Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

---

| Сообщение посчитали полезным:

Kiev78 пишет:
Опечатка в названии темы или в названии архивного документа???

Я открыл эту тему для анализа AsProtect v2.4 build 12.20. Но эта версия пакера не содержит Stolen Bytes и Init Table, поэтому мне пришлось подробно разобрать эти темы на примере ASProtect v2.3 build 03.19. Нет необходимости создавать отдельный топик на ASProtect v2.3 build 03.19, тем более, что здесь далее будет выложен анализ AsProtect v2.4 build 12.20.

| Сообщение посчитали полезным:

vnekrilov
для определения версии аспра стоит воспользоваться прогой ASPrINFO (автор: nik0g0r)

В аттаче распакованная ASPrINFO v1.6 Beta.
Фишка этой проги в том, что она не использует сигнатуры, а выдаёт инфу, которую аспр сохраняет в упакованном файле.

ASPrINFO v1.6 Beta
100% detector version of ASProtect > v1.23

Важное замечание(!) последней строкой в отчёте программы идёт не имя автора программы, а имя владельца на кого зарегестрирован ASProtect. (они могут совпадать)
Таким образом отчёт ASPrINF выглядит след. образом:

Имя программы, версия программы, версия ASProtect + билд ASProtect, и иногда имя, на кого зарегистрирован ASProtect.






e5a8_13.05.2008_CRACKLAB.rU.tgz - ASPriNF.v1.6.rar

-----
EnJoy!

| Сообщение посчитали полезным:

vnekrilov пишет:
на версии 1.65

А где сейчас ODBGScript пасётся? На sf http://sourceforge.net/project/showfiles.php?group_id=195914 последняя 1.64.3 годовалой давности...

| Сообщение посчитали полезным:

Jupiter пишет:
для определения версии аспра стоит воспользоваться прогой ASPrINFO (автор: nik0g0r)

Спасибо.

Gideon Vi пишет:
А где сейчас ODBGScript пасётся? На sf последняя 1.64.3 годовалой давности...

Я не помню, откуда взял версию 1.65. Прикладываю ее в аттаче.


68c3_13.05.2008_CRACKLAB.rU.tgz - ODbgScript 1.65.1.rar

| Сообщение посчитали полезным:

Если Script-1.65.dll, то мну знакомо откуда..
//А ваще эта версия плуга нарисовалась в сборке для фимки, там где Олькин файлО, обсидом покрыли..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov пишет:
Я не помню, откуда взял версию 1.65
Это китайский вариант

| Сообщение посчитали полезным:

Немного оффтоп.
Поделитесь кто-нибудь коллекцией версий asprotect'a. Буду очень признателен .
А то статьи есть, практиковать не на чем .

| Сообщение посчитали полезным:

4t rapidshare.com/files/93214337/ASProtect.rar
ASProtect v1.35 release 0114
ASProtect v1.35 release 0319
ASProtect v1.35 release 0425
ASProtect v1.35 release 0626

ASProtect v1.4 beta 0114
ASProtect v1.4 beta 0126

ASProtect v2.110313

ASProtect v2.2 release 0114
ASProtect v2.2 release 0319
ASProtect v2.2 release 0425

ASProtect v2.3 beta 0319
ASProtect v2.3 beta 0423
ASProtect v2.3 beta 0426
ASProtect v2.3 beta 0514
ASProtect v2.3 beta 0626.unpacked
ASProtect v2.3 beta 0626

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

vnekrilov пишет:
Прикладываю ее в аттаче.

спасибо

4t пишет:
Поделитесь кто-нибудь коллекцией версий asprotect'a.

_http://pediy.com/tools/packers.htm

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

Isaev мля, с этими кошками запарился, перезалей хоть на webfile

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Isaev
Круто!. Спасибо.

Gideon Vi пишет:
_http://pediy.com/tools/packers.htm
ок. слил.

aspirin
Айфолдер подойдёт? _http://ifolder.ru/6564330

Есть у кого ещё aspr?

Вот, что пока насобирал. Аттач.

8a6e_16.05.2008_CRACKLAB.rU.tgz - asp.txt

| Сообщение посчитали полезным:

Выложите, плииз, ОТДЕЛЬНО эти билды:

ASProtect 1.4 build 01.14 Beta
ASProtect 1.4 build 01.26 Beta
ASProtect 1.4.build 11.20 Release


| Сообщение посчитали полезным:

0xy
rapidshare.com/files/115052381/aspr14.rar" target="_blank">--> 114, 126 <--

aspirin -----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

4t, Isaev большое спасибо, если надо, то протов имеется хорошая коллекция, только скажите как сделать список, не вручную же вбивать

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
как сделать список, не вручную же вбивать
ну например можно заюзать сойтины Dir Lister или DIRECTORY LISTER или подобные ;) где их скачать, гугл подскажет)

| Сообщение посчитали полезным:

aspirin пишет:
4t, Isaev большое спасибо, если надо, то протов имеется хорошая коллекция, только скажите как сделать список, не вручную же вбивать
Мне то спасибо за что, эт товарищу Isaev'у за подборку спасибо .
По поводу создания списка, можно dir использовать : dir /A:d /O:n /B, справка по команде dir /? .Dir Lister и подобный софт и не понадобится.

Ну так что, кто-нибудь ещё аспром поделиться?, очень интересует ASProtect 1.4.build 11.20 Release, а то у мну ток распаковыный есть, к статье плохо идет . (статья просто супер!)

Да и такой вопрос, есть ASProtect 2.4 SKE build 09.12 Beta, в хистори этот билд не упоминается (есть только 09.11). Солод конспирирует версии или это чья-то шутка.

| Сообщение посчитали полезным:

Немного посмотрел на AsProtect v2.41 build 02.26. В нем довольно интересно организована анти-отладка путем массового применения кода типа
PUSH 0
PUSH 0CC5850
PUSH 0DB180C
CALL 00CEB814

Этот код довольно легко восстанавливается с помощью скрипта, но программа не проходит проверку, поскольку она подсчитывает CRC мусорного кода, а не восстановленного. И таких проверок она имеет очень много. Если представляет интерес обход всех этих проверок, могу подготовить статью.

| Сообщение посчитали полезным:

4t пишет:
Есть у кого ещё aspr?

Вот, что пока насобирал. Аттач.

Залей куда-нить билды 2.4 (не 2.41, это есть) а то куда-то потерял я их )
У меня имеются эти, если что могу залить:



81bb_19.05.2008_CRACKLAB.rU.tgz - aspr.png

| Сообщение посчитали полезным:

arnix
Если не тяжко, залей плиз все.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

arnix
Держи: _http://rapidshare.com/files/116158182/ASProtect.7z
ASProtect SKE 2.4 build 09.11 Beta (только экжешник + патч)
ASProtect SKE 2.4 build 11.20 Release (отломаный и накрытый темидой )
пасс: ASProtect

arnix
Если не тяжко, и вправду залей все.

Кто припрятал дистрибутив ASProtect 2.4.build 11.20 Release, поделитесь

| Сообщение посчитали полезным:

4t пишет:
Кто припрятал дистрибутив ASProtect 2.4.build 11.20 Release, поделитесь
Есть отломаный unpack.cn и ничем не накрытый
rapidshare.com/files/116161898/ASProtect_SKE_v2.4_build_11.20.zip

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
ок. но хотелось бы всё-таки дистр найти.

arnix
Вот ещё 2.4 нарыл.

ASProtect 2.4 SKE build 12.20 Beta (дистрибутив) // лекарсто пока не нашёл
uploaded.to/?id=iibess
PD: Password link "www.unpack.cn"

PS. От китайского что-т в глазах уже рябить начинает... .

| Сообщение посчитали полезным:

4t

Спасибо.

Spirit, 4t

Завтра все залью.

| Сообщение посчитали полезным:

vnekrilov пишет:
Немного посмотрел на AsProtect v2.41 build 02.26. В нем довольно интересно организована анти-отладка путем массового применения кода типа
PUSH 0
PUSH 0CC5850
PUSH 0DB180C
CALL 00CEB814

Я бы не сказал что это анти-отладка, скорей антидамп\антираспаковка.

В секции кода вызовы новой вм двух видов, например:
004A47CE . 68 B634F099 PUSH 99F034B6
004A47D3 . 68 44B77F2D PUSH 2D7FB744
004A47D8 . 68 24A2D700 PUSH 0D7A224
004A47DD . E8 3E228300 CALL 00CD6A20

004A4848 . 68 9363973A PUSH 3A976393
004A484D . 68 C2B87F2D PUSH 2D7FB8C2
004A4852 . 68 24A2D700 PUSH 0D7A224
004A4857 . E8 C4218300 CALL 00CD6A20

Хотя есть и такие например:
0054C54E 68 00000000 PUSH 0
0054C553 68 C435212D PUSH 2D2135C4
0054C558 68 9C42D300 PUSH 0D3429C
0054C55D E8 EAA47800 CALL 00CD6A4C

0054CBE3 3E:68 00000000 PUSH 0 ; Superfluous prefix
0054CBE9 68 6E3B212D PUSH 2D213B6E
0054CBEE 68 B84BD300 PUSH 0D34BB8
0054CBF3 E8 549E7800 CALL 00CD6A4C

Как я понимаю, первого типа - это еще не инициализированные, т.е. те, которые еще не получали управления.

vnekrilov пишет:
поскольку она подсчитывает CRC мусорного кода
Вот это интересней, контрольная сумма подсчитывается маркером crc или как то еще ? Если маркером, то она отлавливается установкой бряка на чтение восстановленного кода и лечится правкой перехода на противоположный

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

vnekrilov пишет:
Немного посмотрел на AsProtect v2.41 build 02.26

Это который от REVENGE Crew? Насколько я вижу, в эбауте версия v2.4 build 02.26, да и утиль для определения вресии выдаёт этот билд.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Насколько я вижу, в эбауте версия v2.4
Версия от REVENGE это 2.41, пока что последний (вроде как) билд, есть еще 1.41, но не отломан.
А почему в эбауте 2.4 - хз, наверное по той же причине что и 1999-2005 ASPack Software, который уже три года как не менялся

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
В секции кода вызовы новой вм двух видов, например:
004A47CE . 68 B634F099 PUSH 99F034B6
004A47D3 . 68 44B77F2D PUSH 2D7FB744
004A47D8 . 68 24A2D700 PUSH 0D7A224
004A47DD . E8 3E228300 CALL 00CD6A20

Меня интересовал код, который расположен в AsProtect.dll. До кода, который находится в секции кода, я просто не дошел. Посмотрю на него внимательно немного позже.

Smon пишет:
Вот это интересней, контрольная сумма подсчитывается маркером crc или как то еще ?

Здесь вообще интересно. Подсчет CRC проводится с помощью подпрограммы, которая имеет указанный мной вид в заголовке топика. Если восстановить этот код, то подпрограмма показывает неверный CRC. Две такие проверки обойти можно довольно просто - заставив принудительно выполнить прыжок. Но имеется еще две очень интересные проверки, где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.

00CEFBA0 68 51E29F44 PUSH 449FE251
00CEFBA5 68 FC540000 PUSH 54FC
00CEFBAA 68 A0650300 PUSH 365A0
00CEFBAF 68 98030000 PUSH 398
00CEFBB4 68 04F80300 PUSH 3F804
00CEFBB9 68 00500500 PUSH 55000
00CEFBBE FF35 D434CF00 PUSH DWORD PTR DS:[CF34D4]
00CEFBC4 E8 E3C2FCFF CALL 00CBBEAC
00CEFBC9 310424 XOR DWORD PTR SS:[ESP],EAX
00CEFBCC 8B05 D434CF00 MOV EAX,DWORD PTR DS:[CF34D4]
00CEFBD2 010424 ADD DWORD PTR SS:[ESP],EAX
00CEFBD5 C3 RET

Если будет не корректно вычислен offset, то, естественно, программа не запустится.

Именно это я и имел в виду.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Это который от REVENGE Crew?

Да, эта версия.

Smon пишет:
есть еще 1.41, но не отломан.

А нельзя ли им поделиться?

| Сообщение посчитали полезным: