Русский / Russian English / Английский

Сейчас на форуме: Beauty2017 (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< 1 ... 36 . 37 . 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 18 февраля 2012 09:02 New!
Цитата · Личное сообщение · #2

Lauarvik пишет:
некорректно работает скрипт

Я всегда делаю себе копию распакованного файла с мусорным кодом. После очистки мусорного кода, гоняю программу на всех режимах, и, если программа где-то падает, смотрю причину падения, и восстанавливаю поврежденную инструкцию с помощью резервной копии файла.

| Сообщение посчитали полезным: ClockMan, nikvo



Ранг: 556.3 (!)
Статус: Участник
оптимист

Создано: 22 мая 2012 14:57 · Поправил: ClockMan New!
Цитата · Личное сообщение · #3

Попалась интерестная прога накрытая ASProtect,на котором скрипт Восстановление таблицы IAT и вызовов APIs давал сбой,виновником оказалась строчка sub temp_2,90 из процедуры string_60_found из за этого находилась неправельно комманда MOV BYTE PTR [EAX],0D6,(вычитался слишком малый диапазон),чтобы всё пошло гладко я изменил в скрипте комманду sub temp_2,90 на sub temp_2,A0.

| Сообщение посчитали полезным: vnekrilov, SReg, mak, nikvo


Ранг: 0.5 (гость)
Статус: Участник

Создано: 29 января 2013 17:43 · Поправил: mastak2k New!
Цитата · Личное сообщение · #4

Спасибо vnekrilov'у за подробный мануал. Но я столкнулся с такой проблемой - шаг за шагом дошел до 8-й части и застопорился на выполнении скрипта Перенаправление прыжков из кода программы в новую секцию файла. Скрипт выбивает ошибку, а в результате трассировки видно, что срабатывает не первый bp, а второй. Подскажите, означает ли это, что я сделал что-то неправильно на предыдущих шагах? И как теперь можно продолжить распаковку?
VerA 2.0.3 показывает версию протектора - 2.56 build 03.17. Выполнял перенос Stolen Code в секцию файла RSRC

{ Атач доступен только для участников форума } - privivka.png


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 30 января 2013 00:01 · Поправил: plutos New!
Цитата · Личное сообщение · #5

vnekrilov пишет:
DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Давно хотел иметь эти статьи в формате PDF. Кинулся качать, получаю ошибку:

Download permission denied by uploader. (0b67c2f5)

Нельзя ли перезалить или получить "Download permission" ?

Ранг: 310.0 (мудрец)
Статус: Модератор
CrackLab

Создано: 30 января 2013 00:54 New!
Цитата · Личное сообщение · #6

plutos
http://rghost.ru/43408759

| Сообщение посчитали полезным: plutos


Ранг: 1.3 (гость)
Статус: Участник

Создано: 10 февраля 2013 13:54 New!
Цитата · Личное сообщение · #7

спасибо.. в скрипте "Восстановление таблицы IAT и вызовов APIs" понадобилось удалить PAUSE на строчке 1869 (иначе скрипт дальше не шел), и вместо скрипта "Восстановление секции импорта (.idata) в распакованных программах" воспользовался ImpRec'ом (скрипт имена АПИ коверкал)

конвертировал первый и второй циклы статей в ПДФ:
--> первый цикл <--
--> второй цикл <--

Ранг: 29.8 (посетитель)
Статус: Участник

Создано: 10 февраля 2013 14:33 New!
Цитата · Личное сообщение · #8

DriEm
Пишет
Скачивание невозможно
Download permission denied by uploader. (0b67c2f5)

Ранг: 1.3 (гость)
Статус: Участник

Создано: 10 февраля 2013 22:05 New!
Цитата · Личное сообщение · #9

alexpol

залил еще сюда

первый цикл:
--> Link <--

второй цикл:
--> Link <--
--> Link <--

| Сообщение посчитали полезным: alexpol



Ранг: 667.3 (! !)
Статус: Участник
CyberMonk

Создано: 30 мая 2013 12:48 New!
Цитата · Личное сообщение · #10

Не захотел новую тему создавать, тема по ASProtect 64 тоже не нашлась по поиску. Может название другое. Вопрос - может у кого появилась возможность защищать Пе файлы полной версией?! Я бы хотел попросить 3 - 4 варианта накрытых АСПротект с разными опциями защиты, лицензионной версией, в трех экземплярах, например виндовс блокнот, mspaint, экранную клавиатуру. Для личного изучения конечно. Спасибо!


Ранг: 241.9 (наставник)
Статус: Участник

Создано: 31 мая 2013 07:15 New!
Цитата · Личное сообщение · #11

asprotect64 - это старфорс в чистом виде. Никакого отношения к старому аспротекту не имеет(защита).

Ранг: 617.3 (!)
Статус: Участник

Создано: 31 мая 2013 08:56 New!
Цитата · Личное сообщение · #12

DriEm пишет:
в скрипте "Восстановление таблицы IAT и вызовов APIs" понадобилось удалить PAUSE на строчке 1869 (иначе скрипт дальше не шел)

В окне скрипта жмешь пробел и он продолжает работать.

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 31 мая 2013 10:27 New!
Цитата · Личное сообщение · #13

а Vovan666 стратил вопросу было больше 3.5 месяца некро


Ранг: 667.3 (! !)
Статус: Участник
CyberMonk

Создано: 31 мая 2013 16:40 New!
Цитата · Личное сообщение · #14

Nightshade пишет:
asprotect64 - это старфорс в чистом виде. Никакого отношения к старому аспротекту не имеет(защита).


Я в курсе , это ничего не меняет, вопрос остается открытым.


Ранг: 241.9 (наставник)
Статус: Участник

Создано: 1 июня 2013 03:02 New!
Цитата · Личное сообщение · #15

возьми любую игру накрытую старом. блокнот тебе никто не даст. защитить файл стоит 50-70 тыс


Ранг: 667.3 (! !)
Статус: Участник
CyberMonk

Создано: 4 июня 2013 12:56 New!
Цитата · Личное сообщение · #16

Nightshade пишет:
возьми любую игру накрытую старом. блокнот тебе никто не даст. защитить файл стоит 50-70 тыс


ASProtect - License for a firm or a company - €376
ASProtect 64 (License for a company) 1 year updates and support subscription - €189


Ранг: 1125.1 (!!!!)
Статус: Участник

Создано: 4 июня 2013 15:11 New!
Цитата · Личное сообщение · #17

50-70 - это, насколько я помню, накрытие файла с сапортом. Макросы, шмакросы и т.п.


Ранг: 199.6 (ветеран)
Статус: Участник
www.uinc.ru

Создано: 8 июня 2013 18:52 New!
Цитата · Личное сообщение · #18

Не важно! В массы это не пойдет. ASProtect был сделан для шароварщиков-одиночек. Их воротит от идеи server-side защиты. То, что они предлагают - это другая, новая ниша. Тут должен другой класс заказчиков появится, но его не будет, потому что... ну вы сами знаете =) И именно поэтому контора на гране банкротства и всё такое.

Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 10 июня 2013 14:00 New!
Цитата · Личное сообщение · #19

DrGolova, с нишой это вы правы, но как же участие в сколково и попил всем офисом?

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 5 января 2014 08:10 · Поправил: Rio New!
Цитата · Личное сообщение · #20

при использовании скрипта: ASProtect 1.3x - 2.xx Unpacker v1.15F, выскакивает ошибка защиты (Protection Error) Error: 57.
peid говорит: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
Что означает этот код ошибки?
При использовании скрипта от vnekrilov: "Восстановление секции импорта (.idata)" при запросе на восстановление, если оставить найденный адрес по умолчанию, то выдаёт ошибку:
Error on line 377, Text: jne Check_ntdll
если ввести вручную адрес, то ошибка та же...
//
Благодарю Vovan666.
А затем следуя статье разбирать VM, да?

Ранг: 617.3 (!)
Статус: Участник

Создано: 5 января 2014 13:30 New!
Цитата · Личное сообщение · #21

Rio пишет:
выскакивает ошибка защиты (Protection Error) Error: 57

Отладчик палится?
Rio пишет:
При использовании скрипта от vnekrilov: "Восстановление секции импорта (.idata)" при запросе на восстановление, если оставить найденный адрес по умолчанию, то выдаёт ошибку:
Error on line 377, Text: jne Check_ntdll

Этот скрипт специфичный и он работает(и то не всегда) только на какой-то старой версии ODbgScript,
лучше не используй этот скрипт, а вручную восстанови импорт импреком.

Ранг: 411.7 (мудрец)
Статус: Участник

Создано: 15 января 2014 07:25 · Поправил: dosprog New!
Цитата · Личное сообщение · #22

О статьях vnekrilov'a.
Тестировал на днях кое-какой софт по работе с HTML и PDF (не имеющий отношения к Aspr'у).
Ну и взял для "потестировать-на" этот мануал (хорош!). Тот софт, вроде, в порядке, - но неважно.
А вот результаты удалять стало жаль. Вкратце - все части 1..16 второго издания свалены в один PDF файл.
Получилась вполне удобная вещь, и размер - 17Mb реальный, в отличие от сделанного DriEm'ом (70Mb).
Я не знаю, почему так получилось. Словом, заливаю для интересующихся:-->pass:Vnekrilov2<--

| Сообщение посчитали полезным: vnekrilov, neoBlinXaker


Ранг: 17.0 (новичок)
Статус: Участник

Создано: 15 января 2014 14:24 New!
Цитата · Личное сообщение · #23

dosprog
А как софт называется? пригодится.

Ранг: 37.9 (посетитель)
Статус: Участник

Создано: 26 января 2014 03:54 · Поправил: Carpe DiEm New!
Цитата · Личное сообщение · #24

Пробовал при помощи скриптов распаковать "Навигатор Нумеролога", pifagor.org.
На программе самая распространенная 1.35 билд 0425, но :

Первый скрипт для поиска ОЕР

Code:
  1. ---------------------------
  2. MSG ODbgScript
  3. ---------------------------
  4. Asprotect.dll расположена в памяти по адресу 1150000, и имеет размер 30000h байтов.
  5. ---------------------------
  6. ОК   Отмена   
  7. ---------------------------
  8. ---------------------------
  9. MSG ODbgScript
  10. ---------------------------
  11. Эмулированные инструкции в области кода программы не используются.
  12. ---------------------------
  13. ОК   Отмена   
  14. ---------------------------
  15. ---------------------------
  16. MSG ODbgScript
  17. ---------------------------
  18. APIs Asprotect для Asprotect v2.xx SKE не используются.
  19. ---------------------------
  20. ОК   Отмена   
  21. ---------------------------
  22. ---------------------------
  23. MSG ODbgScript
  24. ---------------------------
  25. В программе имеются эмулированные APIs!
  26. ---------------------------
  27. ОК   Отмена   
  28. ---------------------------
  29. ---------------------------
  30. MSG ODbgScript
  31. ---------------------------
  32. Программа имеет области памяти со Stolen Code.
  33. ---------------------------
  34. ОК   Отмена   
  35. ---------------------------
  36. ---------------------------
  37. MSG ODbgScript
  38. ---------------------------
  39. Программа не имеет таблицу INIT, или она не повреждена протектором.
  40. ---------------------------
  41. ОК   Отмена   
  42. ---------------------------
  43. ---------------------------
  44. MSG ODbgScript
  45. ---------------------------
  46. Программа имеет вызовы APIs Asprotect из Asprotect.dll.
  47. ---------------------------
  48. ОК   Отмена   
  49. ---------------------------
  50. ---------------------------
  51. MSG ODbgScript
  52. ---------------------------
  53. Ошибка!!! Программа остановлена по неизвестным причинам!
  54. ---------------------------
  55. ОК   Отмена   
  56. ---------------------------
  57.  
  58. Finish


Что было сделано не так?

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 6 февраля 2014 18:49 New!
Цитата · Личное сообщение · #25

Имеется софт (esr.exe)
--> Link <--
Накрытый Аспром.
Этот модуль загружается из BootCD (PE-сборка из Висты)
Его необходимо отучить от сборки.
После распаковки и патча, прога валится на scrambled коде, скорее всего в сборке идет расшифровка по ключу.
Скажите, где в реестре хранятся ключи аспра ?, реестр BootCD в наличии.
Нужно при распаковке правильно расшифровать scrabled cоde.

Ранг: 6.2 (гость)
Статус: Участник

Создано: 7 февраля 2014 03:20 · Поправил: __X3__ New!
Цитата · Личное сообщение · #26

YURETZS пишет:
прога валится на scrambled коде, скорее всего в сборке идет расшифровка по ключу.

Не факт что валится из-за отсутствия кода.
YURETZS пишет:
PE-сборка из Висты

А под этой сборкой другие проги нельзя пользовать, например, PE Tools, чтобы сделать дамп запущенной зареганной проги, а потом из него перенести раскриптованный код в распакованный комазом exe? Найти такой код не сложно, по сигнатуре - E9 01 00 00 00.

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 7 февраля 2014 16:40 New!
Цитата · Личное сообщение · #27

__X3__
Хорошая идея, надо будет попробовать, только импорт скорее всего придется вручную править.

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 11 февраля 2014 00:40 New!
Цитата · Личное сообщение · #28

__X3__
Pe-Tools не запустился под сборкой, выругался на какой-то ocx.
А вот OLLY -боекомплект с плагинами запустился.
Вопрос - каким скриптом сделать рабочий дамп и в каком месте, можно ли дампить код уже запущенной проги ?

Ранг: 6.2 (гость)
Статус: Участник

Создано: 11 февраля 2014 07:30 · Поправил: __X3__ New!
Цитата · Личное сообщение · #29

YURETZS
Запускаем скрипт "Восстановление таблицы IAT и вызовов APIs.osc", смотрим в окне лога:
* Вызов из Asprotect.dll API GetEncryptProc: 004440F0
* Вызов из Asprotect.dll API GetDecryptProc: 004440E0

Вот это - GetDecryptProc: 004440E0. Смотрим что там:
Code:
  1. 004440E0   MOV EAX,DWORD PTR SS:[ESP+4]
  2. 004440E4   MOV DWORD PTR DS:[4FF294],EAX
  3. 004440E9   RETN 4

По 4FF294 прописывается адрес аспровой апи GetDecryptProc. Делаем анализ кода проги в отладчике и ищем где ещё используется данный адрес:
Code:
  1. Address    Disassembly                              Comment
  2. 004440E4   MOV DWORD PTR DS:[4FF294],EAX
  3. 00444110   CMP DWORD PTR DS:[4FF294],004440C0    
  4. 004442C6   CALL DWORD PTR DS:[4FF294]

Если посмотреть откуда вызывается код 00444110, 004442C6, то можно понять, что есть всего один участок с криптованным кодом:
Code:
  1. 004826CA     /E9 9E040000   JMP 00482B6D ;так будет если код шифрован - прыжок через 0x49E байт
  2. или будет так,
  3. 004826CA     /E9 01000000   JMP 004826D0 ;если расшифрован

Чем вытащить этот код без разницы, можно вообще не дампить, а просто запустить прогу под отладчиком скопировать раскриптованный код бинарно и оформить в текстовый файл. И далее на нормальном дампе его также бинарно вставить и сохранить изменения. А можно плагином - Multiline Ultimate Assembler.

P.S. Читайте статьи с примерами по распаковке, чтобы понять в какой последовательности пользоваться скриптами.

З.Ы.
вот ещё нашел два участка
Code:
  1. 00425370   \E9 B2080000   JMP 00425C27
  2.  
  3. 0042DC1B    /E9 610E0000   JMP 0042EA81

| Сообщение посчитали полезным: YURETZS


Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 11 февраля 2014 23:05 New!
Цитата · Личное сообщение · #30

__X3__
Спасибо за разъяснения и правильную распаковку.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 13 июня 2014 19:24 New!
Цитата · Личное сообщение · #31

А прогу, пакованную аспром с применением виртуальной машины, которая переносит код из оеп в свою секцию да еще и мусорит код там, реально распаковать так, чтобы код выглядел как в орининальной неупакованной программе ? Если да, то существуют скрипты для вычистки кода от мусорных инструкций, чтобы ему можно было придать первоначальный вид ?
<< 1 ... 36 . 37 . 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ