Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

0xy пишет:
Где можно взять твое полное (на текущий момент) собрание сочинений

Надо немного подождать, поскольку приходится много дорабатывать и улучшать. Видимо, доработанные скрипты я выложу скоро, а вот доработанные статьи - по ним надо еще потрудиться.

| Сообщение посчитали полезным:

так быстро всё меняется... уже запутался, что устарело, что обновилось...
ждём конечный продукт нелёгкого исследования
хотя конечный наверное будет оочень не скоро, но хотя бы актуальное на текущий момент обновление

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

vnekrilov
Да ты б поменьше заморачивался со скриптами. Лучше сосредоточься на подробном описание матчасти ;)

| Сообщение посчитали полезным:

Ты хоть сам понял, что сказал? Скрипт и так по сути тутор в стиле "делай как я". Описание использования скриптов уже было несколько раз. Разбор прота тоже был. В лучшем случае осталось добавить изменения в новых версиях.
Ну может еще атака на ключи и запуск с забаненным ключом. Но вряд ли это будет на паблик.

| Сообщение посчитали полезным:

0xy пишет:
Да ты б поменьше заморачивался со скриптами. Лучше сосредоточься на подробном описание матчасти

Все скрипты я снабжаю очень подробными комментариями, и немного добавляю в них матчасть. Поэтому, кто хочет, может понять работу протектора, даже по описаниям скриптов.
В статьях же я уделяю немного внимания матчасти, и более подробно описываю, что надо сделать, когда скрипт дает сбой на новой версии протектора, чтобы опытный юзер мог сам внести необходимые дополнения в скрипты.

| Сообщение посчитали полезным:

Тут выложили сигнатуры dll-ки Asprotect'а для ИДЫ:
http://www.woodmann.com/collaborative/tools/index.php/AsProtect_Signat ures_for_IDA
Может кому полезно будет.
PS. сорри не видел что уже в соседнем топике запостили.

| Сообщение посчитали полезным:

Bronco а что за программка ? Скинуть можешь ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Наконец закончил тестирование нового комплекта скриптов для распаковки Asprotect, включая самые последние версии протектора. Выкладываю этот пакет на форуме. Скрипты снабжены подробными комментариями. Буду признателен за отзывы, сообщения об ошибках, и замечания.
Приступаю к корректировке предыдущей серии статей по распаковке Asprotect.

6812_16.11.2009_CRACKLAB.rU.tgz - Новые скрипты для распаковки Asprotect.rar

| Сообщение посчитали полезным:

Есть одна программка под ASProtect 2.5 b03.31. При запуске скрипта прохождения на OEP вываливает наг ошибки проверки CRC памяти. Происходит это после запуска программы скриптом в подпрограмме write_code_emul_subprog.
Пробовал еще с предыдущей версией скрипта. Если отключить эту подпрограмму, скрипт нормально проходит до OEP. Комментил все строки с BP и менял BP, находящийся в этой подпрограмме, на BPHWS, так что ни одного программного бряка перед этим run в коде не установлено, все-равно не помогает.
Этот новый скрипт запускал на версии 1.77.3, что-то 1.78 не нашел.
EXE здесь www.sendspace.com/file/ztvt8g]http://www.sendspace.com/file/ztvt8g размер ~2,5mb

Поправка: собственно, проверки CRC там нет, а происходит попытка чтения из нулевого адреса


Хочу еще заметить, что работа команды rtr зависит от настройки Olly "After Executing till RET, step over RET". Если здесь галка установлена, после выполнения rtr окажемся не на Ret, а уже полностью выйдем из Call. В данном скрипте не критично, другие пока не смотрел, ты знаешь свои творения, и если это может привести к неожиданному результату, нужно бы отразить в будущих статьях.

| Сообщение посчитали полезным:

SVLab пишет:
При запуске скрипта прохождения на OEP вываливает наг ошибки проверки CRC памяти.

Спасибо за замечание. Ведь что интересно!!! В скрипт для прохождения на OEP-SBOEP я добавил проверку на наличие эмулированных подпрограмм, и скрипт на этой проверке начал давать сбой, вываливая NAG проверки CRC памяти. В тоже время, все остальные скрипты (восстановления IAT, INIT и т.п.) нормально отрабатывают на этой версии протектора. Тут мне надо будет разобраться с причиной вываливания этого NAGа.

Кстати, на этой версии протектора разработчики изменили подпрограмму выполнения эмулированных инструкций MOV, SUB и ADD, которые выполняются во второй виртуальной машине. Хотя принцип работы этой VM не изменен, однако разработчики поменяли порядок тестирования битов, и теперь старая VM дает неверные результаты при восстановлении эти инструкций. Т.е., разработчики не сидят на месте, а все время усложняют защиту. Видимо, тоже почитывают материалы Crack@Lab'a, в которых описаны наши достижения по снятию этого довольно сильного протектора.
Правда, к нашему счастью, разработчики программ, для своей защиты не применяют эту фичу (видимо просто не знают, как это можно сделать, а подробного руководства разработчики протектора не прилагают к своему изделию). Но если они устранят этот пробел в своей справочной системе, и разработчики программ будут использовать это в своей практике, то нам тогда мало не покажется. Все таки очень сильную защиту придумал Алексей Солодовников.

| Сообщение посчитали полезным:

vnekrilov пишет:
cильную защиту придумал Алексей Солодовников
Вообще-то StarForce. Алексей продал им свою компанию 2 года назад.

| Сообщение посчитали полезным:

progopis пишет:
Вообще-то StarForce. Алексей продал им свою компанию 2 года назад.
Но мозгом был Солод, интерессно....стар внёс какие-нить значительные изменения в прот? кроме поддержки на семёрке? чёт сомневаюсь

| Сообщение посчитали полезным:

MasterSoft
Вобщето-то ВМ нормальная появилась благодаря им. Импорт как ломался generic-методами так и ломается. И кейгенить аспр перестали, так как криптографию начали писать не люди с улицы, а специалисты.

| Сообщение посчитали полезным:

progopis пишет:
кейгенить аспр перестали, так как криптографию начали писать не люди с улицы, а специалисты.
Я кейгены не писал, не пишу, и наверное никогда писать не буду - поэтому не знаю. Знаю, что вот как инлайнился он на ура - так до сих пор всё и осталось. хотя ведь разрабы могли бы этот процесс усложнить, но усердно бьються копытами и рычат

progopis пишет:
Вобщето-то ВМ нормальная появилась благодаря им.
Что ты под этим подрузомеваешь?
Ну давай глянем и сравним пару версий, 2.4 и 2.5, разница между ними в два года. Ну да, ну переписали канеш малось загрузчик ребята, а если разобраться то все изменения в проте - это есть, ни что инное как исправление мелких (и не очень ) багов.
ИМХО может это усложнило подход к защите используя анпакеры, ранее написанные скрипты и т.д. и т.п.
Но не добавилось такого значительного гемора, если просто взять и выкинуть (забыть что они существуют) все новые скрипты, все статейки и оставить только одно старьё - то можно даже по ним без проблем анпакнуть прогу накрытую последней версией прота. Так сказать Солод создал каркас, а стар прост имея возможность приобрела его. Неужели бы стар купил бы неудачный продукт? Ответ: да низачто! Аспр был (и есть до сих пор) популярен среди шароварщиков, крутиться на языке, соответственно и спрос на продукт имеетцо.

В заключение хочу сказать, что аспр - эт детище солода и таковым останется ещё надолго, а стар всего лишь пытается (получается у него или нет судить не мне канеш) сделать на этом бабки.

| Сообщение посчитали полезным:

Ваще старик выкупил часть технологии для своих задач, а не торговую марку.
Брендом владеет прежний хозяин, то бишь автор.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Ваще старик выкупил часть технологии для своих задач

например? ВМ у стара в разы, а что там ещё у аспра было-то

| Сообщение посчитали полезным:

MasterSoft пишет:
спрос на продукт имеетцо

Да ну? И сколько же копий ASProtect SKE было продано за последнее время? Не видел идиота который бы стал покупать аспр. Ну может просто денег не хватает на нормальную ВМ типа WL/TM.

MasterSoft пишет:
Ну давай глянем и сравним пару версий, 2.4 и 2.5
и обе выпущены уже StarForce. Пиарить сей продукт больше чем FL старовцы не станут. ASProtect они держат как продукт который можно утащить к себе на комп и делать там с ним всё что хочешь. Ибо это глупо выкидывать ВМ прямо на паблик, что собственно никто из рынка CD/DVD защит и не делает. Рано или поздно для конкретной ВМ будут готовые решения. Так что если хочешь нормальную защиту, покупай FL.

| Сообщение посчитали полезным:

progopis пишет:
Да ну? И сколько же копий ASProtect SKE было продано за последнее время? Не видел идиота который бы стал покупать аспр. Ну может просто денег не хватает на нормальную ВМ типа WL/TM.
Просто наши шароварщики обнаглели в конец уже и пользуются крякнутыми релизами , а ты сам глянь какой процент прог накрыт аспром? я скажу, что даж оч значительный.

progopis пишет:
Так что если хочешь нормальную защиту, покупай FL.
не спорю, что у старки вм ого-го, но если не углубляться в дебри, а походить вокруг да около понимаешь, что защита местами поставленна не очень-то и грамотно.

Кстати, сорри, уйду в оффтоп не много, встречал ли кто-нить игрухи с TAGES на борту? видел тока ведьмака и всё. Хотелось бы поковыряться

| Сообщение посчитали полезным:

MasterSoft пишет:
уйду в оффтоп не много
Мы в него уже давно ушли. Тема называется "Анализ ...", а не "Обсуждение ...".

| Сообщение посчитали полезным:

progopis пишет:
И сколько же копий ASProtect SKE было продано за последнее время? Не видел идиота который бы стал покупать аспр.
Тот же PasswordsPro 2.5.4.0 (афтара сами знаете) накрыт последним аспром, всеж у многих девелоперов он пользуется досих пор спросом.

| Сообщение посчитали полезным:

Valemox пишет:
Тот же PasswordsPro 2.5.4.0
Valemox пишет:
накрыт последним аспром
там 1.5 build 04.01 Release (и не факт что это не то, что лежит на паблике). Кроме того последний 1.51.

Я говорил об SKE версии. Хотя, как ни странно, сейчас лучше чем раньше, и даже SKE опережает 1.x:

aspr151b.zip ( 2.03MB ) Number of downloads: 60
aspr15_0401_release.zip ( 2.03MB ) Number of downloads: 82
aspr25_0401_release.zip ( 2.54MB ) Number of downloads: 123
aspr251b.zip ( 2.61MB ) Number of downloads: 131

Рискну предположить что сами разработчики аспра сделали эти фейк скачивания, чтобы людям не казалось что они идиоты.

| Сообщение посчитали полезным:

Кстати, интересное получается обсуждение.
Я решил, в качестве небольшой закуски, выложить еще два скрипта, которые я назвал "Получение Asprotect.dll". Не секрет, что разработчики заэмулировали несколько подпрограмм, которые связаны с выполнением эмулированных инструкций, проверки валидности регистрационного ключа, и т.п. Все это лучше всего исследовать на самой Asprotect.dll, которую можно легко загрузить в Олю или Иду. Имеется неплохой дампер от deroko с названием "AsprDllDumper.exe", но он, к сожалению, не позволяет восстановить эмулированные инструкции. Предложенные мной скрипты "Получение Asprotect.dll", позволяют получить Asprotect.dll с полностью восстановленным эмулированным кодом, что позволяет проанализировать ее работу.
Как работать с этими скриптами?

1. Загружаете подопытный файл, защищенный Asprotect в отладчик OllyDbg, и запускаете на нем скрипт "Восстановление таблицы INIT.osc"
2. Перезагружаете программу в отладчике, и запускаете скрипт "Восстановление таблицы IAT и вызовов APIs.osc"
3. Не перезагружая программу в отладчике, запускаете скрипт "Восстановление эмулированных подпрограмм в Asprotect_dll, когда программа остановлена на OEP (SBOEP).osc"
4. Не перезагружая программу в отладчике, запускаете скрипт "Получение файла Asprotect_dll.osc"
5. Не перезагружая программц в отладчике, запускаете скрипт "Восстановление секции импорта (.idata) в Asprotect_dll.osc"

После этого в папке с программой находится файл с именем Asprotect.dll, в котором восстановлены все эмулированные инструкции, и прочие интересные для исследования, места.
Этот файл можно, как я писал выше, исследовать в Иде или Оле, на Ваш вкус. Если где-то произойдут сбои при работе этих скриптов, напишите. У меня на всех подопытных программах, эти скрипты работали без сбоев.

ea8a_19.11.2009_CRACKLAB.rU.tgz - Получение Asprotect.dll.rar

| Сообщение посчитали полезным:

Bronco пишет:
добавь туда восстановление таблицы экспорта

Понял, сделаю.

| Сообщение посчитали полезным:

Извините, что вмешиваюсь, но не могу найти ODbgScript 1.78. Это какой-то custom-build?

-----
старый пень

| Сообщение посчитали полезным:

r_e пишет:
Извините, что вмешиваюсь, но не могу найти ODbgScript 1.78. Это какой-то custom-build?
Плохо ищешь ты

9698_20.11.2009_CRACKLAB.rU.tgz - ODbgScript.dll

| Сообщение посчитали полезным:

r_e
Пока есть только версия 1.78.1, где 1 в конце означает что эта версия находится в разработке (на SVN). Не очень понимаю зачем в скриптах надо было жёстко привиязываться к версии, которой фактически ещё нет.

| Сообщение посчитали полезным:

progopis пишет:
Не очень понимаю зачем в скриптах надо было жёстко привиязываться к версии, которой фактически ещё нет

В своих скриптах я использовал самые последние версии ODbgScript, которые очень неплохо работают (например, не вешают отладчик, когда не найден какой-то дамп, нужный для работы скрипта). В принципе, всегда можно откорректировать скрипт на ту версию ODbgScript, которая имеется, поскольку проверка версии ODbgScript в скрипте находится сразу же после объявления переменных. Но это уже дело вкуса.
Видимо, к скриптам надо прикладывать и файл ODbgScript, тем более, что он весит немного. Спасибо MasterSoft за выложенную версию ODbgScript.

| Сообщение посчитали полезным:

Лучше в шапке всё складировать.

| Сообщение посчитали полезным:

Собрал все в кучу. (8Mb)

-----
старый пень

| Сообщение посчитали полезным:

ИМХО... топ в приват

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: