Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

Сегодня я выложил одиннадцатую часть второго выпуска из обещанного цикла статей по распаковке Asprotect, к которому приложен откорректированный скрипт - "Восстановление секции импорта (.idata) в распакованных программах.osc". В этом скрипте сделана корректировка размера таблицы Импорта.

В этой части рассмотрен процесс распаковки программы "LanAgent v3.0.0.0", и дана ссылка на скачивание этой программы.

Буду признателен за отзывы, замечания, критику и пожелания.

Ultras пишет:
Валентин, возьми Help and Manual 5

Спасибо за совет.


76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка Asprotect (часть 11, выпуск 2).rar

| Сообщение посчитали полезным:

ClockMan пишет:
нашёл в нём небприятный баг если таблица импорта функций начинается с такой последовательности

Бага нет. Когда таблица IAT начинается с ntdll, то имя ntdll заменяется на имя kernel32, и далее идет замена APIs из ntdll на APIs из kernel32. Например, ntdll.RtlDeleteCriticalSection заменяется на kernel32.DeleteCriticalSection. Это учтено в скрипте.

| Сообщение посчитали полезным:

00FB2174 6B 65 72 6E 65 6C 33 32 2E 64 6C 6C 00 00 00 00 kernel32.dll....
00FB2184 52 74 6C 44 65 6C 65 74 65 43 72 69 74 69 63 61 RtlDeleteCritica=====>?
00FB2194 6C 53 65 63 74 69 6F 6E 00 00 4C 65 61 76 65 43 lSection..LeaveC
00FB21A4 72 69 74 69 63 61 6C 53 65 63 74 69 6F 6E 00 00 riticalSection..

Первую функу даже неправит пишит как есть,остальные правит))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

мм, когда ожидать окончание цикла, и будет ли сборка в одном доке?

| Сообщение посчитали полезным:

n0name
https://cracklab.ru/f/action=vthread&forum=13&topic=11596&page=24#3

| Сообщение посчитали полезным:

эту страницу я читал.
Однако имхо нужно уточнение, ибо пара дней кончается

от модератора: не нужно уточнения, нужно терпеливо ждать

| Сообщение посчитали полезным:

vnekrilov, а чо аспровая либа получается без экспорта, ведь по идее, он там должен же быть?

| Сообщение посчитали полезным:

Valemox пишет:
а чо аспровая либа получается без экспорта, ведь по идее, он там должен же быть?

Вытащить из либы экспорт - это не проблема. Просто, для целей распаковки программы, экспорт не нужен. А если для исследования, то кто мешает самим это сделать?

ClockMan

У меня почему-то все записано правильно, но нужно посмотреть, где идет сбой, и что надо сделать. Спасибо за баг.

n0name пишет:
мм, когда ожидать окончание цикла, и будет ли сборка в одном доке?

Не все получается так быстро. Для того, чтобы написать один док, нужно сделать кое-какие корректировки, которые появились в связи с получением информации по ошибкам, неточностям и предложениям. И плюс основная работа, и конец года. Немного подождите.

| Сообщение посчитали полезным:

Ещё на что стоит обратить внимание это на расширение файлов есть элеменнты ActiveX ,а в импорте пишется расширение dll а нужно ocx просто если после загрузки программы расспакованной будет выскакивать мессага что неможет найти какуюто библо то скарей всего это ActiveX, в редакторе это легко исправляется

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Сегодня я выложил двенадцатую, заключительную часть второго выпуска из обещанного цикла статей по распаковке Asprotect, и приступаю к подготовке сводного тутора, в котором будут объединены все предыдущие материалы. В этой части я разобрал распаковку Asprotect v2.50 Demo, и рекомендую самостоятельно, в качестве практики, распаковать Asprotect v1.50 Demo. Эти программы можно скачать на сайте разработчика. Ссылки приложены в статье.

Буду признателен за отзывы, замечания, критику и пожелания.

fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка Asprotect (часть 12, выпуск 2).rar

| Сообщение посчитали полезным:

vnekrilov Давно хотел сказать , может собрать все испытываемые программы пока не поздно в один архив?! А не качать с сайта разработчика , потом будет трудно найти , а так тутор сохранится в истории.

Еще вопрос что значит сводно ?! Стоит скачать все версии сейчас ? Или все будет просто скомплектовано в 1 архив и все. А то малоли еще чего туда внесешь а часть будет отсутствовать. Спасибо!

П.С. Можно еще попросить модераторов чтобы они весь топик , со всеми страницами сохранили в схм в виде истории лога как все было и возникшие проблемы. Типо дневники чайника ...

Собрано www.multiupload.com/GP05I96QAR

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
может собрать все испытываемые программы пока не поздно в один архив?!

дык, собери, если есть возможность

| Сообщение посчитали полезным:

mak пишет:
Давно хотел сказать , может собрать все испытываемые программы пока не поздно в один архив?! [/i]

По моему плану, все статьи, скрипты и рассмотренные программы будут собраны в один архив, и выложены на какой-то обменник, который сможет долго хранить эти материалы. Может кто-то сможет подсказать такой обменник. Конечно, было бы неплохо все хранить на форуме, но, к сожалению, здесь есть ограничения по размеру.

| Сообщение посчитали полезным:

На сайте есть ведь раздел rar-статей, разве туда нельзя добавить?

| Сообщение посчитали полезным:

vnekrilov
можно на васм выложить, благо и тематика подходит.

| Сообщение посчитали полезным:

n0name пишет:
можно на васм выложить, благо и тематика подходит
Ага, выложить статьи по реверсингу на сайт по низкоуровневому программированию.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Мне думается, что размещение дистрибутивов вместе с статьями в RAR-cтатьи было бы идеальным вариантом.

ARCHANGEL пишет:
Ага, выложить статьи по реверсингу на сайт по низкоуровневому программированию.

рановато ты отмечать начал

| Сообщение посчитали полезным:

SVLab пишет:
На сайте есть ведь раздел rar-статей, разве туда нельзя добавить?

Там тоже ограничение по объему, не более 4 МБ, а весь флакон потянет намного больше.

| Сообщение посчитали полезным:

vnekrilov пишет:
Там тоже ограничение по объему, не более 4 МБ, а весь флакон потянет намного больше.

Можно ведь многотомным архивом оформить.

| Сообщение посчитали полезным:

Не знаю, с чем связано огранчение в 4мб, но если оно сделано искусственно, в данном случае, наверное, можно будет сделать исключение.
Если же это ограничение непреодолимо, то можно сделать примерно так, как сказал Gideon Vi, с небольшой поправкой: основную теоретическую часть со всеми скриптами и программой в один архив (в 4мб можно уложиться), а три последние практические части с программами по-отдельности.

В последних двух частях опечатка в заголовках "Восстановление таблицы IINI"

| Сообщение посчитали полезным:

Небольшое предложение по скриптам. Вот этот код:

Я бы сделал таким:

Или таким:

Небольшая, но всё же оптимизация (нисколько оптимизация сколько сокращение кол-ва служебного кода и увеличение читабельности листинга).

| Сообщение посчитали полезным:

Уважаемые читатели данного топика. На обменнике multi-up.com/191868 я выложил обещанный комплект всех материалов по распаковке Asprotect. Он весит - 36,5 МБ. В него вошли:
- Туториал в виде одного файла "Распаковка Asprotect.chm"
- Туториал в виде одного файла "Распаковка Asprotect.pdf" (сделан по просьбе некоторых читателей)
- Комплект скриптов от 25 декабря 2009 г.
- Комплект всех дистрибутивов программ, рассмотренных в данном туториале.

Если кто-то желает, то может оформить этот туториал более красиво, чем это сделал я. Я могу выслать файл проекта "UnpackingAsprotect.hmxz" с исходным текстом.

Всех поздравляю с наступающим Новым годом, и желаю всего самого наилучшего в Новом году.

| Сообщение посчитали полезным:

спасибо за тутор

| Сообщение посчитали полезным:

выложил отдельно архив с используемыми прогами:
ASProtect_Unpacking_Apps_2009-12-25.rar, Size: 23335 KB

и отдельно тутор в формате .chm
ASProtect_Unpacking_Tutorial_2009-12-25.rar, Size: 8335 KB

отдельно скрипты:
3659_25.12.2009_CRACKLAB.rU.tgz ASProtect_Unpacking_Scripts_2009-12-25.rar

-----
EnJoy!

| Сообщение посчитали полезным:

Если у кого есть возможность - переложите на Letitbit, ато с других файлообменников то не качается, то разрывается связь, то ещё фигня какя-то.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

В раздел RAR-статьи на сайте очень напрашивается И все у всех будет качаться без перевыкладок.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

после оптимизации статьи будут выложены здесь

-----
EnJoy!

| Сообщение посчитали полезным:

ARCHANGEL
narod.ru/disk/16346837000/Unpacking_Asprotect__Complete_.rar.html

| Сообщение посчитали полезным:

Не понравилось то, что часто выполняется некая магическая последовательность действий после который вдруг оказывается нужный нам результат.
Не объясняется то, почему делаем это именно так, что это за магическая последовательность байт, и что вообще происходит внутри аспра.
У меня создалось ощущение что цикл ориентирован на результат - распаковка аспра, а не на его исследование.
Если это так, то цикл полностью выполнил свою цель

| Сообщение посчитали полезным:

n0name
А самому посмотреть содержимое скриптов, потрейсить код на магических байтах? Или должна была быть цель составить документированные сорсы прота?

| Сообщение посчитали полезным: