Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

Вообще надо читать внимательнее , там написано откуда Я тоже к сожалению не встречал этот док.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Немного поработал над скриптами, с целью устранения ошибок и автоматизации выполнения некоторых операций. Здесь я выкладываю обновленный набор скриптов. В скриптах, в частности, исправлено:
- восстановление эмулированных инструкций после вызовов эмулированных APIs;
- добавлена переадресация прыжков при переносе областей со Stolen Code в новую секцию файла, когда восстановленные инструкции записаны в секции .adata файла;
- и еще некоторые незначительные доработки.

8c25_30.03.2009_CRACKLAB.rU.tgz - Исправленные скрипты для Asprotect.rar

| Сообщение посчитали полезным:

Тут в ебуке собрал все 9 частей анпака по vnekrilov (в 1-м поудобнее будет), мож кому сгодитца (перезалито ниже) с пассом, думаю, итак все ясно.

| Сообщение посчитали полезным:

Valemox пишет:
Тут в ебуке собрал все 9 частей анпака по vnekrilov (в 1-м поудобнее будет), мож кому сгодица

Получилось очень неплохо. Спасибо Valemox. Когда немного поправятся дела со здоровьем, напишу последнюю часть статьи по протектору, в котором приведу скрипт для восстановления эмулированных инструкций в самой Asprotect.dll, а также приведу практический пример распаковки какой-либо программы, с помощью предложенного мной набора скриптов.

| Сообщение посчитали полезным:

не было привычки собирать коллекции протов , теперь кажется она появляется. У кого есть коллекция Аспротектов ? Если не жалко поделиться , стукните в ЛС.

vnekrilov не отмазывайся) с тебя всеравно схм файл с последней статьей)

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

может варинт в pdf и chm создадите?

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

mak пишет:
vnekrilov не отмазывайся) с тебя всеравно схм файл с последней статьей)


А я и не отмазываюсь. Будут две статьи в формате CHM: одна - по восстановлению инструкций, а другая - по распаковке конкретной программы.

| Сообщение посчитали полезным:

vnekrilov
С нетерпением ждем. Последних два запроса сделал только благодаря статьям. Очень доволен.

| Сообщение посчитали полезным:

Valemox пишет:
Тут в ебуке собрал все 9 частей анпака по vnekrilov (в 1-м поудобнее будет), мож кому сгодитца _hттp://rapidshare.com/files/217510106/vnekr_tut.rar с пассом, думаю, итак все ясно.
перезалейте, пожалуйста, куда-нить кроме рапиды , желательно на Multi-up.com
спасибо.

| Сообщение посчитали полезным:

alexey_k
multi-up.com/76679 <--

| Сообщение посчитали полезным:

Сегодня я выкладываю 10-ю часть из цикла статей по распаковке Asprotect, в которой описана виртуальная машина для выполнения эмулированных подпрограмм в области Asprotect.dll. К этой статье приложен очищенный код виртуальный машины в виде файла recovery_emulate_inst_Asprotect_dll.bin, приложен скрипт для раскриптовки эмулированных инструкций, а также приведена структура массива данных для эмулированных подпрограмм. В 11-й части я приведу пример распаковки конкретной программы, а также набор откорректированных скриптов. Как быстро я напишу эту статью, не знаю, поскольку имеются некоторые проблемы со здоровьем. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.


0da0_10.04.2009_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (Часть 10).rar

| Сообщение посчитали полезным:

Сегодня я выкладываю 11-ю часть из цикла статей по распаковке Asprotect, в которой описан процесс распаковки программы PasswordPro v2.5.1.0. К этой части статьи приложены переработанные и откорректированные скрипты. Я вынужден был разделить эту часть на две части, поскольку возникла необходимость разобрать вопросы эмуляции проверки регистрационного кода, которые мной не были ранее рассмотрены. Кроме того, я планирую подготовить и вторую статью по распаковке второй конкретной программы, поскольку программа PasswordPro v2.5.1.0 не позволяет рассмотреть все аспекты процесса распаковки. Возможно, кто-либо предложит небольшую по размеру программу, которую я мог бы использовать в качестве примера. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.


8dce_16.04.2009_CRACKLAB.rU.tgz - Распаковка Asprotect по vnekrilov(Часть 11).rar

| Сообщение посчитали полезным:

Возможно, кто-либо предложит небольшую по размеру программу, которую я мог бы использовать в качестве примера
vnekrilov как насчет моего APROS?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

vnekrilov пишет:
Возможно, кто-либо предложит небольшую по размеру программу, которую я мог бы использовать в качестве примера.
Этот экземпляр в запросах, выложенный LinXP, тож довольно интересный будет _hттp://www.aggsoft.ru/download/aspmon35.exe для исследования (глянул бы его).

| Сообщение посчитали полезным:

depler пишет:
vnekrilov как насчет моего APROS?

Можно и APROS. Небольшая и удобная программа.

| Сообщение посчитали полезным:

Valemox
Согласен. Ковырял но дамп так и не смог поднять. Было бы интересно.

| Сообщение посчитали полезным:

SpoliatoR пишет:
Ковырял но дамп так и не смог поднять.

Вопрос в порядке обсуждения. Я распаковал большое число программ, упакованных разными версиями Asprotect. Приходилось натыкаться на разные ловушки, проблемные вопросы, и т.д. Накопился определенный опыт. Может быть стоит создать топик по практике распаковки программ? Хотелось бы узнать ваше мнение по этому вопросу.

| Сообщение посчитали полезным:

vnekrilov пишет:
Может быть стоит создать топик по практике распаковки программ?
Я за! было бы полезно и интересно

из 11 статьи:
Для создания этой секции файла будем использовать утилиту PE Tools v1.8.800.2006 RC7
Это опечатка или же преват?

| Сообщение посчитали полезным:

vnekrilov пишет:
Накопился определенный опыт. Может быть стоит создать топик по практике распаковки программ?
Кстати об этом уже не раз говорили, но дальше разговоров это не уходит. Было бы класно создать подфорум с названием распаковка или протекторы, а там уже создать определённые темы с протекторами, например:
Протекторы:
- ASProtect
-Armadillo
- ExeCryptor
ну и т.д.
Получается вся информация в одном месте, не захламляется основной форум+ не надо искать по всему форуму. - сделано

| Сообщение посчитали полезным:

+1
Валентин, конечно за! Подобная тема вернет форуму его нормальное лицо, так как она действительно в тему - будет посвещена практическому реверсингу, а то форум почти полностью утонул во всяких запросах на взлом, постах на левый софт, и зафлудили его по полной.

| Сообщение посчитали полезным:

LIZARD пишет:
Это опечатка или же преват?
Это опечатка, я надеюся, т.к. если заменить в версии одну цифру, то у меня такая есть PE Tools v1.5.800.2006 RC7

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

vnekrilov пишет:
Может быть стоит создать топик по практике распаковки программ?
Нет...не стоит, инфо достаточно выложено, практически по любой защите.
Если кому-то не хватает ума, переварить его, это уже проблемы личного характера.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

BoRoV пишет:
Это опечатка, я надеюся, т.к. если заменить в версии одну цифру, то у меня такая есть PE Tools v1.5.800.2006 RC7

Да, это опечатка. Приношу свои извинения за допущенную опечатку.

| Сообщение посчитали полезным:

Djeck пишет:
Было бы класно создать подфорум с названием распаковка или протекторы, а там уже создать определённые темы с протекторами

Идея неплохая!

Bronco пишет:
Если кому-то не хватает ума, переварить его, это уже проблемы личного характера.

Когда я впервые принимался за распаковку программ, имея под рукой неплохие статьи от PE_Kill, Pavka и других авторов, казалось, что все можно сделать очень быстро. Но, как всегда, приходилось сталкиваться со многими проблемами из-за того, что некоторые вещи приходилось понимать с большим трудом. При написании статьи, всегда забываются те подводные камни, на которые следует обращать внимание (особенно для новичков, кто только начинает разбираться с этим вопросом), поэтому забываешь обратить внимание читателя на эти нюансы.

На первых этапах, мне хотелось спросить совета, поделиться вопросом или сомнением, и т.д, но где?. По моему мнению, когда имеется подфорум, в нем всегда можно задать любой вопрос по тому или иному аспекту распаковки, и получить квалифицированный ответ или совет. С приобретением соответствующего опыта, таких вопросов становится все меньше и меньше. Поэтому я и поднял этот вопрос, учитывая, прежде всего, новичков в вопросах реверсинга, а не профессионалов. Наоборот, профессионалы именно и могут давать квалифицированные ответы и советы.

| Сообщение посчитали полезным:

vnekrilov
Все правильно. Давно пора создать. По распаковке много всегда вопросов, а мусорить в форуме не хочется. Искать долго. Хотя согласен все есть.
Тутор прекрасный. Насчет подводных камней... На мой взгляд не стоит все разжевывать. Любой туториал должен оставаться открытым и задавать вопросы на которые хотелось бы найти ответы Иначе не будет желания двигаться вперед.
За туториал спасибо большое. Огромная работа . Надеюсь будет продолжение и по другим интересным темам.
Djeck
Это было бы хорошо. Да и мультиков много уже. Ваш по обсиду очень интересный. Не пора ли создать видио прокат ?

| Сообщение посчитали полезным:

Сегодня я выкладываю 12-ю часть из цикла статей по распаковке Asprotect, в которой описано продолжение процесса распаковки программы PasswordPro v2.5.1.0. К этой части статьи приложены переработанные и откорректированные скрипты. Кроме того, я планирую подготовить и вторую статью по распаковке второй конкретной программы Advanced Serial Port Monitor, поскольку программа PasswordPro v2.5.1.0 не позволила рассмотреть все аспекты процесса распаковки. Скачал с сайта разработчика две Демо-версии Asprotect v1.5_2.5 SKE build 04.08. Беглый осмотр этих программ показал, что на них нормально работают выложенные мной скрипты. Может быть кто-то имеет не-Демо дистрибутивы этих программ, хотелось бы их получить для анализа!!! Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.



8bb8_03.05.2009_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (Часть 12).rar

| Сообщение посчитали полезным:

vnekrilov пишет:
Может быть кто-то имеет не-Демо дистрибутивы этих программ
Чёт я не пойму, а чего нет в Demo, там разве что-то заблокированно?

Кстати, воспользуюсь случаем и спрошу , инлайню (пытаюсь) ASProtect 2.5 (та самая демка). Не знаешь случаем где там проверка на Trial (ну типа этот противный наг Expired)?

| Сообщение посчитали полезным:

MasterSoft пишет:
Чёт я не пойму, а чего нет в Demo, там разве что-то заблокированно?

что ты там инлайнить пытаешься? demo c вырезанными кусками кода

| Сообщение посчитали полезным:

Gideon Vi
Не знал, теперь ясно. Но просто хочу убрать этот наг, пробовал с AsPack'ом...все ограничения убрал, всё нармуль. Тока вот c "....30-day trial has expired!" не получаетцо!

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным: