Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

я проверяю на оригинальной версии с ключём - при открытии файла не вылезает вообще никаких ошибок!
если заменить оригинальные файлы твоими из архива, то вылезает окно "Illegal copy detected!"

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
я проверяю на оригинальной версии с ключём
С этим уже поспоришь.
Надо подизасемблить sicmplr.dll, линкует скрипты *.rc, по ходу эта либа, и егоры намеренно подкидывает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

кстати, ты прав на счёт длл - если заменить только длл - ошибка вылезает даже с оригинальным exe (проверил)

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter, всё в ажуре, хукнули приблудлу. всё читает, всё отрисовывает. замени либу.

d80d_03.06.2009_CRACKLAB.rU.tgz - sicmplr.dll

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

проверил: всё ОК
отличная работа!

добавлено:
нашёл косяк в отображении меню
в отличие от оригинальной версии, крякнутая (с той же длл, при чём!) отрисовывает меню поверх всех окон

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
нашёл косяк в отображении меню
Фенькс за тест, ошибку нашёл.
Кому нужно, может поправить:
0040523B MOV BYTE PTR DS:[766038],0

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov пишет:
А эту константу нужно подбирать, что довольно геморное дело.
А об этом будет подробнее?


Valemox пишет:
(с пасом все тоже самое)
то же самое это как?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

@vnekrilov: Any chance the VM decoding tutorial can be put into English? (Любой шанс в учебнике В. М. декодирования может быть введен в Английском?)

| Сообщение посчитали полезным:

^ I just used Google Translate to read all this thread. The information provided here is amazing Would anyone help with translating the documents into English? (Я просто использовали Google перевести читать все эти нити. Информация, представленная здесь, поражает воображение. Если кто поможет с переводом документов на Английском?)

P.S.: The .CHM files don't seem to open up, even if I rename them.

| Сообщение посчитали полезным:

Думаю многие бы оценили работу, проделанную vnekrilov'ым.

Есть желающие перевести туторы на английский язык?

| Сообщение посчитали полезным:

SunBeam
to read .chm use this algo:
extract .html from .chm using htm2chm 3.0.9.3
rename files and subfolder

see attached example

fa55_09.06.2009_CRACKLAB.rU.tgz - ASProtect_Unpack_p16.rar

-----
EnJoy!

| Сообщение посчитали полезным:

@Jupiter: I changed Windows language to Russian. Then I used Valemox's Ebook compilation (EbookMaker) for which I enabled Print-ing. Then printed all tutorials to PDF



But thank you for the alternative!!

PDF tutorials » www.speedyshare.com/322224630.html

As for translation (not that accurate):

1. http://viewer.zoho.com/Upload.jsp <- upload PDF file here
2. Copy link and use it on Google Translate - http%3A%2F%2F[/b]&sl=ru&tl=en&hl=en&ie=UTF-8]http://translate.google.ru/translate?u=http%3A%2F%2F&sl=ru&tl=en&hl= en&ie=UTF-8 (change link in bold with PDF link )

Example:

1. http://viewer.zoho.com/docs/yAnif
2. http://translate.google.ru/translate?u=http://viewer.zoho.com/docs/yAnif&sl=ru&tl=en&hl=en&ie=UTF-8

| Сообщение посчитали полезным:

kioresk пишет:
Есть желающие перевести туторы на английский язык?
вы бы лучше наоборот переводили... на русский

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Ооооо это что за вид такой интересный ??? Это кто сделал все одним архивом ? или это старый какой то вариант ?! Туторы это ж.па , уже столько версий тутоов и везде что то менялось ... требую ФИНАЛ версион от внекрилова , или систему обновки статей , как в Делфиворлд. Это не критика , это лишь желание не упустить важных моментов.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
требую ФИНАЛ версион от внекрилова , или систему обновки статей , как в Делфиворлд. Это не критика , это лишь желание не упустить важных моментов.


Немного раньше я писал, что мне нужно время для осмысления все проделанной работы, анализа замечаний, пожеланий и выявленных ошибок, и, после этого, я выложу весь собранный и обновленный материал. Хотя, конечно, всего учесть, видимо, просто невозможно. Моей задачей являлось показать основные приемы работы при распаковке программ, упакованных Asprotect, а также подходы, которые позволяют написать практически универсальный набор скриптов, которые в значительной мере облегчают процесс распаковки программ, особенно, при появлении новых версий протектора.

Очень интересные решения по сворачиванию кода и удалению мусорных прыжков предложил bronco. Его подходы особенно полезны при анализе тех участков кода, которые связаны с регистрацией программ. В его материалах заложена очень серьезная основа для развития этого направления, и здесь есть над чем поработать очень серьезно.

Конечно, приятно, что выложенные мной статьи заинтересовали иностранных посетителей этого топика. Вот, например,
Isaev пишет:
вы бы лучше наоборот переводили... на русский

На сайте Ricardo Narvaja выложен ряд очень хороших туториалов по распаковке программ, упакованных разными пакерами. Там собралась очень серьезная команда, которая делает много разнообразной работы. А его туториал "Крэкинг с нуля" является очень хорошим руководством для начинающих заниматься реверсингом программ. Однако, перевод всех частей продвигается очень медленно. Тогда что говорить о имеющих возможность перевода данной серии статей с русского языка на английский

| Сообщение посчитали полезным:

если кого интересует - могу выложить все части в html (пример смотри выше, часть 16: ASProtect_Unpack_p16.rar)

-----
EnJoy!

| Сообщение посчитали полезным:

@Valentin: Hello. We can easily work on that if you could ask someone to translate each document into English. I mean, I read PART 1, in Russian, and I understood one thing - the ESSENTIAL - we can find out what OEP is by looking for a specific pattern inside ASPR.dll

Keep them coming!!

( Здравствуйте. Мы можем легко работать на том, что если вы можете попросить кого-то переводить каждый документ в Английский. Я хочу сказать, что я прочитал часть 1, на русском языке, и я понял одну вещь - на важно - мы можем узнать, что это ОЕР ищет конкретную структуру внутри ASPR.dll

Храните их близко!! )

Google SUX!

| Сообщение посчитали полезным:

если кого интересует - могу выложить все части в html

Выложи пжлста

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

SunBeam пишет:
Google SUX!

Yep, it's translations sucks, so just write in english, I think there won't be any problem with understanding what are you talking about.

I think that a bit later, when vnekrilov would update his ASProtect tutorials, I'll start translating them one by one, but I don't promise that it will be fast, because I don't have a lot of free time.

vnekrilov пишет:
Тогда что говорить о имеющих возможность перевода данной серии статей с русского языка на английский

Как будет финальный вариант, могу потихоньку статью за статьей переводить на английский язык.
Если кто-то захочет помочь с переводом — присоединяйтесь.

| Сообщение посчитали полезным:

I used HtmlHelp example viewer to read russian CHM file
(Support for CHMs compiled with internaltional languages like Russian, Hebrew, etc.)

www.codeproject.com/KB/cs/htmlhelp.aspx

| Сообщение посчитали полезным:

Народ, какой пасс тут: --> Link <--

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
ник автора поста

| Сообщение посчитали полезным:

@vnekrilov: We also need the targets if we are to follow your tutorials!! (Мы также нуждаемся в цели, если мы хотим следовать вашим учебники!!). I can't find 2.4 build 12.20 T_T..

@Isaev: pass = Valemox Same as tihiy_grom said

| Сообщение посчитали полезным:

vnekrilov - пытаюсь освоить инструкцию ... подопытный - прога с которой несправляется скрипт VolX 1.15 прога распаковывается и запускается но многое в ней неработает

Для начала решил пройти 16 версию хелпа на SpiderMan (скачал по ссылке из туториала)
При запуске Восстановление таблицы IAT и вызовов APIs.osc выводится сообщение "Сбой при работе прививки! Проверьте корректрность введённых данных" Дальше скрипт неработает... предидущий скрипт робатает нормально за исключением того что в логе руский шрифт в кракозябрах...
Что может быть нетак ???

Переключился на своего подопытного так в нём сразу при запуске Прохождение на OEP_SBOEP.osc
вылазит вот такая ошибка (тоже самое вылазит и если пытаться распаковать stripper_v213b9)



При этом при запуске скрипта Восстановление таблицы IAT и вызовов APIs.osc скрипт срабатывает нормально ... но последующий запуск любого другого скрипта контроль crc (прога написана на Delphi) или Эмуляция API Asprotect в главной области кода.osc подвешивает ollydbg намертво

Как с этим бороться ??

И ещё прозьба ... нельзяли уделить немного внимания распаковке программ при наличии валидного ключа ... в интернете на эту тему инфы нет совсем ...

2946_01.07.2009_CRACKLAB.rU.tgz - bug.JPG

| Сообщение посчитали полезным:

o_nix пишет:
предидущий скрипт робатает нормально за исключением того что в логе руский шрифт в кракозябрах..

Скопируй крякозябры в блокнот и будет тебе счастье

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

o_nix пишет:
в логе руский шрифт в кракозябрах... Что может быть нетак ???
поставь там шрифт, который отображает кирилицу, у меня это Lucida

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

o_nix
Если цель только распаковка, то тебе сюда http://exelab.ru/f/action=vthread&forum=1&topic=6315
(не забудь валидный ключ приложить)

Вообще подобные ошибки могут возникать при неправильной версии двига скриптов и неправильных настроек анти-антидебага.

| Сообщение посчитали полезным:

o_nix пишет:
И ещё прозьба ... нельзяли уделить немного внимания распаковке программ при наличии валидного ключа ... в интернете на эту тему инфы нет совсем ...
А собственно , какая тебе инфа нужна? Всё так же, тока сначала регистрируешь прогу, а потом анпакаешь.

| Сообщение посчитали полезным:

SemDJ,BoRoV - кракозябры меня совсем ненапрягают .. пусть живут себе как жили .. всё что мне надо и так прекрасно видно и понятно но сёравно спасиб

progopis - про ту ветку я вкурсе ...
цель не получить какойто дистриб и уйти восвояси ... цель научиться делать это самому...

"неправильной версии двига скриптов" - несовсем понял про что это ..?? версия плугина ollydbg script ??

"неправильных настроек анти-антидебага" - всё делается строго по инструкции ... настройки взяты из инструкций , версии скриптов последние из найденных в уроках, версии плагинов теже самые что и в уроках .... просматривал все уроки начиная с первого

MasterSoft - те нужно просто анпакать по vnekrilov уже зареганую прогу ?? другие методы есть какиенибудь?
До этого делал через VolX - так он работает только со своими данными реги ... попытка вписать в скрипт свои валидные данные к успеху не привела там большая разница в длине ключа ... раза в 2-3

| Сообщение посчитали полезным:

o_nix пишет:
До этого делал через VolX - так он работает только со своими данными реги ... попытка вписать в скрипт свои валидные данные к успеху не привела
да нормально вписывается, лично я свои легко когда-то вписывал, и они работали

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: