Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

MasterSoft пишет:
Тока вот c "....30-day trial has expired!" не получаетцо!

В 12-й части туториала я рассказал вкратце об APIs Asprotect, и приложил скрипт для исследования подпрограммы вызовов APIs Asprotect. Там, перед вызовом API GetRunApplicationFunction, которая расположена на [ESI+28], имеются две проверки срока триальности:

CMP BYTE PTR DS:[EAX+30],0

CMP BYTE PTR DS:[EAX+31],0

Если по адресам [EAX+30] и [EAX+31], будет записана 1, то и показывается сообщение о триальности. Эти значения надо обнулять. Я правда не анализировал, откуда они записываются, просто не было для этого времени.

Кстати, с помощью Демо-версий я обрабатывал примеры из папки Examples. Эти примеры обрабатываются нормально. На них можно неплохо изучить работу Аспра.

| Сообщение посчитали полезным:

MasterSoft пишет:
пробовал с AsPack'ом...все ограничения убрал, всё нармуль. Тока вот c "....30-day trial has expired!" не получаетцо!
Забавно там на память 4 или 5 криптованых процедур не раскажешь как можно их без ключа проинлайнить?

| Сообщение посчитали полезным:

vnekrilov
Спасибо, щас погляжу.

pavka пишет:
как можно их без ключа проинлайнить?
А китайцы на что?

pavka пишет:
Забавно там на память 4 или 5 криптованых процедур
Ага, ты наверное про это:



| Сообщение посчитали полезным:

MasterSoft пишет:
А китайцы на что?
В каком смысле ? Они тебе ключик дадут?

| Сообщение посчитали полезным:

pavka пишет:
В каком смысле ? Они тебе ключик дадут?
Тоже не понятно причём здесь китайцы. Тем более если они тебе ключ дадут нах тогда инлайнить его?Снимать надо, ты же код вставлять задолбаешься.
MasterSoft пишет:
Ага, ты наверное про это:
Опять не понятки, к чему ты этот код привёл?Долго на него смотрел, но так криптованого кода и не увидел

| Сообщение посчитали полезным:

MasterSoft пишет:
все ограничения убрал, всё нармуль. Тока вот c "....30-day trial has expired!" не получаетцо!
Да и кстати,как ты сохранение опций проинлайнил?Насколько я помню в старых версиях этот код был покриптован.Ты же не сам его дописывал?

| Сообщение посчитали полезным:

Да ладно вам уже накинулись на человека. Пусть он думает что он всё расшифровал и восстановил.

P.S. Djeck, скинь мне свой скрипт (сам знаешь какой), или напиши в аську

| Сообщение посчитали полезным:

pavka пишет:
В каком смысле ? Они тебе ключик дадут?
Да не, у китайцев ключ есть, они же её анпакали. Соответственно и код расшифрованный есть.

Djeck пишет:
Снимать надо, ты же код вставлять задолбаешься.
Да там не очень много. Инлайн посимпатичней будет (по-крайней мере для меня)
Djeck пишет:
но так криптованого кода и не увидел
Это декриптованный и таких там 4

tihiy_grom
Умный что ли самый?!
На вот погляди, там осталось тока проверку на время снять. Может я конечно чего-то и не понимаю, но разве там есть ограничения???

slil.ru/27508384 20.36KB

P.S.: На XP пашет всё ок, лень висту ставить, крикните please - если на ней работать не будет (исправлю).

| Сообщение посчитали полезным:

Ну ёпть, наконец-то сделал!

vnekrilov пишет:
CMP BYTE PTR DS:[EAX+30],0
CMP BYTE PTR DS:[EAX+31],0
мля...всё пролазил там нет такого, в ранних версиях аспра тока имеется, хотя вот в Asprotect 2.5 есть вот это:
CMP BYTE PTR DS:[ESP],0
В аспаке и такого нет, там всё проще оказалось , да кстати, там оказывается две проверки на триальность (не знал).

Ну а вот сам патч --> Patch for ASPack 2.2 <-- 122.46KB

Гонял на висте и на хрюшке. Все ограничения сняты. Тока вот не пойму, мож кто подскажет? Когда пользуешься пакером из контекстного меню, по завершению сжатия выпрыгивает злобная мессага - типа Access violation. Причём выскакивает только в зареганых или крякнутых версиях и это не только тут, у китайцев такая же шняга, да и в версии 2.12 тоже такое было. Так что это: солод криво навесил прот или недостаточно хорошо ломаем?

P.S.: Извините, не знал куда патч выложить (в протекторы или сюда), тут вроде в тему.

| Сообщение посчитали полезным:

MasterSoft пишет:
мля...всё пролазил там нет такого, в ранних версиях аспра тока имеется, хотя вот в Asprotect 2.5 есть вот это:
CMP BYTE PTR DS:[ESP],0

Наверное, ты плохо смотрел. Когда я анализировал Аспр, то смотрел все версии аспра, от 1.32 до 2.5. Если имеется вызов APIs Asprotect из Asprotect.dll, то там обязательно имеется проверка на триальность (дата действия программы, число запусков и число тестовых дней). И это имеется во всех версиях Аспра. Внимательно прочитай мой последний тутор.

| Сообщение посчитали полезным:

vnekrilov выложил твой супер тутор в одном архиве с разбивкой по папкам (полное собрание 12 частей + скрипты + сами архивы и доп. файлы)

_http://mirrorafile.com/files/U06GHTGS/

psw: cracklab.ru

| Сообщение посчитали полезным:

У меня тоже каша с файлами ... хочется последний вариант со всеми исходниками и статьями ....а потом уже можно все просто вычитать ... я тоже уже просил и жду

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

[DR] пишет:
vnekrilov выложил твой супер тутор в одном архиве с разбивкой по папкам (полное собрание 12 частей + скрипты + сами архивы и доп. файлы)

Спасибо. Это - хорошее дело.

Я потихоньку пишу еще один тутор по распаковке программы, написанной на Дельфи. В ней повреждены таблицы INIT и IAT, и целая куча прибамбасов при запуске распакованной проги.
Хотелось бы услышать мнение по следующему вопросу. Скрипты по распаковке аспра разрастаются в размере. Причем, при появлении новых версий, иногда приходится дописывать несколько инструкций, чтобы заставить скрипт выполнить заданные процедуры. Я хочу разделить скрипты еще на несколько частей, например, восстановление INIT, восстановление IAT, восстановление переадресованных вызовов APIs, и т.д., чтобы можно было легче их корректировать тем пользователям, которые, при распаковке каких-то программ, возможно внесут свои изменения в скрипты. Хотелось бы услышать Ваше мнение по этому вопросу.
И еще один аспект. Меня все-таки интересует вопрос, каким образом протектор, для каждой пакуемой программы, записываем свои значения для криптования первого байта опкода в эмулируемых подпрограммах, и подстраивает подпрограмму для выполнения эмулированных инструкций в Asprotect.dll. Может быть кто-то уже занимался этим вопросом?

| Сообщение посчитали полезным:

vnekrilov Сделай отдельно фал скриптов и файл со статьями ...а в скриптах сделай дерево изменений скриптов , а в статьях приписывай просто номер в дереве скриптов ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Сегодня я выкладываю 13-ю, последнюю часть из цикла статей по распаковке Asprotect, в которой описана распаковка программы Advanced Serial Port Monitor v3.7.2 build 316. К этой части статьи приложен весь комплект переработанных и откорректированных скриптов. Правда, число 13 - не очень хорошее число, и я могу написать еще одну, 14-ю статью. Возможно, кто-либо предложит небольшую программу, для ее распаковки. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.


0e1b_11.05.2009_CRACKLAB.rU.tgz - Распаковка ASProtect (Часть 13).rar

| Сообщение посчитали полезным:

Предлагаю AccessFix - извлекает информацию из Access приложений.
www.cimaware.com/download/accessfixinstaller.exe
Asprotect 1.4 build 11.20 Release, Borland Delphi
На этой программе скрипт "Перенос кода из областей со Stolen Code в новую секцию файла" не работает,
так как скрипт "Поиск прыжков из кода в область Stolen Code и восстановление эмулированных инструкций"
не создаёт файл table_ImageBase_Stolen_Code.bin
Она распаковывается Aspr2.XX_unpacker_v1.15E.osc, но при запуске теряется часть ресурсов.
После EOP продолжается изменения основного кода, т.е без Asprotect.dll правильно она работать не будет.

| Сообщение посчитали полезным:

OLMAR пишет:
так как скрипт "Поиск прыжков из кода в область Stolen Code и восстановление эмулированных инструкций"
не создаёт файл table_ImageBase_Stolen_Code.bin

Скачиваю эту программу, и, видимо, по ней сделаю 14-ю часть туториала. Видимо, в этом туториале необходимо показать и доработку тех или иных скриптов, используемых при распаковке программы. Что касается Aspr2.XX_unpacker_v1.15E.osc, то это хороший скрипт, но кое-какие вещи мне в нем не нравятся. Хотя, это дело вкуса.

| Сообщение посчитали полезным:

vnekrilov ПОЖАЛУСТА залей все статьи одним файлом , со всеми скриптами ... чтобы сделано тобой было , а не сборка других , оч прошу...оч оч оч ! Заранее спасибо!

Не выкладывай вообще по отдельности статьи , как по мне это не практично , выкладывай обновленный файл со всеми статьями

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

vnekrilov

Спасибо, как всегда замечательная статья, локаничная и грамотная. Правда не совсем понял зачем было запускать скрипт “Эмуляция API Asprotect, вызываемых из области кода программы”.
А по поводу доработки скриптов систематизируй, пожалуста, каким нибудь (хотьтабличным) способом, известные изменения от версии к версии аспра, влияющие на функционал скриптов (такие, например, как изменение сигнатуры поиска crc проверок).

| Сообщение посчитали полезным:

vnekrilov пишет:
Возможно, кто-либо предложит небольшую программу, для ее распаковки

помнится, много зубов было сломано о Resource Builder. Последний раз там был 1.4 build 04.01 Beta

| Сообщение посчитали полезным:

Lo пишет:
Правда не совсем понял зачем было запускать скрипт “Эмуляция API Asprotect, вызываемых из области кода программы”.

Я указал запуск этого скрипта в туториале потому, что не все пользователи могут различать разницу в Asprotect 1.xx и Asprotect 2.xx SKE. Поэтому запуск этого скрипта ничего не делает. Опытные пользователи могут его и не запускать.


mak пишет:
залей все статьи одним файлом , со всеми скриптами ... чтобы сделано тобой было , а не сборка других , оч прошу...оч оч оч !

Я, по-видимому, напишу еще два туториала по распаковке конкретных программ и доработке скриптов, после чего внесу некоторые корректировки во все предыдущие статьи, и выложу все одним флаконом.


Gideon Vi пишет:
помнится, много зубов было сломано о Resource Builder.

Посмотрю и эту программу. И, видимо, сделаю туториал по ее распаковке.

| Сообщение посчитали полезным:

Я тоже за Resource Builder. Софт полезный. Шифр. куски есть, если не ошибаюсь. Проверки на снятый протектор тоже имеются.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras пишет:
Проверки на снятый протектор тоже имеются

этого добра там валом было. как сейчас - не знаю, но врятли стало проще

| Сообщение посчитали полезным:

В части 13 на скриншоте DiE написано Borland Delphi | Object Pascal и сразу под скриншотом надпись Мы видим, что программа скомпилирована с помощью Microsoft Visual C++|C/C++. Значит, у нас не будет головной боли с восстановлением таблицы инициализации INIT.

| Сообщение посчитали полезным:

Вопрос.
"Перезагружаем программу в отладчике, и запускаем скрипт “Восстановление таблицы IAT и вызовов APIs.osc” от 4 мая 2005 года."

С вложенным скриптом как я понимаю эффекта не будет ?

| Сообщение посчитали полезным:

Кстати в скрипте Восстановление таблицы INIT

не всегда срабатывает бряк bphws temp_4,"x" - лечится - > bp temp_4
(не срабатывает на PasswordsPro 2.4.4.1)

| Сообщение посчитали полезным:

Значит получается что при попытке установки все хардваре брейкпоинтс заняты. Тогда действительно bp - это выход из ситуации.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Bronco пишет:
Дык...помимо крипта по ключу, ИгорЁк ыЩо по беспределу с разными проверками прошёлся не только в *.ехе, но и в двух либах.

дык, Валентину того и надо, чтоб по зубодробительней было

Bronco пишет:
да и в полезности софтины сомнения имеютЦо

Всяко лучше для туториала, чем всякие недоделки

| Сообщение посчитали полезным:

user_ пишет:
В части 13 на скриншоте DiE написано Borland Delphi | Object Pascal и сразу под скриншотом надпись

Здесь я допустил ошибку. Когда писал статью, то за базу взял 11-ю и 12-ю части, где распаковывалась программа, на писанная на Microsoft Visual C++|C/C++. Я просто, по невнимательности, не удалил эту фразу. Большое спасибо за указанную ошибку. Чем будет больше замечаний и пожеланий по всем частям этого туториала, тем мне будет проще подготовить сборный материал по всем ранее выложенным статьям. Поэтому у меня имеется огромная просьба ко всем пользователям данного топика: напишите свои замечания по всем частям этого туториала, и я их учту при подготовке сборного материала.

Nightshade пишет:
не всегда срабатывает бряк bphws temp_4,"x" - лечится - > bp temp_4

В первом варианте скрипта, у меня и был bp temp_4. Но, на некоторых программах, наличие этого бряка вызывало обнаружение нарушения целостности кода (CRC), и программа вываливалась из отладчика. Поэтому я и ввел бряк bphws temp_4,"x". Хотя, если найти эту проверку, то ее можно и устранить.

| Сообщение посчитали полезным:

vnekrilov
в цикле статей не разобран очень важный момент:
распаковка программы при наличии забаненного ключа
к той же PasswordsPro есть ключи в открытом доступе (от небезызвестной группы кардеров)

-----
EnJoy!

| Сообщение посчитали полезным: