Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

DaRKSiDE, это пусть сам Валентин решит, как автор топа.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Собрал все в кучу. (8Mb)

Немогу скачать с рапиды, перезалейте

| Сообщение посчитали полезным:

DaRKSiDE пишет:
ИМХО... топ в приват

А зачем в приват? Я писал статьи для того, чтобы как можно больше юзеров пришли к выводу о том, что пакеры составляют проблемы только для новичков. А затем новички становятся профессионалами, по мере накопления опыта. Мне, в этом ракурсе, очень интересно смотреть за работой Pavka. К сожалению, он очень мало пишет статей, но предлагаемые им скрипты - это просто прелесть, видна работа серьезного профессионала.
Поэтому, видимо нет резона переносить топ в приват. Хотя это только мое мнение, и можно по этому поводу посоветоваться.

| Сообщение посчитали полезным:

vnekrilov пишет:
можно по этому поводу посоветоваться
Было б не плохо..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
ИМХО... топ в приват

дык, представь, что он уже там и не читай

| Сообщение посчитали полезным:

vnekrilov Выкладывайте тогда уже все =) , даже то что хотели оставить в привате ...

Поправлено - а как насчет цыклической вм ?! Тут было много желающих узнать поподробнее

r_e пишет:
Собрал все в кучу. (8Mb)
Таких куч уже много))) глаза кругом .. лучшепоследнего релиза подождать ..хотя если была бы как бы история изменений и обновления примерно как на открытых сайтах с кодом , было бы интересно следить за мыслью ... но а самому рыться это жесть

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
лучшепоследнего релиза подождать ..

Я как раз и занимаюсь подготовкой выпуска статей, с учетом тех новинок, которые появились к настоящему времени. Так, например, мной в значительной степени переработана прививка для восстановления оригинального кода эмулированных инструкций, переработаны и остальные скрипты. так что немного подождите, скоро все будет.

mak пишет:
хотя если была бы как бы история изменений и обновления примерно как на открытых сайтах с кодом

Все изменения в скриптах связаны с появлением новых релизов протектора, поскольку разработчики стараются любым путем усложнить нам жизнь, поэтому, наверное, нет необходимости писать о добавлении появившейся новой версии протектора.

| Сообщение посчитали полезным:

Кстати, я немного более глубоко посмотрел на последнюю версию Asprotect v2.51 SKE build 09.22. Разработчики опять вставляют "бедным" кракерам палки в колеса. Если на протяжении нескольких последних версий своего изделия, они не касались второй VM, которая выполняла эмулированные инструкции ADD, SUB и MOV, то теперь они влезли и сюда. Мало того, что они все время меняют порядок расположения данных об эмулированных инструкциях в массивах данных для первой VM (которая выполняет эмулированные инструкции всех типов), и криптуют первый байт опкода каждой эмулированной инструкции с помощью генератора случайных чисел, который привязан к текущему времени, они теперь и во второй VM начали менять порядок расположения данных об эмулированных инструкциях в массивах данных, и начали изменять проверку типов эмулированных инструкций ADD, SUB и MOV (здесь речь идет о константах к регистрам, какие регистры обрабатываются - BYTE или DWORD, и т.д.). Проверяя работу VM по восстановлению эмулированных инструкций этого типа, я заметил появление непонятных восстановленных инструкций. Чтобы понять причину сбоя, залез в недра их VM, и нашел эту ловушку. Но эта ловушка легко вылечилась, путем записи в скрипт для создания VM нескольких строк, которые патчат VM по восстановлению эмулированных инструкций. Как говорят в народе, на всякую хитрую всегда что-то находится с винтом.

| Сообщение посчитали полезным:

vnekrilov ты будешь это описывать ? Меня интересует vnekrilov пишет:
криптуют первый байт опкода каждой эмулированной инструкции с помощью генератора случайных чисел, который привязан к текущему времени, они теперь и во второй VM начали менять порядок расположения данных об эмулированных инструкциях в массивах данных, и начали изменять проверку типов эмулированных инструкций ADD, SUB и MOV (здесь речь идет о константах к регистрам, какие регистры обрабатываются - BYTE или DWORD, и т.д.).

и вот это
vnekrilov пишет:
порядок расположения данных об эмулированных инструкциях в массивах данных для первой VM

коротко приведи пример если можно ...

Поправленно а ну я туторы еще не смотрел , так как жду последней точки , эти все изменения запутывают , вообщем ждемс

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
коротко приведи пример если можно ..

Об этом я писал в части 8 моего цикла статей по Аспру. Но здесь я могу привести пример, который я использовал для Asprotect v2.51 SKE build 09.22:

hex 2.41_0226 2.51_0922

0h D4h 9Dh
1h E0h F7h
2h 4Eh C7h
3h 8Dh E0h
4h 7h F6h
5h 5Bh EBh
6h 5Eh 4Eh
7h 99h DCh
8h C7h F9h
9h FCh D2h
Ah A0h 8h
Bh 49h 57h
Ch 8Bh CDh
Dh 93h 10h
Eh 4Ah D0h
Fh 9Ah 72h

Расположение данных в заголовке массива данных
Параметр 2.41_0226 2.51_0922

DWORD_00h + 00h + 00h
DWORD_04h + 04h + 0Ch Начало блока данных для инструкций MOV, ADD и SUB
DWORD_08h + 08h + 18h Константа для раскриптовки
DWORD_0Сh + 0Сh + 14h ImageBase программы
DWORD_10h + 10h + 10h Начало блока данных для эмулированных инструкций
DWORD_14h + 14h + 08h PID процесса
DWORD_18h + 18h + 04h Число эмулированных инструкций
DWORD_1Ch + 1Ch + 1Ch Идентификатор блока данных

Расположение данных в массиве данных
Параметр 2.41_0226 2.51_0922

DWORD_00h + 00h + 12h
DWORD_04h + 04h + 0Eh
BYTE_08h + 08h + 17h
BYTE_09h + 09h + 05h
BYTE_0Ah + 0Ah + 08h
BYTE_0Bh + 0Bh + 01h
BYTE_0Ch + 0Ch + 16h Применяется для оценки бита
DWORD_0Dh + 0Dh + 0Ah
BYTE_11h + 11h + 00h Применяется для оценки бита для инструкций 66:8B4346
BYTE_12h + 12h + 02h
BYTE_13h + 13h + 03h
BYTE_14h + 14h + 09h Дополнительный первый байт 66:8B4346
BYTE_15h + 15h + 06h Основной первый байт опкода инструкции
BYTE_16h + 16h + 07h
BYTE_17h + 17h + 04h

Массив данных для второй VM (инструкции ADD, MOV и SUB)
Параметр 2.41_0226 2.51_0922

BYTE_00h + 00h + 00h
BYTE_01h + 01h + 0Ch
BYTE_02h + 02h + 05h
BYTE_03h + 03h + 06h
BYTE_04h + 04h + 0Bh
BYTE_05h + 05h + 07h
BYTE_06h + 06h + 08h
BYTE_07h + 07h + 09h
BYTE_08h + 08h + 0Ah
BYTE_09h + 09h + 01h
BYTE_0Ah + 0Ah + 02h
BYTE_0Bh + 0Bh + 03h
BYTE_0Ch + 0Ch + 04h

Порядок выполнения инструкций в подпрограмме второй VM
(Контроль инструкции "CMP BYTE PTR SS:[EBP-1D],??")

Параметр 2.41_0226 2.51_0922
CMP BYTE [EBP-1D],0 00h 05h
CMP BYTE [EBP-1D],6 06h 00h
CMP BYTE [EBP-1D],8 08h 07h
CMP BYTE [EBP-1D],5 05h 04h
CMP BYTE [EBP-1D],9 09h 09h

mak пишет:
ты будешь это описывать ? Меня интересует

Да, об этом я буду писать.

| Сообщение посчитали полезным:

Кстати, столкнулся с 1.35 на которой скрипт поиска OEP_SBOEP не работает. Детали не смотрел. Судя по всему не срабатывает бряк. В итоге софт показывает стандартное окно креша.

-----
старый пень

| Сообщение посчитали полезным:

r_e пишет:
Кстати, столкнулся с 1.35 на которой скрипт поиска OEP_SBOEP не работает.

Если не сложно, сбрось эту программу, посмотрю, что происходит. Вообще я этот скрипт делал для того, чтобы бегло посмотреть, какие опции защиты применил разработчик программы. А проходят ли на OEP (SBOEP) другие скрипты?

Да, только сейчас заметил, что в предыдущем посте произошло смещение данных. Первый параметр с приставкой "h" относится к Аспру v2.41 build 02.26, а второй параметр - Аспру v2.51 build 09.22.

| Сообщение посчитали полезным:

r_e пишет:
Судя по всему не срабатывает бряк. В итоге софт показывает стандартное окно креша.
Скинь прогу, дело скорре всего не в скрипте, а в ольке.

| Сообщение посчитали полезным:

MasterSoft
Если не ставить DRx в фантоме - то просто не брякается.
Олька в тесте использована стандартная. Рекомендуется другая сборка?

-----
старый пень

| Сообщение посчитали полезным:

Ну хз, я юзаю ollydbg 1.10 By Mouradpr (арабы). Выложи прогу лучше, все вместе глянем.

| Сообщение посчитали полезным:

r_e пишет:
Если не ставить DRx в фантоме - то просто не брякается

Посмотри на мой файл .ini отладчика, сопоставь со своим, и найди в чем есть отличия. Возможно, это поможет тебе найти причину. Особенно обрати внимание на раздел в [Plugin PhantOm] в этом файле.

1585_25.11.2009_CRACKLAB.rU.tgz - ollydbg.ini

| Сообщение посчитали полезным:

Дело оказалось в ольге. Сейчас взял версию "OllyDbg v1.0 Themida" - все сработало.
Попутно нашел пару багов у тебя в скриптах. Переписываю один - потом скину.

-----
старый пень

| Сообщение посчитали полезным:

Is there any chance to translate those great tutorials to English?

| Сообщение посчитали полезным:

winndy пишет:
Is there any chance to translate those great tutorials to English?

Let's wait updating of articles, and then we will already translate.

Ну статьи-то понятно, а вот интерессно за скрипты кто-нить возьмётся или ну нах?

| Сообщение посчитали полезным:

that's good news.
thanks

| Сообщение посчитали полезным:

MasterSoft пишет:
Let's wait updating of articles, and then we will already translate. Ну статьи-то понятно, а вот интерессно за скрипты кто-нить возьмётся или ну нах?
а зачем вообще переводить им, они для нас переводят на русский.... НЕТ, пусть сами как-то мучаются... "спасение утопающего - дело самого утопающего" (с) народная мудрость

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

как-то так получилось, что рулит сейчас инглишь.
Что же касается "надо-не надо": кто-то на основе переведенных статей напишет паблик анпакер, которым ты же будешь пользоваться

| Сообщение посчитали полезным:

BoRoV, да пусть переводят. Валентин не делает из этого секретов. Он сам стремится к тому, чтобы данный материал был доступен и полезен бОльшему количеству реверсеров.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

я к тому что переводить им будет кто-то с наших, кто знает русский, а если так, то почему бы эти силы не потратить на перевод с англ на русс, для своих, а не для "этих"...

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

MasterSoft пишет:
а вот интерессно за скрипты кто-нить возьмётся или ну нах?
Уже в работе.

| Сообщение посчитали полезным:

BoRoV
English is a must couse in school in my country.
But Russian is not.
English is the universal language in the world so far.

| Сообщение посчитали полезным:

Сегодня я выложил первую часть второго выпуска из обещанного цикла статей по распаковке Asprotect, к которому приложен первый скрипт - "Поиск OEP (SBOEP)" от 29 ноября 2009 года. В этом скрипте устранены незначительные ошибки, и он приведен в более простой вид (без лишнего загромождения комментариями). Хочу поблагодарить r-e за его дельные советы по поводу доработки скриптов, а также перевод скрипта "Поиск OEP (SBOEP)" на английский язык.

Буду признателен за отзывы, замечания, критику и пожелания.

см. шапку топика

| Сообщение посчитали полезным:

На моей программе после выполнения скрипта в логе показано, что имеется SBOEP, хотя на самом деле OEP на месте.

В статье здесь, наверное, просто опечатка:
"Адрес 00CB1CBB – это очень интересный адрес", на скрине адрес 00CB1CB8
А здесь адреса совсем другие:
"А затем, начиная от предыдущей найденной инструкции, нам надо найти следующие две инструкции:

00EFFF4E A1 B81CF100 MOV EAX,DWORD PTR DS:[F11CB8]
00EFFF53 894424 04 MOV DWORD PTR SS:[ESP+4],EAX"
Такие несоответствия требуют определенного напряжения мозга для читающего

| Сообщение посчитали полезным:

Сегодня я выложил вторую часть второго выпуска из обещанного цикла статей по распаковке Asprotect, к которому приложен второй скрипт - "Восстановление таблицы INIT" от 30 ноября 2009 года. Этот скрипт приведен в более простой вид (без лишнего загромождения комментариями).

Буду признателен за отзывы, замечания, критику и пожелания.

SVLab

Спасибо за замечание, исправлю.

2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка Asprotect (часть 2, выпуск 2).rar

| Сообщение посчитали полезным:

Вдогонку высылаю поправленный скрипт "Поиск OEP (SBOEP)" от 30 ноября 2009 года. В нем исправлен баг при записи опций защиты программы в журнал регистрации OllyDbg.

Что касается корректировки статьи, то у себя я уже поправил, а так немного подожду, возможно еще кто-то обнаружит ошибки, чтобы можно было бы выложить окончательный вариант статьи.

1ebc_29.11.2009_CRACKLAB.rU.tgz - Поиск OEP (SBOEP).osc

| Сообщение посчитали полезным: