Русский / Russian English / Английский

Сейчас на форуме: Wiz_41 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 11 июля 2008 14:28 New!
Цитата · Личное сообщение · #2

Чем меньше данных запрашивается, тем меньше вероятность какой-либо ошибки. Да и универсальным нельзя назвать скрипт, которому надо что-то указывать.

А от того, что ты выделишь 0x1000 байт, сделаешь дела и освободишь эту память никто не пострадает.

Ранг: 72.7 (постоянный)
Статус: Участник

Создано: 11 июля 2008 15:22 New!
Цитата · Личное сообщение · #3

Привет всем. vnekrilov там в моем топе "Распаковка аспр на примерах" на стр 12-13 добавлял секцию, в хвост проги. Там помоему даже кусок скрипта готовый есть. На работе смотреть некогда, но вроде есть такое, готовое действие, может пригодится. vnekrilov молодчага, иногда смотрю поверхностно новые твои достижения, а так даже не до кодинга мне.


Ранг: 289.1 (наставник)
Статус: Участник
Advisor

Создано: 12 июля 2008 00:27 New!
Цитата · Личное сообщение · #4

vnekrilov пишет:
MOV EAX, DWORD PTR DS:[EBP+534]

Команда то с простым опкодом, из "неизвестных" только константа. Тупо по шаблону, и
побайтно их собирать
kioresk пишет:
Я так в доки и не стал вкуривать

+1.
Может анализ протектора того требует ( всё таки ведущий отечественно_комерческий), но на половине чтива, уже депрес&дежавю пробивает

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 июля 2008 00:40 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #5

Наконец то добил скрипт для восстановления оригинального кода эмулированных инструкций в главной области кода программы. К сожалению, не удается сделать универсальный скрипт, поэтому сейчас я готовлю флакон исходников с методичкой, как можно, используя базовый код для восстановления инструкций в AsProtect v2.41 build 02.26, доработать его для восстановления таких инструкций в других программа. Пока выкладываю два скрипта - для AsProtect v2.4 build 12.20 и AsProtect v2.4 build 02.26. Убедительная просьба потестировать эти скрипты на своих машинах, не дают ли они сбои. И одна просьба. Нет ли у кого оригинальной (не патченной) программы AsProtect v2.4 build 11.20. Поделитесь, пожалуйста.

{ Атач доступен только для участников форума } - Script for Asprotect.rar

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 июля 2008 09:04 New!
Цитата · Личное сообщение · #6

Bronco пишет:
Команда то с простым опкодом, из "неизвестных" только константа. Тупо по шаблону, и


Тупо по шаблону не получается, особенно при восстановлении эмулированных инструкций SUB, ADD и MOV, используемых во второй подпрограмме эмуляции данных.

Bronco пишет:
Может анализ протектора того требует ( всё таки ведущий отечественно_комерческий), но на половине чтива, уже депрес&дежавю пробивает


Да, анализ протектора действительно нудноватый, но мне хотелось показать, что все не сложно. В статье, которую я сейчас заканчиваю писать, будет показана конкретная доработка кода для второго скрипта. Это будет даже не статья, а конкретное руководство для работы.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 июля 2008 15:40 New!
Цитата · Личное сообщение · #7

На обменнике www.sendspace.com/file/yjvck8 я выложил флакон с методичкой по созданию скрипта для восстановления эмулированных инструкций в Asprotect. Во флаконе находятся два скрипта для восстановления эмулированных инструкций для программ AsProtect v2.4 build 12.20 и AsProtect v2.4 build 02.26, файлы программы для восстановления инструкций с файлом .udd, и файл AsprDllDumper.exe от Deroko.
Буду признателен за отзывы, замечания, критику и пожелания.
Если кто-то сможет, перезалейте этот архив на Crack@Lab (его объем небольшой - 226 КБ), у меня что-то не заливается, видимо, очень низкая скорость заливки.

Ранг: 441.5 (мудрец)
Статус: Участник

Создано: 28 июля 2008 15:51 New!
Цитата · Личное сообщение · #8

Перезалил

{ Атач доступен только для участников форума } - Anti-dumping in AsProtect by vnekrilov.rar

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 11 августа 2008 01:03 New!
Цитата · Личное сообщение · #9

На обменнике www.sendspace.com/file/se284h я выложил вторую (и, видимо, последнюю) часть статьи по антидампингу в AsProtect. К этой статье приложен оптимизированный код программы для восстановления эмулированных инструкций в области Asprotect.dll и главной области кода, а также два скрипта, которые использую этот код. Как всегда, буду признателен за критику, пожелания, замечания и отзывы.
Если кто-то сможет, перезалейте этот архив на Crack@Lab (его объем небольшой - 113 КБ), у меня что-то не заливается, видимо, очень низкая скорость заливки.

И еще раз повторяю мою просьбу. Нет ли у кого оригинальной (не патченной) программы AsProtect v2.4 build 11.20. Поделитесь, пожалуйста.

И приступаю к написанию последней части статьи, в которой будет описан процесс взлома AsProtect v2.4 build 12.20.


Ранг: 1125.9 (!!!!)
Статус: Участник

Создано: 11 августа 2008 02:15 New!
Цитата · Личное сообщение · #10

vnekrilov пишет:
Если кто-то сможет, перезалейте этот архив на Crack@Lab


done

vnekrilov пишет:
Нет ли у кого оригинальной (не патченной) программы AsProtect v2.4 build 11.20.


На паблике не пробегал. В привате вроде бы тоже

{ Атач доступен только для участников форума } - Anti-dumping in AsProtect by vnekrilov (Parte 2).rar

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 августа 2008 04:13 New!
Цитата · Личное сообщение · #11

vnekrilov
ASProtect 2.4 SKE build 11.20 Release- есть вот такой . Нужен?

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 11 августа 2008 09:19 New!
Цитата · Личное сообщение · #12

pavka пишет:
ASProtect 2.4 SKE build 11.20 Release- есть вот такой . Нужен?


Если он не пропатчен китайцами (оригинальный setup), то нужен.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 августа 2008 10:12 New!
Цитата · Личное сообщение · #13

vnekrilov
rapidshare.com/files/136463239/aspr24release1120.zip

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 11 августа 2008 10:35 New!
Цитата · Личное сообщение · #14

pavka

Большое спасибо.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 14 августа 2008 07:05 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #15

Вопрос в порядке консультации. Я проанализировал последние версии Аспра с точки зрения создания универсального скрипта для восстановления эмулированных инструкций. Отличие Asprotect.dll заключается в изменении адресов расположения данных в массивах данных, которые хранят всю информацию об эмулированных инструкциях. Возникает идея - создать универсальный скрипт, который бы восстанавливал оригинальный код эмулированных инструкций для всех версий аспра, в зависимости от версии Asprotect.dll. Имеется неплохая тулза AsprInfo v1.6, которая прекрасно справляется с этой работой. Как я понял из серии топиков на форуме КракЛаб, там информация извлекается из самой запакованной проги. Однако автор не указал, как это делается. Мне бы хотелось вставить в универсальный скрипт часть кода, которая бы определяла версию Аспра, и, в зависимости от этой версии, выбирала бы нужную часть скрипта для восстановления кода эмулированных инструкций. Чтобы не копаться в массе материалов, может быть кто-либо подскажет, как найти информацию о версии Аспра.


Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 24 августа 2008 12:36 New!
Цитата · Личное сообщение · #16

vnekrilov напиши nik0g0r'у на мыло... мыло живое, автор отвечает


Ранг: 118.1 (ветеран)
Статус: Участник

Создано: 24 августа 2008 13:11 · Поправил: Модератор New!
Цитата · Личное сообщение · #17

vnekrilov

nik0g0r [at] pisem.net

// by moder - ты не на спамеров случайно работаешь, мыло в открытую постишь.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 15 сентября 2008 11:34 · Поправил: borov New!
Цитата · Личное сообщение · #18

ни кто не знает не вышел новый скрипт от VolX'a(у меня v1.14aE), а то не хотел одну прогу обрабатывать, VerA PE_Kil'a сказала Unknown, я подумал ,и упаковал одну програму аспром 2.4, что бы проверить, та самая хрень, прога PHP Expert Editor v4.3


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 15 сентября 2008 17:54 New!
Цитата · Личное сообщение · #19

borov
А зачем VerA? этот плагин по какому то ид смотрит что за версия. А вот ASPrINFO выдирает саму инфу вшитую в файл, например:


[APROS], [1.6],
[2.4 build 02.26 Beta],
[Vinny-the-P00h].


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 15 сентября 2008 18:35 New!
Цитата · Личное сообщение · #20

depler пишет:
А вот ASPrINFO выдирает саму инфу вшитую в файл

вот что он сказал:
[PHP Expert Editor], [4.3],
[1.4 build 11.20 Release], [A. Kalita].

но я сомниваюсь что там 1.4


Ранг: 1125.9 (!!!!)
Статус: Участник

Создано: 16 сентября 2008 00:29 New!
Цитата · Личное сообщение · #21

borov пишет:
но я сомниваюсь что там 1.4


ну и здря


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 16 сентября 2008 01:11 New!
Цитата · Личное сообщение · #22

Gideon Vi пишет:
ну и здря

почему, предыдущая что у меня была 4.1 была
VerA:
Version: ASProtect 2.0x - *heuristic* [2]

ASPrINFO:
PHP Expert Editor, 4.1
1.32 build 11.24 RC1.

пусть мнения их и расходятся, но всеже 1.4 не может быть


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 16 сентября 2008 06:02 New!
Цитата · Личное сообщение · #23

borov я когда то ломал эту прожку, там 1.XX

Отправь на сервис распаковки, тебе распакуют эту версию.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 16 сентября 2008 08:29 New!
Цитата · Личное сообщение · #24

я хотел сам, 4.1 - я легко страйпером распаковывал, а вот эта 4.3 и страйпер вылетает с ошибкой, и скрипт VolX'a тоже


Ранг: 1125.9 (!!!!)
Статус: Участник

Создано: 16 сентября 2008 08:44 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #25

borov пишет:
почему


потому, что аспр шьет версию в защищаемый файл, так что ASPrINFO работает не с сигнатурами

borov пишет:
ASProtect 2.0x - *heuristic*


а такая вещь, как heuristic тебя не смутила?

borov пишет:
я хотел сам

borov пишет:
4.1 - я легко страйпером распаковывал


Смысл в том, чтобы самому F9 или кнопочку в стрипере нажать?


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 16 сентября 2008 12:51 New!
Цитата · Личное сообщение · #26

borov 1.х от 2.х отличаются только рег схемой, всё остальное у них одно и тоже и обе версии одновременно апдэйтятся. Поэтому анализаторы и ошибаются. Свой я уже давно забросил.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 16 сентября 2008 15:25 New!
Цитата · Личное сообщение · #27

а как тогда можно узнать версию


Ранг: 118.1 (ветеран)
Статус: Участник

Создано: 16 сентября 2008 15:51 · Поправил: Loco New!
Цитата · Личное сообщение · #28

PE_Kill пишет:
Свой я уже давно забросил.

Ты про Vera ? Последняя версия 0.15 или есть поновее?


PE_Kill пишет:
Поэтому анализаторы и ошибаются.

ХМ, мне как и Vera так и ASPrInfo не врут, правду глаголят=)


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 16 сентября 2008 19:33 New!
Цитата · Личное сообщение · #29

Loco пишет:
не врут, правду глаголят

мнения у них часто расходятся


Ранг: 118.1 (ветеран)
Статус: Участник

Создано: 16 сентября 2008 21:03 New!
Цитата · Личное сообщение · #30

borov Какая у тебя версия Vera ? Я паковал АСПром файлы и тестил, как Vera так и ASPrInfo опознавали версию и билд.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 16 сентября 2008 21:17 New!
Цитата · Личное сообщение · #31

VerA 0.15, смотря какие версии аспра
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ