect.dll. До кода, который находится в секции кода, я просто не дошел. Посмотрю на него внимательно немного позже.

Smon пишет:
Вот это интересней, контрольная сумма подсчитывается маркером crc или как то еще ?


Здесь вообще интересно. Подсчет CRC проводится с помощью подпрограммы, которая имеет указанный мной вид в заголовке топика. Если восстановить этот код, то подпрограмма показывает неверный CRC. Две такие проверки обойти можно довольно просто - заставив принудительно выполнить прыжок. Но имеется еще две очень интересные проверки, где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.

00CEFBA0 68 51E29F44 PUSH 449FE251
00CEFBA5 68 FC540000 PUSH 54FC
00CEFBAA 68 A0650300 PUSH 365A0
00CEFBAF 68 98030000 PUSH 398
00CEFBB4 68 04F80300 PUSH 3F804
00CEFBB9 68 00500500 PUSH 55000
00CEFBBE FF35 D434CF00 PUSH DWORD PTR DS:[CF34D4]
00CEFBC4 E8 E3C2FCFF CALL 00CBBEAC
00CEFBC9 310424 XOR DWORD PTR SS:[ESP],EAX
00CEFBCC 8B05 D434CF00 MOV EAX,DWORD PTR DS:[CF34D4]
00CEFBD2 010424 ADD DWORD PTR SS:[ESP],EAX
00CEFBD5 C3 RET

Если будет не корректно вычислен offset, то, естественно, программа не запустится.

Именно это я и имел в виду.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 20 мая 2008 15:46 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #31

Gideon Vi пишет:
Это который от REVENGE Crew?


Да, эта версия.

Smon пишет:
есть еще 1.41, но не отломан.


А нельзя ли им поделиться?
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ