Русский / Russian English / Английский

Сейчас на форуме: Lambda (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--


Ранг: 500.5 (!)
Статус: Участник

Создано: 20 мая 2008 16:01 New!
Цитата · Личное сообщение · #2

vnekrilov пишет:
Подсчет CRC проводится с помощью подпрограммы, которая имеет указанный мной вид в заголовке топика

Т.е. вм используется в т.ч. для расчёта crc, это что то новое, давай разбор, интересно

vnekrilov пишет:
А нельзя ли им поделиться?

можно, залью как домой вернусь с работы.


Ранг: 500.5 (!)
Статус: Участник

Создано: 20 мая 2008 17:50 New!
Цитата · Личное сообщение · #3

ASProtect 1.41 build 02.26 Beta
=========================================
- Fixed crash during inital registration keys generation on DEP-enabled systems
* Legacy Hardware Ids are no longer accepted

hxxp://rapidshare.com/files/116289212/setup.rar.html


Ранг: 276.3 (наставник)
Статус: Участник
Advisor

Создано: 21 мая 2008 01:07 New!
Цитата · Личное сообщение · #4

vnekrilov пишет:
где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.

Хз.может rdtsc заюзали, ща это модно
//Ваща молодец, настойчиво долбишь...

Ранг: 218.5 (наставник)
Статус: Участник

Создано: 21 мая 2008 02:01 · Поправил: 0xy New!
Цитата · Личное сообщение · #5

Smon пишет:
ASProtect 1.41 build 02.26 Beta

Product Version : 1.4 build 02.26 Beta

4t
Выложи, плииз ASProtect 1.4.build 11.20 Release


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 21 мая 2008 05:20 New!
Цитата · Личное сообщение · #6

Gideon Vi пишет:
Насколько я вижу, в эбауте версия v2.4 build 02.26, да и утиль для определения вресии выдаёт этот билд.

Угу они уже давно забили на обновление эбаута и других подобных вещей, версию можно узнать только на форуме.

vnekrilov пишет:
Но имеется еще две очень интересные проверки, где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.

Эта проверка давно уже в аспре, когда она появилась виртуальной машины еще не было, сейчас просто она более качественная. Кто часто инлайнит разные версии аспра, тот знает про нее. Еще алекс писал что нужно восстанавливать хуки при инлайне, это как раз чтобы эта проверка не сработала.

Bronco пишет:
Хз.может rdtsc заюзали, ща это модно

Применяли в 2х билдах беток, потом убрали. В аспре только самые надежные методы.

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 21 мая 2008 07:13 New!
Цитата · Личное сообщение · #7

0xy
Держи, версия отломана и накрыта темидой.
rapidshare.com/files/116411187/ASProtect.v1.4.build.11.20.7z

Ранг: 210.5 (наставник)
Статус: Участник

Создано: 21 мая 2008 13:19 · Поправил: arnix New!
Цитата · Личное сообщение · #8

Spirit пишет:
Если не тяжко, залей плиз все.


4t пишет:
Если не тяжко, и вправду залей все.


[см. след. пост (thanx tempread)] [86 MB]

UGFzc3dvcmQ6IHN5bjlvMzI3biYoXk5EZGY5Nw==

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 21 мая 2008 13:58 New!
Цитата · Личное сообщение · #9

arnix пишет:
кто-нибудь добрый и с хорошим каналом, скачайте и залейте на обменник

UGFzc3dvcmQ6IHN5bjlvMzI3biYoXk5EZGY5Nw== http://upload.com.ua/link/900250883


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 21 мая 2008 19:33 New!
Цитата · Личное сообщение · #10

4t а пасс какой?


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 21 мая 2008 23:35 New!
Цитата · Личное сообщение · #11

aspirin
ты недостоен распаковать архив, если незнаешь пароль


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 21 мая 2008 23:49 New!
Цитата · Личное сообщение · #12

а есть без версия без темиды? а то он очень уж долго запускается... =/ иногда ваще в бсод улетате... =(

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 22 мая 2008 00:35 New!
Цитата · Личное сообщение · #13

arnix
Спасиб.

Spirit


Talula
Ты про версию 1.4.build.11.20? У меня нету.

Шутники блин, отломают прот, прилепят своё имя, чем-нибудь жестким накроют, потом кто-нибудь веселый уже эту бодягу отломает ... и так по кругу, весело


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 22 мая 2008 00:37 New!
Цитата · Личное сообщение · #14

и про 1.4 и про 2.4... оба сцуко тяжёлые для загрузки... =(

Ранг: 38.3 (посетитель)
Статус: Участник

Создано: 22 мая 2008 16:01 · Поправил: 4t New!
Цитата · Личное сообщение · #15

Del

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 27 мая 2008 06:37 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #16

Сегодня, на http://www.sendspace.com/file/fv551r http://www.sendspace.com/file/fv551r я выложил небольшую статью, в которой я описал антиотладку, восстановление эмулированных подпрограмм и прохождение на SBOEP для программы Asprotect v2.41 build 02.26. К этой статье приложены два скрипта, для прохождения на SBOEP и восстановления эмулированных подпрограмм. Если будет интересным восстановление таблиц INIT и IAT, Stolen Bytes, закриптованных участков кода, то я могу продолжить подготовку таких статей.

Буду признателен за критику, замечания и пожелания.


Ранг: 500.5 (!)
Статус: Участник

Создано: 27 мая 2008 08:13 New!
Цитата · Личное сообщение · #17

vnekrilov пишет:
"Как обычно, загружаем программу в отладчик, и нажимаем клавишу F9, чтобы запустить программу. Программа, с этими настройками нормально запускается в отладчике. Однако, при установке опции “Protect DRx”, получаем следующее сообщение:"

Скорее всего анализировался взломанный аспр, попробуй проанализировать оригинальный, там этого нет, потому как патч использует DR0 регистр.
PS: Для точного определения версии лучше всего использовать не peid'ы и не RDG Packer Detector'ы, а программку ASPRInf от nik0g0r'а.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 27 мая 2008 08:36 New!
Цитата · Личное сообщение · #18

Smon пишет:
Скорее всего анализировался взломанный аспр, попробуй проанализировать оригинальный, там этого нет, потому как патч использует DR0 регистр.


Я именно анализировал оригинальный аспр. Причина заключается в том, то Phantom патчит API KiUserExceptionDispatcher. При патчировании этой API, не генерируется второе исключение, и не срабатывает второй обработчик исключений, который патчит инструкции в Asprotect.dll. Поэтому программа не проходит проверку CRC, и показывает мессагу о повреждении файла.


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 27 мая 2008 09:52 New!
Цитата · Личное сообщение · #19

vnekrilov пишет:
Я именно анализировал оригинальный аспр.


если ты про релиз REVENGE, то там в дистрибе НЕ оригинальный аспр, а патченный
если же у тя есть оригинальный немодифицировнный ASProtect v2.41 build 02.26, то выложи его плз

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 6 июня 2008 10:28 New!
Цитата · Личное сообщение · #20

Люди сделайте доброе дело. Запакуйте плз последней версией aspr`a любую dll`ку из папки winxp\system32 выложите куда нибудь.


Ранг: 500.5 (!)
Статус: Участник

Создано: 6 июня 2008 10:55 New!
Цитата · Личное сообщение · #21

Medsft
msports, 41.5 kb => 335.5 kb

{ Атач доступен только для участников форума } - msports.dll

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 6 июня 2008 12:47 · Поправил: Medsft New!
Цитата · Личное сообщение · #22

Smon
Спасибо

Только еще один вопрос версия пакера какая?


Ранг: 500.5 (!)
Статус: Участник

Создано: 6 июня 2008 13:46 New!
Цитата · Личное сообщение · #23

ASProtect SKE 2.41 build 02.26Beta, это пока что последняя официальная версия.

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 6 июня 2008 14:11 · Поправил: Medsft New!
Цитата · Личное сообщение · #24

Smon еще раз спасибо
vnekrilov монстр слов нет.
Но вот вопрос возможно ли сделать скрипты из статьи универсальными или нет.

ЗЫ. И вот еще что не хочу хвалиться но вот при прочтении сего опуса пришла ко мне "шальная мысль" а не попробовать ли мне ту версию ольки где пропатчено место обработки Memory breakpoint с access на execute и прикиньте работает С огромной долей уверенности могу сказать что если поставить BPM на секцию code проги и нажав F9 через 2 повторных нажатия мы оказываемся на OEP проги. Метод этот работает на всех известных мне накрытых этим протом прогах.
ЗЫЗЫ.


Ранг: 2008.6 (!!!!)
Статус: Модератор
retired

Создано: 6 июня 2008 21:20 New!
Цитата · Личное сообщение · #25

БПМ на код далеко не всегда у аспра выведет на ОЕП, по крайней мере в ехе, ибо может быть потырена вся основная ветка в аллоченную память.

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 7 июня 2008 08:12 New!
Цитата · Личное сообщение · #26

Archer пишет:
БПМ на код далеко не всегда у аспра выведет на ОЕП
спорить не буду может просто не попадались.


Ранг: 500.5 (!)
Статус: Участник

Создано: 7 июня 2008 08:22 · Поправил: Smon New!
Цитата · Личное сообщение · #27

Medsft пишет:
Метод этот работает на всех известных мне накрытых этим протом прогах.

Этот метод будет стабильно работать только в библиотеках, ибо ни один аспр не ворует оеп у библ, по всей видимости из-за сложностей в реализации, а в обыкновенных исполняемых файлах в случае отработавшей опции Stolen OEP кроме основной ветки тырятся еще и подветки, так что борода твоему методу Другой вопрос в том, что на части исполняемых файлов эта опция не работает (например, на некоторых асм файлах), а на некоторой другой части девелоперы не всегда удосуживаются почекать эту опцию

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 7 июня 2008 10:06 · Поправил: Medsft New!
Цитата · Личное сообщение · #28

А что нельзя использовать теорию vnekrilov`а по нахождению ворованного после bpmx ведь как я понял и он анализирует прогу стоя на так называемом boep который находиться в секции code


Ранг: 276.3 (наставник)
Статус: Участник
Advisor

Создано: 7 июня 2008 11:01 New!
Цитата · Личное сообщение · #29

Smon пишет:
ни один аспр не ворует оеп у библ, по всей видимости из-за сложностей в реализации

+1
//возможно из-за релоков

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 7 июня 2008 16:03 New!
Цитата · Личное сообщение · #30

Medsft пишет:
Но вот вопрос возможно ли сделать скрипты из статьи универсальными или нет.


Не получается! Я проверил несколько последних версий аспра, по восстановлению эмулированных инструкций. В каждой версии, в таблице ТЭИ используются разные адреса, которые содержат нужные данные для восстановления кода подпрограммы. Поэтому приходится делать сравнительную таблицу этих адресов, и выполнять их корректировку. Хотя, если использовать оригинальные инструкции CALL EDX, то, вероятно, это возможно сделать. Но скрипт будет усложнен. Хотя можно попытаться это сделать.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 7 июня 2008 18:19 New!
Цитата · Личное сообщение · #31

vnekrilov пишет:
Но вот вопрос возможно ли сделать скрипты из статьи универсальными или нет.

Так у волка универсальные скрипты
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ