Русский / Russian English / Английский

Сейчас на форуме: alex_pl, mintolik (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Анализ ASProtect
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
{ Атач доступен только для участников форума } - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
{ Атач доступен только для участников форума } - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 1
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 2
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 3
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 4
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 5 (продолжение)
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 6
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 7
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 8
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 9
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 10
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 11
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 12
{ Атач доступен только для участников форума } - Распаковка ASProtect - Часть 13
{ Атач доступен только для участников форума } - Распаковка Asprotect - Часть 14
{ Атач доступен только для участников форума } - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 4 марта 2009 08:44 New!
Цитата · Личное сообщение · #2

Уважаемые читатели топика. Я, к сожалению, при паковании 5-й части туториала, не приложил к ней скрипт "Исправление прыжков из области кода в новую секцию файла.osc". Исправляю свою ошибку, и выкладываю этот скрипт отдельно

{ Атач доступен только для участников форума } - Исправление прыжков из области кода в новую секцию файла.osc

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 5 марта 2009 14:02 New!
Цитата · Личное сообщение · #3

Сегодня я выкладываю 6-ю часть из цикла статей по распаковке Asprotect, в которой описан процесс эмуляции APIs Asprotect. К этой статье приложены все универсальные скрипты, которые были приложены к частям 1-5 данного туториала, и работают на всех версиях Asprotect.dll (1.32 - 2.41). Я получил довольно интересное письмо одного из читателей данного топика:
"хотелось бы по окончании всех твоих статей все таки изготовить более-менее пошаговый тутор на примере реальной тяжелой проги с суровой VM, с применением всех твоих скриптов и прочих крякерских фич по отрезанию секций, редактированию callback, oep, tls, hex и прочего".
Хотелось бы узнать ваше мнение по этому вопросу. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.

{ Атач доступен только для участников форума } - ASProtect - Распаковка по vnekrilov (Часть 6).rar


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 5 марта 2009 14:07 · Поправил: SemDJ New!
Цитата · Личное сообщение · #4

vnekrilov пишет:
"хотелось бы по окончании всех твоих статей все таки изготовить более-менее пошаговый тутор на примере реальной тяжелой проги с суровой VM, с применением всех твоих скриптов и прочих крякерских фич по отрезанию секций, редактированию callback, oep, tls, hex и прочего".


Я поддерживаю, мне очень нравится как ты описиваешь аспротект в своих туторах, и еще пожелание, если можно как-то все скрипты объеденить в один, например если проверка на crc есть так скрипт срабатывает если нет пропускает ну и т.д.

borov
Ты не прав! ASProtect чаще всего встречается навешаним на программах. И в последней версии 1.41 очень много уловок, и довольно-таки не легко расспаковывается.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 5 марта 2009 14:11 New!
Цитата · Личное сообщение · #5

vnekrilov пишет:
на примере реальной тяжелой проги

при всем уважение к автору этого письма и vnekrilov'у, а развесам прот не является реально тяжелой прогой

Ранг: 16.4 (новичок)
Статус: Участник

Создано: 5 марта 2009 14:12 New!
Цитата · Личное сообщение · #6

vnekrilov пишет:
" изготовить более-менее пошаговый тутор на примере реальной тяжелой проги с суровой VM".
Хотелось бы узнать ваше мнение по этому вопросу

Дело полезное и нужное! Это будет завершающим этапом, от теории к практике, так сказать.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 5 марта 2009 14:35 New!
Цитата · Личное сообщение · #7

SemDJ пишет:
если можно как-то все скрипты объеденить в один, например если проверка на crc есть так скрипт срабатывает если нет пропускает ну и т.д


Конечно, можно все скрипты объединить в один, как, например, это сделал VоlX. Но тогда получится большая громадина, с которой довольно трудно придется работать, особенно тогда, когда встречается нестандартная ситуация. Поэтому я пришел к мысли, что лучше иметь несколько относительно небольших скриптов, каждый из которых выполняет свою часть работы. Если где-то скрипт допускает сбой, его найти становится намного проще. Но это чисто моя частная точка зрения.

borov пишет:
а развесам прот не является реально тяжелой прогой


Да, сам протектор является реальной тяжелой программой. Однако, в туториале охвачен большой диапазон версий протектора - от 1.32 до 2.41. В одних версиях применяются одни фичи, в другой версии - другие. Так, например, я искал несколько программ, упакованных аспром версии 1.41 build 04.01 (поскольку самого протектора этой и 2.41 SKE build 04.01 не смог раздобыть), Так вот, в одних программах, Asprotect.dll находилась на месте предпоследней секции файла, созданной протектором, а в других программах, для Asprotect.dll выделялась своя область памяти. При распаковке таких программ имеются свои заморочки. Или, например, распаковка DLL. Здесь нужны свои подходы, связанные с таблицей релоков. Сам пакер не имеет библиотек, упакованных им же самим.


Ранг: 105.9 (ветеран)
Статус: Участник

Создано: 5 марта 2009 15:02 New!
Цитата · Личное сообщение · #8

было бы логично добавить в тутор прототипы аспровых функций.
типа:

procedure GetKeyExpirationDate(Day, Month, Year : WORD);stdcall;
procedure GetHardwareID(HardwareID : PChar);stdcall;
и т.д.

Ранг: 16.4 (новичок)
Статус: Участник

Создано: 5 марта 2009 16:53 New!
Цитата · Личное сообщение · #9

Так же поддеживаю крайне актуальный вопрос, поднятый на этой странице и незаслуженно забытый в туторах обход блеклиста ключей
Эту тему давно надо было поднять, так как есть программы, защищенные старыми версиями и есть к ним ключи, но в блэклисте. Если будет описан метод, позволяющий обходить это ограничение (а на паблике появлялись несколько утилит, позволяющих так или иначе это делать), тогда пропадет необходимость эти проги распаковывать, ведь проще заинлайнить обход блэклиста. Самой интересной на мой взгляд являлась утилита аспрдоктор, которую закодил небезызвестный syd, но к сожалению она давно не работоспособна.


Статус: Аноним

Создано: 5 марта 2009 17:43 New!
Цитата #10

troya пишет:
но к сожалению она давно не работоспособна

Просто у тебя нет последней версии аспрдоктора. И это к счастью (приват должен оставаться приватом). На данный момент прога работоспособна и может справляться с некоторыми версиями последнего аспра. Пробовал его на последней, на данной момент, версии аспра - не справился только с API аспротекта + ещё всякие мелочи. Весь остальной импорт и ВМ восстановил.

После syd'а за проект взялось трое умельцев, которые разбившись на две группы выпускали релизы этой тулзы. Проект был снова заброшен до недавнего времени. За аспрдоктор взялся я. В данный момент прервал работу, но очень активно писал деобфускатор полиморфа. Но к сожалению, пока не выпустил ни одной версии. Возможно, если мне удасться, то я верну к жизни идею syd'а о том, чтобы сделать сервис через почту по снятию аспротекта.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 5 марта 2009 18:47 New!
Цитата · Личное сообщение · #11

troya пишет:
есть программы, защищенные старыми версиями и есть к ним ключи, но в блэклисте.


Если можешь, подскажи несколько таких программ, я посмотрю, что можно с ними сделать. Просто я не сталкивался с ними.

seeq пишет:
было бы логично добавить в тутор прототипы аспровых функций


А стоит ли это делать? Ведь эти функции описаны в файле справки к протектору!

Ранг: 123.0 (ветеран)
Статус: Участник

Создано: 5 марта 2009 18:51 · Поправил: Ultras New!
Цитата · Личное сообщение · #12

progopis, наверное речь о стриппере. ASDoctor делал только анблеклист, используя в работе дровину стриппера engine.sys.

vnekrilov пишет:
А стоит ли это делать? Ведь эти функции описаны в файле справки к протектору!


Абсолютно согласен что это лишнее. Все описание есть в проте (Справка, SDK).


Ранг: 500.6 (!)
Статус: Участник

Создано: 5 марта 2009 19:09 New!
Цитата · Личное сообщение · #13

Ultras пишет:
Абсолютно согласен что это лишнее. Все описание есть в проте (Справка, SDK).


Человек хочет что-бы его носом ткнули где конкретно править код нужно.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 5 марта 2009 19:15 New!
Цитата · Личное сообщение · #14

NIKOLA пишет:
Человек хочет что-бы его носом ткнули где конкретно править код нужно.


А зачем? Достаточно посмотреть, что делает скрипт по эмуляции API Asprotect. Да и в туториале я привел рисунки эмуляции этих APIs. А посмотреть, как работают подпрограммы вызова API Asprotect, можно, пройдя на волшебную точку по маске, и посмореть каждую оригинальную подпрограмму.

Ранг: 16.4 (новичок)
Статус: Участник

Создано: 5 марта 2009 21:17 New!
Цитата · Личное сообщение · #15

Ultras пишет:
progopis, наверное речь о стриппере. ASDoctor делал только анблеклист

Именно... речь идет не о снятии всего навесного протекта с вм (достаточно трудоемкая операция), а о замене пары байт в пямяти, отвечающих за блэклист... то есть прога считает себя зарегеной, и это без каких либо изменений самой логики защиты. согласитесь, это самый эффективный способ использования шаревар.

Ранг: 16.4 (новичок)
Статус: Участник

Создано: 5 марта 2009 21:38 New!
Цитата · Личное сообщение · #16

vnekrilov пишет:
Яркий пример одной из утилит, ASProtected Applications Universal Loaderкоторая к сожалению так и не получила развития Занималась обходом блэклистов. Там же в топике приведен пример программы, защищенной аспром. Вообще, для примера проще взять любую их релизившихся группой YAG программ, обычно после засвечивания серийника, он сразу блэклистился... А накардили яги не мало


Статус: Аноним

Создано: 5 марта 2009 21:53 New!
Цитата #17

Не слышал про ASDoctor, сорри.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 6 марта 2009 10:08 New!
Цитата · Личное сообщение · #18

Уважаемые читатели топика. На обменнике www.sendspace.com/file/o448cv я выложил обобщенный туториал по распаковке Asprotect в формате .chm с комплектом скриптов. В нем я объединил 1 - 6 части из цикла статей по распаковке Asprotect. Я хотел залить этот комплект в раздел RAR-статьи, но у меня маленькая скорость передачи, и происходит срыв загрузки. Может быть кто-то перезальет обобщенный туториал в раздел RAR-статьи?


Ранг: 500.6 (!)
Статус: Участник

Создано: 6 марта 2009 10:27 New!
Цитата · Личное сообщение · #19

У меня не получилось загрузить, ошибка какая-то.

Ранг: 28.7 (посетитель)
Статус: Участник

Создано: 6 марта 2009 10:30 New!
Цитата · Личное сообщение · #20

NIKOLA
+1 Error: moving file failed.

Ранг: 22.9 (новичок)
Статус: Участник

Создано: 6 марта 2009 10:50 · Поправил: K_O_T New!
Цитата · Личное сообщение · #21

Deleted - Ступил

Ранг: 28.7 (посетитель)
Статус: Участник

Создано: 6 марта 2009 10:53 New!
Цитата · Личное сообщение · #22

K_O_T
Ты не понял, не получилось загрузить обобщенный туториал в раздел RAR-статьи.


Статус: Аноним

Создано: 6 марта 2009 11:14 · Поправил: progopis New!
Цитата #23

www.sendspace.com http://www.sendspace.com ИМХО плохой обменник.

Перезалил на iFolder.ru:

http://progopis.ifolder.ru/10894576 http://progopis.ifolder.ru/10894576

P.S. По поводу панели автора ИМХО надо стучаться к Bad_guy. Скорее всего пути неправильно прописаны в связи с недавним падением сервера. У нас тоже такая фигня с атачами на форуме, до сих пор исправить лень.


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 6 марта 2009 13:18 · Поправил: SemDJ New!
Цитата · Личное сообщение · #24

вот еще 2 ссылочки на статьи
shareua.com/files/show/2566761/Raspakovka_Asprotect_po_vnekrilov.rar.html
fileshare.in.ua/1910959

Vnekrilov

Отличный обменник fileshare.in.ua/
там нет ограничений на скачивание, можна зарегистрироватся, и нормально заливать.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 6 марта 2009 13:47 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #25

progopis пишет:
ИМХО плохой обменник


Я длительное время пользовался этим обменником. Но сегодня получил письмо об ограниченном числе скачиваний с обменика для незарегистрированных пользователей. Какой еще можете посоветовать обменник, где нет ограничений на число скачиваний (я знаю, что этим грешит Рапида, и еще ряд обменников).


Ранг: 1125.1 (!!!!)
Статус: Участник

Создано: 6 марта 2009 13:56 New!
Цитата · Личное сообщение · #26

vnekrilov, пользуйся мультиаплоадерами, типа: multi-up.com/


Ранг: 667.3 (! !)
Статус: Участник
CyberMonk

Создано: 6 марта 2009 15:02 New!
Цитата · Личное сообщение · #27

vnekrilov наконец то сделал , шикарно. Можно было скрипты зашить тоже в схм , а потом если надо типо скачать с схмки.

Зеркало на --> onlinedisk.ru <-- http://www.onlinedisk.ru/file/95251/

Заливай на onlinedisk.ru или на rapidshare.de , на онлайндиске нет ограничений вообще никаких, качается у меня 1 мегабайт в секунду. А на рапидшаре есть некоторые ограничения но н удаляют файлы после 10 скачиваний и скорость приличная.


Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 6 марта 2009 17:11 New!
Цитата · Личное сообщение · #28

то vnekrilov - действительно шикарно!
mak пишет:
rapidshare.de

на .de быстро ссылки накрываются, лучше .com
hexcsl.com/upload/
mirror01.jino-net.ru/index.php (тут ограничения до 15Мб/файл, но чаще хватает)

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 7 марта 2009 02:41 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #29

Решил поделиться одной из моих приватных фичей. Как известно, появляются новые дистрибутивы Aspotect, которые, для своей работы требуют регистрационного ключа, которого у меня нет. Я успешно запускаю новые дистрибутивы без регистрационного ключа под отладчиком OllyDbg, и, при этом, программа является полностью функциональной (т.е. работают все параметры защиты). Это неплохо помогает при исследовании работы протектора. В аттаче я выложил скрипты и инструкцию по их применению. Может быть, на базе скрипта "Запуск Asprotect без регистрационного ключа.osc" кто-то захочет написать загрузчик или инлайн-патч. Интересно узнать Ваше мнение о работе этого скрипта.

{ Атач доступен только для участников форума } - Запуск Asprotect без регистрационного ключа.rar

Ранг: 153.9 (ветеран)
Статус: Участник
reborn

Создано: 7 марта 2009 10:30 New!
Цитата · Личное сообщение · #30

vnekrilov
Попробовал на 2.4 build 12.20 Beta выдало ошибку

Error on line 105
Text: bphws write_IAT

Ранг: 39.6 (посетитель)
Статус: Участник

Создано: 7 марта 2009 11:03 New!
Цитата · Личное сообщение · #31

newborn
может опять версия не 1.48 у ODbgScript ?
Автор её настоятельно рекомендует для своих скриптов.
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect

Видеокурс ВЗЛОМ