Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› Анализ ASProtect
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
Посл.ответ Сообщение

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov
· Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--



Ранг: 67.4 (постоянный), 6thx
Активность: 0.050
Статус: Участник

Создано: 13 мая 2008 06:31 · Поправил: Kiev78
· Личное сообщение · #2

---



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 13 мая 2008 08:35
· Личное сообщение · #3

Kiev78 пишет:
Опечатка в названии темы или в названии архивного документа???


Я открыл эту тему для анализа AsProtect v2.4 build 12.20. Но эта версия пакера не содержит Stolen Bytes и Init Table, поэтому мне пришлось подробно разобрать эти темы на примере ASProtect v2.3 build 03.19. Нет необходимости создавать отдельный топик на ASProtect v2.3 build 03.19, тем более, что здесь далее будет выложен анализ AsProtect v2.4 build 12.20.




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 13 мая 2008 16:45
· Личное сообщение · #4

vnekrilov
для определения версии аспра стоит воспользоваться прогой ASPrINFO (автор: nik0g0r)

В аттаче распакованная ASPrINFO v1.6 Beta.
Фишка этой проги в том, что она не использует сигнатуры, а выдаёт инфу, которую аспр сохраняет в упакованном файле.

ASPrINFO v1.6 Beta
100% detector version of ASProtect > v1.23

Важное замечание(!) последней строкой в отчёте программы идёт не имя автора программы, а имя владельца на кого зарегестрирован ASProtect. (они могут совпадать)
Таким образом отчёт ASPrINF выглядит след. образом:

Имя программы, версия программы, версия ASProtect + билд ASProtect, и иногда имя, на кого зарегистрирован ASProtect.






e5a8_13.05.2008_CRACKLAB.rU.tgz - ASPriNF.v1.6.rar

-----
EnJoy!





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 14 мая 2008 06:30
· Личное сообщение · #5

vnekrilov пишет:
на версии 1.65


А где сейчас ODBGScript пасётся? На sf http://sourceforge.net/project/showfiles.php?group_id=195914 последняя 1.64.3 годовалой давности...



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 14 мая 2008 06:46
· Личное сообщение · #6

Jupiter пишет:
для определения версии аспра стоит воспользоваться прогой ASPrINFO (автор: nik0g0r)


Спасибо.

Gideon Vi пишет:
А где сейчас ODBGScript пасётся? На sf последняя 1.64.3 годовалой давности...


Я не помню, откуда взял версию 1.65. Прикладываю ее в аттаче.


68c3_13.05.2008_CRACKLAB.rU.tgz - ODbgScript 1.65.1.rar




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 14 мая 2008 11:18
· Личное сообщение · #7

Если Script-1.65.dll, то мну знакомо откуда..
//А ваще эта версия плуга нарисовалась в сборке для фимки, там где Олькин файлО, обсидом покрыли..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 14 мая 2008 13:30
· Личное сообщение · #8

vnekrilov пишет:
Я не помню, откуда взял версию 1.65

Это китайский вариант



Ранг: 38.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 15 мая 2008 00:37
· Личное сообщение · #9

Немного оффтоп.
Поделитесь кто-нибудь коллекцией версий asprotect'a. Буду очень признателен .
А то статьи есть, практиковать не на чем .




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 15 мая 2008 00:42 · Поправил: Isaev
· Личное сообщение · #10

4t rapidshare.com/files/93214337/ASProtect.rar
ASProtect v1.35 release 0114
ASProtect v1.35 release 0319
ASProtect v1.35 release 0425
ASProtect v1.35 release 0626

ASProtect v1.4 beta 0114
ASProtect v1.4 beta 0126

ASProtect v2.110313

ASProtect v2.2 release 0114
ASProtect v2.2 release 0319
ASProtect v2.2 release 0425

ASProtect v2.3 beta 0319
ASProtect v2.3 beta 0423
ASProtect v2.3 beta 0426
ASProtect v2.3 beta 0514
ASProtect v2.3 beta 0626.unpacked
ASProtect v2.3 beta 0626

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 15 мая 2008 04:04
· Личное сообщение · #11

vnekrilov пишет:
Прикладываю ее в аттаче.


спасибо

4t пишет:
Поделитесь кто-нибудь коллекцией версий asprotect'a.


_http://pediy.com/tools/packers.htm



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 15 мая 2008 04:47 · Поправил: 0xy
· Личное сообщение · #12

del




Ранг: 111.0 (ветеран), 2thx
Активность: 0.090
Статус: Участник

Создано: 15 мая 2008 09:04
· Личное сообщение · #13

Isaev мля, с этими кошками запарился, перезалей хоть на webfile

-----
Ламер - не профессия :))




Ранг: 38.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 15 мая 2008 13:36
· Личное сообщение · #14

Isaev
Круто!. Спасибо.

Gideon Vi пишет:
_http://pediy.com/tools/packers.htm

ок. слил.

aspirin
Айфолдер подойдёт? _http://ifolder.ru/6564330

Есть у кого ещё aspr?

Вот, что пока насобирал. Аттач.

8a6e_16.05.2008_CRACKLAB.rU.tgz - asp.txt



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 15 мая 2008 13:46 · Поправил: 0xy
· Личное сообщение · #15

Выложите, плииз, ОТДЕЛЬНО эти билды:

ASProtect 1.4 build 01.14 Beta
ASProtect 1.4 build 01.26 Beta
ASProtect 1.4.build 11.20 Release





Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 15 мая 2008 13:51 · Поправил: Isaev
· Личное сообщение · #16

0xy
rapidshare.com/files/115052381/aspr14.rar" target="_blank">--> 114, 126 <--

aspirin -----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh





Ранг: 111.0 (ветеран), 2thx
Активность: 0.090
Статус: Участник

Создано: 15 мая 2008 21:31 · Поправил: aspirin
· Личное сообщение · #17

4t, Isaev большое спасибо, если надо, то протов имеется хорошая коллекция, только скажите как сделать список, не вручную же вбивать

-----
Ламер - не профессия :))





Ранг: 106.6 (ветеран)
Активность: 0.10
Статус: Участник

Создано: 15 мая 2008 21:55
· Личное сообщение · #18

aspirin пишет:
как сделать список, не вручную же вбивать

ну например можно заюзать сойтины Dir Lister или DIRECTORY LISTER или подобные ;) где их скачать, гугл подскажет)



Ранг: 38.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 16 мая 2008 00:37 · Поправил: 4t
· Личное сообщение · #19

aspirin пишет:
4t, Isaev большое спасибо, если надо, то протов имеется хорошая коллекция, только скажите как сделать список, не вручную же вбивать

Мне то спасибо за что, эт товарищу Isaev'у за подборку спасибо .
По поводу создания списка, можно dir использовать : dir /A:d /O:n /B, справка по команде dir /? .Dir Lister и подобный софт и не понадобится.

Ну так что, кто-нибудь ещё аспром поделиться?, очень интересует ASProtect 1.4.build 11.20 Release, а то у мну ток распаковыный есть, к статье плохо идет . (статья просто супер!)

Да и такой вопрос, есть ASProtect 2.4 SKE build 09.12 Beta, в хистори этот билд не упоминается (есть только 09.11). Солод конспирирует версии или это чья-то шутка.



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 19 мая 2008 17:12
· Личное сообщение · #20

Немного посмотрел на AsProtect v2.41 build 02.26. В нем довольно интересно организована анти-отладка путем массового применения кода типа
PUSH 0
PUSH 0CC5850
PUSH 0DB180C
CALL 00CEB814

Этот код довольно легко восстанавливается с помощью скрипта, но программа не проходит проверку, поскольку она подсчитывает CRC мусорного кода, а не восстановленного. И таких проверок она имеет очень много. Если представляет интерес обход всех этих проверок, могу подготовить статью.



Ранг: 210.5 (наставник), 2thx
Активность: 0.140
Статус: Участник

Создано: 19 мая 2008 19:59
· Личное сообщение · #21

4t пишет:
Есть у кого ещё aspr?

Вот, что пока насобирал. Аттач.


Залей куда-нить билды 2.4 (не 2.41, это есть) а то куда-то потерял я их )
У меня имеются эти, если что могу залить:



81bb_19.05.2008_CRACKLAB.rU.tgz - aspr.png




Ранг: 271.6 (наставник), 2thx
Активность: 0.30
Статус: Участник

Создано: 19 мая 2008 22:01
· Личное сообщение · #22

arnix
Если не тяжко, залей плиз все.

-----
iNTERNATiONAL CoDE CReW




Ранг: 38.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 20 мая 2008 02:58 · Поправил: 4t
· Личное сообщение · #23

arnix
Держи: _http://rapidshare.com/files/116158182/ASProtect.7z
ASProtect SKE 2.4 build 09.11 Beta (только экжешник + патч)
ASProtect SKE 2.4 build 11.20 Release (отломаный и накрытый темидой )
пасс: ASProtect

arnix
Если не тяжко, и вправду залей все.

Кто припрятал дистрибутив ASProtect 2.4.build 11.20 Release, поделитесь




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 20 мая 2008 03:12
· Личное сообщение · #24

4t пишет:
Кто припрятал дистрибутив ASProtect 2.4.build 11.20 Release, поделитесь

Есть отломаный unpack.cn и ничем не накрытый
rapidshare.com/files/116161898/ASProtect_SKE_v2.4_build_11.20.zip

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh




Ранг: 38.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 20 мая 2008 04:00
· Личное сообщение · #25

Isaev
ок. но хотелось бы всё-таки дистр найти.

arnix
Вот ещё 2.4 нарыл.

ASProtect 2.4 SKE build 12.20 Beta (дистрибутив) // лекарсто пока не нашёл
uploaded.to/?id=iibess
PD: Password link "www.unpack.cn"

PS. От китайского что-т в глазах уже рябить начинает... .



Ранг: 210.5 (наставник), 2thx
Активность: 0.140
Статус: Участник

Создано: 20 мая 2008 11:19
· Личное сообщение · #26

4t

Спасибо.

Spirit, 4t

Завтра все залью.



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 20 мая 2008 11:59 · Поправил: Smon
· Личное сообщение · #27

vnekrilov пишет:
Немного посмотрел на AsProtect v2.41 build 02.26. В нем довольно интересно организована анти-отладка путем массового применения кода типа
PUSH 0
PUSH 0CC5850
PUSH 0DB180C
CALL 00CEB814


Я бы не сказал что это анти-отладка, скорей антидамп\антираспаковка.

В секции кода вызовы новой вм двух видов, например:
004A47CE . 68 B634F099 PUSH 99F034B6
004A47D3 . 68 44B77F2D PUSH 2D7FB744
004A47D8 . 68 24A2D700 PUSH 0D7A224
004A47DD . E8 3E228300 CALL 00CD6A20

004A4848 . 68 9363973A PUSH 3A976393
004A484D . 68 C2B87F2D PUSH 2D7FB8C2
004A4852 . 68 24A2D700 PUSH 0D7A224
004A4857 . E8 C4218300 CALL 00CD6A20


Хотя есть и такие например:
0054C54E 68 00000000 PUSH 0
0054C553 68 C435212D PUSH 2D2135C4
0054C558 68 9C42D300 PUSH 0D3429C
0054C55D E8 EAA47800 CALL 00CD6A4C

0054CBE3 3E:68 00000000 PUSH 0 ; Superfluous prefix
0054CBE9 68 6E3B212D PUSH 2D213B6E
0054CBEE 68 B84BD300 PUSH 0D34BB8
0054CBF3 E8 549E7800 CALL 00CD6A4C


Как я понимаю, первого типа - это еще не инициализированные, т.е. те, которые еще не получали управления.

vnekrilov пишет:
поскольку она подсчитывает CRC мусорного кода

Вот это интересней, контрольная сумма подсчитывается маркером crc или как то еще ? Если маркером, то она отлавливается установкой бряка на чтение восстановленного кода и лечится правкой перехода на противоположный

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 20 мая 2008 12:36
· Личное сообщение · #28

vnekrilov пишет:
Немного посмотрел на AsProtect v2.41 build 02.26


Это который от REVENGE Crew? Насколько я вижу, в эбауте версия v2.4 build 02.26, да и утиль для определения вресии выдаёт этот билд.



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 20 мая 2008 12:46
· Личное сообщение · #29

Gideon Vi пишет:
Насколько я вижу, в эбауте версия v2.4

Версия от REVENGE это 2.41, пока что последний (вроде как) билд, есть еще 1.41, но не отломан.
А почему в эбауте 2.4 - хз, наверное по той же причине что и 1999-2005 ASPack Software, который уже три года как не менялся

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 20 мая 2008 15:42
· Личное сообщение · #30

Smon пишет:
В секции кода вызовы новой вм двух видов, например:
004A47CE . 68 B634F099 PUSH 99F034B6
004A47D3 . 68 44B77F2D PUSH 2D7FB744
004A47D8 . 68 24A2D700 PUSH 0D7A224
004A47DD . E8 3E228300 CALL 00CD6A20


Меня интересовал код, который расположен в AsProtect.dll. До кода, который находится в секции кода, я просто не дошел. Посмотрю на него внимательно немного позже.

Smon пишет:
Вот это интересней, контрольная сумма подсчитывается маркером crc или как то еще ?


Здесь вообще интересно. Подсчет CRC проводится с помощью подпрограммы, которая имеет указанный мной вид в заголовке топика. Если восстановить этот код, то подпрограмма показывает неверный CRC. Две такие проверки обойти можно довольно просто - заставив принудительно выполнить прыжок. Но имеется еще две очень интересные проверки, где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.

00CEFBA0 68 51E29F44 PUSH 449FE251
00CEFBA5 68 FC540000 PUSH 54FC
00CEFBAA 68 A0650300 PUSH 365A0
00CEFBAF 68 98030000 PUSH 398
00CEFBB4 68 04F80300 PUSH 3F804
00CEFBB9 68 00500500 PUSH 55000
00CEFBBE FF35 D434CF00 PUSH DWORD PTR DS:[CF34D4]
00CEFBC4 E8 E3C2FCFF CALL 00CBBEAC
00CEFBC9 310424 XOR DWORD PTR SS:[ESP],EAX
00CEFBCC 8B05 D434CF00 MOV EAX,DWORD PTR DS:[CF34D4]
00CEFBD2 010424 ADD DWORD PTR SS:[ESP],EAX
00CEFBD5 C3 RET

Если будет не корректно вычислен offset, то, естественно, программа не запустится.

Именно это я и имел в виду.



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 20 мая 2008 15:46 · Поправил: vnekrilov
· Личное сообщение · #31

Gideon Vi пишет:
Это который от REVENGE Crew?


Да, эта версия.

Smon пишет:
есть еще 1.41, но не отломан.


А нельзя ли им поделиться?


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 38 . 39 . >>
 eXeL@B —› Протекторы —› Анализ ASProtect
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати