Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

Nightshade
Ты случайно не Resource Builder анпачишь?

Nightshade пишет:
как правильно распаковать прогу с ключом?
сначала распаковать стандартно - как без ключа, потом найти адреса криптованыых кусков
Не надо ничё искать. Просто сначала зареги прогу, а потом всё как всегда.

| Сообщение посчитали полезным:

Его самый
Пока кроме непредвиденных ошибок и покупки за 40$ ничего не получил
Это проверки распакованности чтоль или кривой анпак?
Что за инструкция по адресу 00a7576b?
По коду куча прыжков в никуда...

7934_21.05.2009_CRACKLAB.rU.tgz - Безымянный.rar

| Сообщение посчитали полезным:

Nightshade пишет:
Это проверки распакованности чтоль или кривой анпак?
То что на скрине это кривой анпак, не все адреса прыжков, перебиты под секцию с тыренным кодом, попробуй скрипт Волчары, такого не будет.
А на распакованость врядли, потому что если патчить то, что он там потырил из сабжа, то месседж с баксами, вылазит по любому:

А вот оригинал эту процедуру ваще не юзает.
Крипт по ходу в библе какй-то, с них надо начинать...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
То что на скрине это кривой анпак, не все адреса прыжков, перебиты под секцию с тыренным кодом, попробуй скрипт Волчары, такого не будет.

При использовании Resource Binder для восстановления украденных ресурсов, эта утилита оптимизирует секцию ресурсов, и уменьшает ее размер. При вставке перестроенной секции ресурсов, происходит смещение всех последующих секций файла на величину уменьшения размера секции ресурсов, и получается кривой анпак. Возможные решения этой проблемы:
1. Увеличивать в Hex-редакторе размер секции, полученный после работы утилиты Resource Binder, на нужную величину, чтобы сохранить исходный размер секции ресурсов
2. Для перестройки секции ресурсов использовать Gui for Resource Rebuilder v1.0 by Dr.Golova (эта утилита не оптимизирует секцию ресурсов)
3. Изменить скрипт для переноса областей памяти со Stolen Code в новую секцию файла, и записывать этот код на место секции ресурсов (предложение Bronco), а секцию ресурсов сделать последней (после секций .aspr и .mask - создаваемой ImpREC). Такой подход очень желателен для локализации программ, когда переведенные строки ресурсов, иногда выходят за пределы секции ресурсов, и тем самым повреждают остальные секции, которые находятся после секции ресурсов. Я больше склоняюсь к 3-му варианту, и, видимо, переработаю скрипты под этот вариант.

| Сообщение посчитали полезным:

vnekrilov пишет:
Я больше склоняюсь к 3-му варианту, и, видимо, переработаю скрипты под этот вариант.

Кстати, при распаковке одной программы я применил переработанные скрипты, и секцию с украденным кодом поместил на место секции ресурсов. Поскольку программа была написана на Microsoft Visual C++, то после секции с украденным кодом я прикрутил секцию импорта с помощью ImpRec. Затем, с помощью утилиты Resource Binder, я сделал дамп секции ресурсов, которую прикрутил последней, после секции импорта. И затем, почистил с помощью скрипта от Bronco стыренный код от мусорных прыжков. Все получилось прекрасно.

| Сообщение посчитали полезным:

собственно, я уже упоминал о размещении секции ресурсов в посте #17

Jupiter пишет:
секцию ресурсов лучше прикручивать последней

хорошо, что на практике:

vnekrilov пишет:
все получилось прекрасно

-----
EnJoy!

| Сообщение посчитали полезным:

vnekrilov пишет:
Я распаковал большое число программ, упакованных разными версиями Asprotect. Приходилось натыкаться на разные ловушки, проблемные вопросы, и т.д. Накопился определенный опыт. Может быть стоит создать топик по практике распаковки программ? Хотелось бы узнать ваше мнение по этому вопросу.
стоит по-любому!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Jupiter пишет:
хорошо, что на практике:


Я получил разрешение на использование программы SpiderMan v2.55 в качестве подопытного кролика для написания туториала по распаковке программы, с размещением секции .aspr на месте секции .rsrc, и переносе секции .rsrc в конец файла. Скоро выложу эту статью на топике.

| Сообщение посчитали полезным:

vnekrilov пишет:
получил разрешение на использование программы SpiderMan v2.55 в качестве подопытного кролика

разрешение от разработчика?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
разрешение от разработчика?

Нет, конечно. Разрешение от участника форума, который просил, чтобы я распаковал эту программу.

| Сообщение посчитали полезным:

Сегодня я выкладываю 16-ю часть туториала, в которой я описал распаковка программы SpiderMan v2.55, с переносом секции ресурсов в конец файла. К этой части приложены три модернизированных скрипта, которые секцию с украденным кодом, размещают на месте секции ресурсов. Как всегда, буду признателен за отзывы, пожелания и критику.

8003_22.05.2009_CRACKLAB.rU.tgz - Распаковка ASProtect (Часть 16).rar

| Сообщение посчитали полезным:

Валентин, такой вопрос появился. Ты тут выкладывал скрипты, которые позволяют запускать аспр без ключа. Я так понял ты можешь раскриптовать код без ключа? Или это касается только аспра? Просто появилась программка под аспром, впринципе ничего сложного, но крипт по ключу есть, код маленький, но очень нужный-это половина функциональности проги.

| Сообщение посчитали полезным:

Djeck

можно запустить файл (ASProtect), который без ключа не запускается, но зашифрованые куски кода без ключа не расшифровать за приемлемое время

-----
EnJoy!

| Сообщение посчитали полезным:

Я почему и спрашиваю, вроде Валентин сказал, что будут работать абсолютно все функции прота. Насколько я помню в самом аспре под криптом находился показ нага, эбаут и ещё какая-то херь, но Валентин не уточнил это фиксится или нет. Я просто подумал, что какой-то баг может нашёл. У меня у самого просто скрипты не сработали, поэтому и решил спросить.

| Сообщение посчитали полезным:

Все-таки 16 частей и эта 16-я страница (почти юбилей ), решил собрать в книгу _hттp://rapidshare.com/files/236090047/aspr_eb.rar (с пасом все тоже самое).
Надеюсь vnekrilov не протев будет?

| Сообщение посчитали полезным:

Valemox пишет:
решил собрать в книгу

Спасибо, ты сделал хорошее дело.

Djeck пишет:
будут работать абсолютно все функции прота.

Тут надо вставлять константу для раскриптовки зашифрованных частей прота. А эту константу нужно подбирать, что довольно геморное дело.

| Сообщение посчитали полезным:

vnekrilov пишет:
А эту константу нужно подбирать, что довольно геморное дело

брут, али по умному?

| Сообщение посчитали полезным:

Gideon Vi пишет:
брут, али по умному?

так или иначе - всё равно брут, т.к. даже если сузить диапазон поиска, брутить всё равно придётся

-----
EnJoy!

| Сообщение посчитали полезным:

Gideon Vi пишет:
брут, али по умному?

По умному.

| Сообщение посчитали полезным:

vnekrilov пишет:
По умному.
Вообщем, короче говоря если тебе какая-либо прога попадётся и сильно понравится, то ты её и без ключа заломаешь? Просто гемороя будет много, я правильно понял?

| Сообщение посчитали полезным:

Djeck пишет:
я правильно понял?

Да, правильно.

| Сообщение посчитали полезным:

Хочу обратить внимание всех читателей данного топика на один нюанс при распаковке программ, упакованных Asprotect. Если кто-то распаковывает программу, которая содержит украденный код, и помещает этот код в секцию .aspr, а после прикручивает секцию импорта с помощью ImpREC, то необходимо проверять наличие вызовов APIs в секции .aspr. При переносе кода в секцию .aspr, инструкции вызовов APIs содержат ссылки на старую таблицу IAT, вместо новой, поскольку ImpREC исправляет ссылки только в секции кода программы. При запуске такой программы на другой машине, программа может не работать, и выдать ошибку 0xC0000005 (повреждение секции импорта), поскольку программа будет считывать адреса IAT из старой таблицы импорта, которые привязаны к той машине, на которой выполнялась распаковка программы.

К данному топику я прилагаю небольшой скрипт, который проверяет и исправляет адреса таблицы IAT в секции .aspr. Такую проверку также надо проводить и для программ, написанных на Borland Delphi, где секцию импорта Вы вставляли на ее родное место, поскольку ImpREC меняет адресацию таблицы IAT, и, опять же, корректирует вызовы APIs только в секции кода программы.

Я благодарю всех, кто пишет мне сообщения с указанием ошибок при работе скриптов. Это позволяет мне корректировать эти скрипты.


52b1_27.05.2009_CRACKLAB.rU.tgz - Исправление вызовов APIs в секции с украденным кодом.osc

| Сообщение посчитали полезным:

поскольку ImpREC меняет адресацию таблицы IAT
В настройках Imprec-а есть возможность и не менять адрес IAT, а оставить его на родном месте, стараюсь всегда так делать.

Не смотрел алго скрипта. В связи с чем такой вопрос. Скрипт исправит вызовы API в секции .aspr при любой ее(IAT) перестройки (скажем не только imprec-ом, а например - Universal Import Fixer) и на любые адреса?

| Сообщение посчитали полезным:

Konstantin пишет:
В настройках Imprec-а есть возможность и не менять адрес IAT

Да, можно и не менять адрес IAT, но у меня попадались случаи, когда программы нельзя было запустить без создания новой таблицы IAT. Поэтому я и предпочитаю лучше создавать новую таблицу IAT, чем заморачиваться с ошибками, при использовании старой таблицы. Поэтому я и сделал небольшой скрипт, чтобы откорректировать ссылки на новую таблицу IAT для вызовов APIs, которые находятся в секции файла с украденным кодом. А скрипт просто находит адрес API, вызов которой производится из секции .aspr, затем он находит адрес записи искомой API в новой таблице IAT, и вписываем этот новый адрес в инструкцию вызова API. После завершения работы скрипта просто нужно сохранить в файл всю секцию .aspr, и программа будет иметь все правильные ссылки на новую таблицу IAT.

| Сообщение посчитали полезным:

Bronco пишет:
Если кому занятно поковырять, могу залить.
Выкладывай, мну заняться нечем вечером, вот поковыряюсь.....

| Сообщение посчитали полезным:

MasterSoft пишет:
мну заняться нечем вечером
Угу...как раз мрачно_ летними вечерами действительно .....
====
Хз..вроде тока траблы с превью_меню, хотя саму форму отрисовать --> не проблема<--.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
вылезает окно Illegal copy detected!
повторяемость - 100%
если интересно - могу выложить .rc файл, с которым вылезает это окно

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
вылезает окно Illegal copy detected!
С тем комплектом что в архиве - Сохранял_линковал_импортировал_креатил_многА_креатил_добавлял_удалял_р едактировал - ни месседжа с баксами, ни месседжа о некоректной копии, у приблуды даже желание мылить отпало.
Выкладывай конечно, самому интересно..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Выкладывай конечно, самому интересно..

скачай и распакуй (sfx rar) файл www.madwizard.org/download/PNGlib.exe
открой в Resbldr3_un.exe файл \PNGlib\PNGview\resources.rc

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
открой в Resbldr3_un.exe файл \PNGview\resources.rc
После гена скрипта рессурса, у меня... вылазит окно, но... с заголовком об ошибке в скрипте рессурса
Для приблуды не все файлы *.rc/*.dcr читабельны.


f38e_03.06.2009_CRACKLAB.rU.tgz - #include.txt

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: