Русский / Russian English / Английский

Сейчас на форуме: rmn (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< 1 ... 36 . 37 . 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 15 июня 2014 19:40 New!
Цитата · Личное сообщение · #2

Ребят, распакоываю аспр 2.11 ske, столкнулся там с антидампами вида Call 0120004, я раньше видел только антидампы вида call 0120000, их чинить умею. А как исправлять антидампы второго типа, у которых на конце 4 ? Я разобрался как их чинить руками можно, но хочется разобраться как это делать скриптом.
Читал скрипты vnekrilova, но там автор использует какие-то прививки, не объясняя откуда их взял.

Подскажите, пожалуйста, идеи для написания скрипта для починки этих антидампов.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 2 апреля 2015 13:40 · Поправил: programmator New!
Цитата · Личное сообщение · #3

vnekrilov, не подскажите, какие инструкции следует искать для ASProtect SKE 2.72 (ASProtect 32), так как скрипт Восстановление таблицы IAT и вызовов APIs.osc не хочет работать с этой версией.

Code:
  1. Asprotect.dll расположена в памяти по адресу 2AF0000, и имеет размер 1E000h байтов.

Code:
  1. Ошибка!!! Base Relocation Table: инструкции 'mov dword[const],ebp | cmp ebp,dword[esp+??]' не найдены!


Спасибо.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 2 апреля 2015 13:54 New!
Цитата · Личное сообщение · #4

Скрипт от VolX в помощь.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 2 апреля 2015 18:47 New!
Цитата · Личное сообщение · #5

unknownproject пишет:
Скрипт от VolX в помощь

Он тоже не работает с новой версией ASProtect.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 3 апреля 2015 07:36 · Поправил: unknownproject New!
Цитата · Личное сообщение · #6

programmator пишет:
Он тоже не работает с новой версией ASProtect.

Это неверное утверждение.Хотя, вангую скрипткидди, который даже OEP не найдет, так что оставлю дальнейшие ответы без комментариев.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 3 апреля 2015 09:08 New!
Цитата · Личное сообщение · #7

programmator, напишите vnekrilov в личку.

unknownproject пишет:
вангую скрипткидди


хамишь.

| Сообщение посчитали полезным: programmator


Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 3 апреля 2015 12:28 New!
Цитата · Личное сообщение · #8

programmator пишет:
подскажите, какие инструкции следует искать для ASProtect SKE 2.72 (ASProtect 32), так как скрипт Восстановление таблицы IAT и вызовов APIs.osc не хочет работать с этой версией.


Я не смотрел новые версии аспротекта. Там могут поменяться байты, используемые для поиска инструкций. Сбросьте мне программу, и я откорректирую скрипты...

| Сообщение посчитали полезным: bizdon, programmator


Ранг: 5.2 (гость)
Статус: Участник

Создано: 17 июня 2015 23:47 New!
Цитата · Личное сообщение · #9

Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009) - 1 выпуск именно нужен, может кто перезалить?


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 18 июня 2015 09:19 New!
Цитата · Личное сообщение · #10

Foster
ASProtect_Unpacking_Tutorials_doc_2009-12-22.rar
http://rghost.ru/private/6cymRbWxs/a954d21224663c8c3733126f14d8fe30

| Сообщение посчитали полезным: Foster


Ранг: 33.1 (посетитель)
Статус: Участник

Создано: 13 июля 2015 11:51 · Поправил: 13 июля 2015 22:30 Solo New!
Цитата · Личное сообщение · #11

остался еще кто-нибудь в теме?
много лет уже не ковырял asprotect, а тут заставить работать программку нужно, которая к HWId привязана. Алгоритм генерации HWId расковырял, но такое решение некрасиво.
Хочется ключи подменить и перепаковать/перешифровать, как всегда раньше делал... Но сейчас, пока, нарыл только 50-кратное перешифрование RC-4, а не однократное, как было раньше...
ASPriNF пишет 2.56 build 03.17, но, подозреваю, что он просто большее писать не обучен...
Прога не публичная, выложить не могу.
А вот пообсуждать информацию и наработки готов.
Если нужно, могу исходник генерации HWId выложить для затравки, его ж еще не публиковали нигде?

Если конкретно, интересует вопрос - что за алгоритм перекодирует RSA-ключи (назовем их пока RSA, т.к. в этой версии я не верефицировал алгоритм, а в старых был RSA) перед их 50-кратным расшифрованием и повторно перекодирует после?

Upd: Мда... Этот код накрыт виртуальной машиной. Только чет на описанные она не сильно похожа. Дерево ветвлений, похоже, накрывает уже все инструкции процессора?


Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 15 июля 2015 23:48 New!
Цитата · Личное сообщение · #12

Solo
В ASProtect виртуальная машина? Никогда раньше не видел...
Можно vm entry? И если есть - примитивы?


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 16 июля 2015 00:49 · Поправил: 16 июля 2015 00:52 Maximus New!
Цитата · Личное сообщение · #13

DenCoder там их несколько с возможностью мутации кода. ПЕКилл разобрал почти все. Причем сделал полное восстановление кода до состояния "как было до"

Ранг: 405.9 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 18 июля 2015 10:35 New!
Цитата · Личное сообщение · #14

Maximus пишет:
ПЕКилл разобрал почти все.

А где, собственно, сам PeKill?

| Сообщение посчитали полезным: dosprog



Ранг: 546.1 (!)
Статус: Участник
оптимист

Создано: 18 июля 2015 10:53 New!
Цитата · Личное сообщение · #15

ELF_7719116 пишет:
А где, собственно, сам PeKill

--> Link <--

| Сообщение посчитали полезным: ELF_7719116


Ранг: 405.9 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 18 июля 2015 12:34 New!
Цитата · Личное сообщение · #16

ClockMan
и больше не вернется?

Ранг: 391.9 (мудрец)
Статус: Участник

Создано: 18 июля 2015 15:37 New!
Цитата · Личное сообщение · #17

ELF_7719116

видимо там проще жить =)


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 19 июля 2015 18:37 New!
Цитата · Личное сообщение · #18

У ПЕКилла все хорошо. Он жив здоров. Теперь у него огромная семья, и время он уже тратит совсем на другие вещи.

| Сообщение посчитали полезным: ClockMan, 4kusNick, HandMill



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 19 июля 2015 19:55 New!
Цитата · Личное сообщение · #19

так он исходники не выложил и не передал никому походу


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 19 июля 2015 21:24 New!
Цитата · Личное сообщение · #20

Hellspawn он вроде не зажимал их. Напиши ему, может отдаст. У меня по крайней мере есть, очень помогает когда надо накидать какой нить универсальный крячек с поиском сигнатур и прочей мудней.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 20 июля 2015 00:17 New!
Цитата · Личное сообщение · #21

Maximus не-не я когда писал, он обещал вроде релизнуть, как допилит их, но видимо времени нету.
да мне без надобности у самого со временем беда(

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 20 июля 2015 08:02 New!
Цитата · Личное сообщение · #22

Maximus а я б не отказался) РЕКилл же делфист фетишист, а вот именно мудню свою изобретать задолбался)

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 30 марта 2016 00:59 New!
Цитата · Личное сообщение · #23

Среди всей это серии с чего бы не начал, везде идут отсылки вроде
Имеется много статей разных авторов (в том числе и мои статьи), в которых подробно описывается процесс распаковки программы в память компьютера
Можно узнать о самых ранних работах vnekrilovа, с которых бы стоило начать, так как:1) мне нравится манера подачи материала. 2) начинать сразу с версии 2,х как-то несерьезно (в статье об 1,35 опять таки отсылки прошлым статьям, а где их искать хз).
P.S. заранее благодарен


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 30 марта 2016 06:49 New!
Цитата · Личное сообщение · #24

albatros пишет:
начинать сразу с версии 2,х как-то несерьезно


отличия между 1х и 2х делают изучение первой для понимания второй не актуальными. Изучайте то, с чем приходиться сталкивать.

Ранг: 2.7 (гость)
Статус: Участник

Создано: 2 сентября 2016 12:39 · Поправил: 2 сентября 2016 12:47 Mitai New!
Цитата · Личное сообщение · #25

а как тут что то почитать по ссылкам качается архив с .osc и .chm разрешением в чем их читать?
на первой странице эта ссылка не открывается http://dump.ru/files/o/o489862518/
VM_recovery_main_code.exe вот эта штука тоже не хочет ставиться мб она читалка? для этих .osc?
надо в этом продукте сделать типо она куплена

Ранг: 125.1 (ветеран)
Статус: Участник

Создано: 2 сентября 2016 12:43 New!
Цитата · Личное сообщение · #26

Mitai
Ну раз надо так в запросы прямиком

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 2 сентября 2016 12:46 New!
Цитата · Личное сообщение · #27

Mitai пишет:
на первой странице эта ссылка не открывается http://dump.ru/files/o/o489862518/

Дамп.ру как хостинг файлов сдох уже несколько лет как.
Mitai пишет:
а как тут что то почитать по ссылкам качается архив с .osc и .chm разрешением в чем их читать?

Если у Вас возникают на данный момент такие вопросы, то забудьте про распаковку AsProtect на n-ое время.Гугл поведает.
Mitai пишет:
надо в этом продукте сделать типо она куплена


Ранг: 2.7 (гость)
Статус: Участник

Создано: 2 сентября 2016 12:54 New!
Цитата · Личное сообщение · #28

ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll вот это нужно качать первым? или что ставить первым что бы читать остальные тексты и статьи?
в запросах выложил но там тишина и ваще не вариант что кто то ответит даже через год

Добавлено спустя 5 минут
так по .chm нашел это что то про справку windows , я уже прям програмист становлюсь)))) скачал что то для его октрытия

Добавлено спустя 24 минуты
DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <-- а вот этой ссылки нет перезалитой???


Ранг: 170.1 (ветеран)
Статус: Участник

Создано: 3 сентября 2016 00:58 New!
Цитата · Личное сообщение · #29

Mitai пишет:
а вот этой ссылки нет


psw: vnekrilov

Ранг: 125.1 (ветеран)
Статус: Участник

Создано: 13 марта 2017 21:58 · Поправил: Jaa New!
Цитата · Личное сообщение · #30

--> Описание проблемы <--
По видимому скрипт предназначался для WinXP, а в новых осях аслр наводит свой порядок.


После остановки в скрипте на 366 строке, адреса на скрине которые я показал уже заполнены с неправильной базой. Заметил что в запакованном файле адреса распаковываются сначало с базой 10000000, а потом какой то цикл их исправляет (релоки судя по всему). Но почему тогда в скрипте адреса только с неправильной базой распаковываются?!

Спасибо SReg, решено.

Ранг: 409.4 (мудрец)
Статус: Участник

Создано: 14 марта 2017 02:38 · Поправил: dosprog New!
Цитата · Личное сообщение · #31

Восстановление импорта и на WinXP, бывает, криво работает.
Встречал одну программку, так линейка из пяти версий распаковывается нормально, за исключением предпоследней версии. Восстановленный импорт получается в том файле с частично кривыми строками.

---------------------------
Ну и заодно, кстати:

Mitai пишет:
DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <-- а вот этой ссылки нет перезалитой???

Там размер PDF'а что-то уж очень чудовищный получился.
Когда-то выкладывал PDF более скромных размеров,
- вот перезалил его немного поправленную версию (16Mb): --> psw: vnekrilov <--



--Добавлено--

SReg пишет:
dosprog когда сказать нечего по делу, зачем херню нести? причем тут импорт и какие-то твои проги, если у него с релоками трабла

Смысл был в том, что и не в Win7, бывает, скрипты странно работают, по необъяснимой причине.
А так да, задумался о другом, вспомнилось. Всякая херня

| Сообщение посчитали полезным: raelag

<< 1 ... 36 . 37 . 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ