Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

SReg пишет:
Скажите пожалуста, а скрипты всё так же актуальны для новой версии (2.51 build 09.22 Beta)?

Да, эти скрипты работают и на версии аспра 2.51 build 09.22 Beta. Однако, эмуляция APIs Asprotect в программе ABF Outlook Backup должна быть немного другая. Например, для эмуляции режима Site Lizense, код должен быть следующим:



Обрати внимание на инструкцию MOV DWORD PTR DS:[EAX],1!!!

Вообще, при распаковке программ я всегда cопоставляю значения, которые дают фактические APIs Asprotect с эмулированными APIs Asprotect. Кроме того, у одной из APIs Asprotect, вместо инструкции RETN 0C должна быть инструкция RETN 4, иначе повреждается стек.

Именно по этой причине не запускается распакованная программа. Об этом я писал в туториале по распаковке аспра.

Внимательно проверь в двух отладчиках выполнение APIs Asprotect в распакованной и оригинальной программах, и все нормально запустится. А так программа тобой распакована нормально.

| Сообщение посчитали полезным:

vnekrilov раз возник вопрос надо записать , ты уже начал создавать ФАК ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
ты уже начал создавать ФАК

Да нет. Просто отвечаю на возникшие вопросы. Хотя, это и может служить основой для FAQ.

| Сообщение посчитали полезным:

vnekrilov
Все нормально запустилось, спасибо! только у меня
006AEF4E C700 00000100 MOV DWORD PTR DS:[EAX],10000
P.S.
Ну и вот еще, если интересно, небольшой s002.radikal.ru/i200/1002/88/aee7f89b1c6e.jpg" target="_blank">баг репорт, это при запуске "Восстановление таблицы IAT и вызовов APIs.osc". Программа-скринсейвер, упакована версией ASProtect 1.32 build 11.24 RC1. | Сообщение посчитали полезным:

SReg пишет:
Ну и вот еще, если интересно, небольшой баг репорт,

Конечно, интересно. Здесь происходит сбой в коде прививки при восстановлении вызовов эмулированных APIs. Надо посмотреть, и подкорректировать код прививки.

| Сообщение посчитали полезным:

Скиньте ктонибудь пожалуста архив с разными версиями прота аспра , нужно для досконального изучения вм. Можно в приват. Сэнкс!

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

vnekrilov
Попалась программа на которой некоректно отрабатывают скрипты. Восстановление таблицы iat и api, не дорабатывает до конца, выдает сообщение что программа защищена заказной версией аспротект, и дальше выбивает. Версия аспра 1.35 build 06.26 Release.
ссылка
размер программы 2 мб

ссылка на мультиаплод


Кстати в новой версии LanAgent скрипт Восстановление таблицы IAT и вызовов APIs тоже нормально не обрабатывет, версия там аспра 1.5 build 04.01 Release

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ пишет:
Восстановление таблицы iat и api, не дорабатывает до конца, выдает сообщение что программа защищена заказной версией аспротект, и дальше выбивает.

Посмотрю, что происходит.

PS. Что-то не могу скачать программу по приведенной ссылке. Если можешь, сбрось ее на какой-либо обменник.

| Сообщение посчитали полезным:

SemDJ пишет:
Восстановление таблицы iat и api, не дорабатывает до конца, выдает сообщение что программа защищена заказной версией аспротект, и дальше выбивает.

При работе скрипта для восстановления IAT и вызовов эмулированных APIs предусмотрена пауза после выведения сообщения "Внимание!!! Если при дальнейшей работе скрипта происходит сбой, связанный с применением заказных APIs Asprotect (который, как правило, связан с проверкой целостности кода (CRC) программы, или чтением данных из регистрационного ключа), то, начиная с этого места, удалите все программные BreakPoint, которые установил скрипт в области кода программы, за исключение области кода Asprotect.dll!". Для дальнейшей работы скрипта нужно просто нажать клавишу пробела, чтобы продолжить работу скрипта, или продолжить работу скрипта из меню OGBGScript. Это можно было увидеть, если запускать скрипт в окне Window Script. Все скрипты нормально работают на этой программе.

SemDJ пишет:
Кстати в новой версии LanAgent скрипт Восстановление таблицы IAT и вызовов APIs тоже нормально не обрабатывет, версия там аспра 1.5 build 04.01 Release

Я скачал версию 3.1, и на ней все скрипты нормально отработали. Однако, при запуске дампа распакованной программы, по адресу 00759444 записаны ноли, хотя там должно быть записано значение DS:[00759444]=00745C78. Это обусловлено тем, что программа имеет триальный срок в 15 дней. Пока триальный срок не истек, то API Asprotect, при запуске программы, выполняет программу 00745C78. После окончания триального срока, программа не запускается, а показывается сообщение о завершении тестового периода программы с предложением купить этот программный продукт.

На всякий случай, прикрепляю скрипт для восстановления таблицы IAT и вызовов эмулированных APIs.

7ace_14.02.2010_CRACKLAB.rU.tgz - Восстановление таблицы IAT и вызовов APIs.osc

| Сообщение посчитали полезным:

vnekrilov пишет:
При работе скрипта для восстановления IAT и вызовов эмулированных APIs предусмотрена пауза после выведения сообщения "Внимание!!! Если при дальнейшей работе скрипта происходит сбой, связанный с применением заказных APIs Asprotect (который, как правило, связан с проверкой целостности кода (CRC) программы, или чтением данных из регистрационного ключа), то, начиная с этого места, удалите все программные BreakPoint, которые установил скрипт в области кода программы, за исключение области кода Asprotect.dll!". Для дальнейшей работы скрипта нужно просто нажать клавишу пробела, чтобы продолжить работу скрипта, или продолжить работу скрипта из меню OGBGScript. Это можно было увидеть, если запускать скрипт в окне Window Script. Все скрипты нормально работают на этой программе.

Спасибо вам большое, моя ошибка все скрипты отрабатывает нормально.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

Помогите разобраться
Попросили парольчик ломануть, а программа упакована Asprotect [1.4 build 11.20 Release] (AsprInf)
Распаковывал, читая статьи vnekrilov'а. Пришлось не поверхностно читать).
В принципе все скрипты отработали, только раз скрипт "Восстановление таблицы iat и api" выдал, что другая версия Asprotect.dll и возможны заказные APIs.
При распаковке получилось последние 4 секции: .rsrc, без названия (там импорт? я так понял), .data, .adata.
ресурсы поставил на место, импорт тоже, ну и stolen code.
Дальше начались проблеммы:
Почему-то Restorator'om ресурсы не смотряться, а stud_pe.v2.6.0.5 смотрит и говорит, что все ок.
При запуске ничего не происходит, а в олли заканчивает работу с ошибкой:
ERROR_NO_IMPERSONATION_TOKEN (0000051D).
Помогите, плиз. Интересен сам процесс, уже неделю сижу)
Оригинальный
dumped
Пробовал, скриптом от VolX 1.15E, но при его работе прога вылетала в системную ошибку. в олке (ERROR_MOD_NOT_FOUND (0000007E)).
Может есть какие-нибудь особенности протекта этой версии? Подскажите.

P.S. В скриптах Олли не силен.

| Сообщение посчитали полезным:

Вы правильно распаковали программу. Однако, после завершения работы скрипта "Перенаправление прыжков из кода программы в новую секцию файла.osc", Вы не сохранили изменения в области кода программы. Например:

Должно быть:



А у Вас:



Т.е., у Вас записаны прыжки в отсутствующую область памяти, поэтому программа и не работает.

Что касается секции ресурсов. После запуска Resource Binder для восстановления секции ресурсов, эта утилита переорганизует секцию ресурсов, и уменьшает ее размер. Поэтому, после прикручивания секции ресурсов, необходимо откорректировать VirtualSize и RawSize секции .rsrc, указав их значения по файлу "dumped_control.exe". Кроме того, нужно откорректировать характеристики прикрученных секций на значение E0000040. После этого, все ресурсы прекрасно видны в Restorator.

К этому ответу присоединяю распакованный файл UnICA.

86a9_22.02.2010_CRACKLAB.rU.tgz - UnICA.rar

| Сообщение посчитали полезным:

vnekrilov пишет:
Вы не сохранили изменения в области кода программы
Точно, вспомнил!!!, я как раз этот скрипт отработал и пытался сохранить, но меня отвлекли и этот момент я вообще упустил.

Большое спасибо, щас еще раз все попробую с нуля.
Все понял.
Значит в этой версии Asprotecta (1.4 build 11.20) никаких заморочек нет, а я то думал, что есть), т.к. этой версии в постах почти нет, только одну тему нашел и то в ней куда-то в сторону ушли).

Бум дальше смотреть).
Еще раз спасибо).

| Сообщение посчитали полезным:

skp10 пишет:
Значит в этой версии Asprotecta (1.4 build 11.20) никаких заморочек нет, а я то думал, что есть)

Вообще, в Asprotect особых заморочек нет. Просто, в некоторых программах, программисты дополнительно делают некоторые заморочки, которые, иногда, не позволяют запустить дамп распакованной программы.

| Сообщение посчитали полезным:

подскажите по распаковке.
Пытаюсь распаковать bpl библиотеку, упакованную аспром.

скрипт определяет
+ вызовы APIs Asprotect 1.xx!

запускаю скрипт "Восстановление таблицы IAT и вызовов APIs"
и перед дампом олька выдаёт сообщение unable to read memory of debugged process (00400000..00450FFF)
ну и затем вываливается скрипт с сообщением Error on line 2124 text: dpe "dumped.exe", temp_1

в логе следующие сообщения
* Программа имеет вызовы APIs Asprotect из Asprotect.dll: 0128E940
* OEP: 00372D40
* Адрес AsProtect.dll: 01270000
* Адрес OEP программы: 00372D40
* Адрес OEP программы для ImpREC: 00012D40
* Адрес таблицы IAT: 00376690
* Адрес таблицы IAT для ImpREC: 00016690
* Размер таблицы IAT для ImpREC: 0000071C

Обяъсните, пожалуйста что не так?

библиотека в аттаче


451b_26.02.2010_CRACKLAB.rU.tgz - snakeoilrtl.bpl

http://multi-up.com/227454 - тут библиотеки от которых зависит snakeoilrtl.bpl

| Сообщение посчитали полезным:

Разработчики уже выпустили новые версии ASProtect 1.56 build 03.17 Beta и ASProtect 2.56 SKE 03.17 Beta. Посмотрю, что в них нового, и нужно ли дорабатывать скрипты. Кстати, на сайте разработчика выложены Демо-версии этого протектора.

| Сообщение посчитали полезным:

Скачать демо-версии продуктов ASPack Software:

ASProtect v1.56 Trial

aspr156d.zip

ASProtect SKE v2.56 Trial
asprske256d.zip

ASPack v2.24 Trial
aspk224.zip

-----
EnJoy!

| Сообщение посчитали полезным:

ASProtect 1.56 Beta
=========================================
- Fixed loading problem of ASR-enabled EXE files under Vista and above
* Minor internal fixes
* Сorrections in manual

ASProtect 2.56 SKE Beta
=========================================
- Fixed loading problem of ASR-enabled EXE files under Vista and above
- Fixed crash during unloading of certain protected DLLs
- Corrected Keygen IDE mode selection behavior
- Corrected ASProtect IDE main window behavior under XP and above

| Сообщение посчитали полезным:

Jupiter пишет:
ASPack v2.24
Раскриптовал пизженые функи, если кому нужно - говорим не стесняемся, сделаю патч и кину в протекторы.

| Сообщение посчитали полезным:

Просмотрел и распаковал новые версии протектора 1.56 build 03.17 и 2.56 SKE buid 03.17. Ничего нового, для распаковки, я там не увидел. Выложенные ранее мной скрипты прекрасно работают и на этих новых версиях.

| Сообщение посчитали полезным:

vnekrilov
Гыыыыы... А чему там менятся то?

progopis пишет:
ASProtect 1.56 Beta
=========================================
- Fixed loading problem of ASR-enabled EXE files under Vista and above
* Minor internal fixes
* Сorrections in manual

ASProtect 2.56 SKE Beta
=========================================
- Fixed loading problem of ASR-enabled EXE files under Vista and above
- Fixed crash during unloading of certain protected DLLs
- Corrected Keygen IDE mode selection behavior
- Corrected ASProtect IDE main window behavior under XP and above

Пофиксили какую-то херню (простите за выражение). ничего сверхъестественного не изменили, особенно радует вот это: Сorrections in manual

| Сообщение посчитали полезным:

Возможно что-то меняли в ВМ. Такую информацию умный разработчик не станет добавлять в ченджлог.

| Сообщение посчитали полезным:

vnekrilov релиз будет (а то влом китайской ЛПК пользоваться)?

| Сообщение посчитали полезным:

MasterSoft пишет:
особенно радует вот это: Сorrections in manual

и при этом в мануале описание к GetKeyDate дано как GetKeyExpirationDate %)

аспак у тя с ключом?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
аспак у тя с ключом?
не, все восстанавливал без ключа.

Jupiter пишет:
и при этом в мануале описание к GetKeyDate дано как GetKeyExpirationDate
забавно

| Сообщение посчитали полезным:

SYNAPSiS в личном сообщении указал мне на следующую ошибку, которая возникает при запуске дампа распакованной программы:

---------------------------
Application Error
---------------------------
Exception EReadError in module Copy of MyManager_.exe at 0002B693.
Error reading frProgressForm.Position: Property Position does not exist.

Причина появления этой ошибки - это ошибка в скрипте "Восстановление эмулированных подпрограмм в коде программы.osc". Для подсчета числа восстановленных эмулированных инструкций прививка использует адрес 00401004, который предварительно обнуляется скриптом. Если имеются подпрограммы с эмулированными инструкциями, то скрипт, после их восстановления, восстанавливает исходные байты по адресу 00401004. Если же скрипт показывает сообщение "В программе нет подпрограмм с эмулированными инструкциями!", то в старой версии скрипта исходные байты по адресу 00401004 не восстанавливаются, что и приводит к появлению вышеуказанной ошибки. В аттаче я прикладываю откорректированный скрипт "Восстановление эмулированных подпрограмм в коде программы.osc" от 14 апреля 2010, в котором устранена эта ошибка.

Благодарю SYNAPSiS за подсказанный баг.

dd0d_13.04.2010_CRACKLAB.rU.tgz - Восстановление эмулированных подпрограмм в коде программы.osc

| Сообщение посчитали полезным:

SYNAPSiS в личном сообщении указал мне на следующую ошибку, которая возникает при работе скрипта "Восстановление таблицы IAT и вызовов APIs.osc":

Error

OS: Windows XP Professional, SP3
CPU: GenuineIntel, Intel Pentium 4, MMX @ 4990 (sic) MHz

Module name: C:\Program Files\Maple Professional\maple.exe

Application data:
....

Эта ошибка возникла при распаковке программы Maple Professional v7.16. Анализ этой программы показал, что она написана на Borland C++, и причиной, по которой не работает скрипт "Восстановление таблицы IAT и вызовов APIs.osc" является то, что самыми первыми APIs в таблице IAT идут APIs Asprotect, а затем идут APIs системных DLLs. По этой причине, во вспомогательную таблицу не записываются адреса раскриптованных APIs, и прививка дает сбой. Если первой DLL идет обычная DLL, то такого сбоя нет.
Кроме того, у программ, написанных на Borland C++, имеются некоторые особенности построения секции импорта программы. В таких программах между адресами APIs, находящимися в разных DLLs, находятся указатели на имена APIs, которые затираются протектором. И, после восстановления адресов APIs в блоках DLLs, на месте этих указателей находится мусорный код, который нужно убирать. Поэтому, в таких программах, приходится полностью обнулять секцию импорта, чтобы можно было бы записать таблицу IAT без мусорного кода, находящегося на месте указателей на имена APIs.
Исходя из особенностей построения секции импорта, помимо корректировки скрипта "Восстановление таблицы IAT и вызовов APIs.osc", пришлось также откорректировать и скрипт "Восстановление секции импорта (.idata) в распакованных программах.osc". В результате этого, теперь программы, написанные на Borland C++, нормально распаковываются набором откорректированных скриптов.

К этому сообщению я прикладываю откорректированные скрипты "Восстановление таблицы IAT и вызовов APIs.osc" и "Восстановление секции импорта (.idata) в распакованных программах.osc" от 18-19 апреля 2010 года.

9fdc_19.04.2010_CRACKLAB.rU.tgz - Откорректированые скрипты.rar

| Сообщение посчитали полезным:

vnekrilov, стоит ли ожидать в шапке темы появление актуальных скриптов?
К примеру постом выше скрипт от 18-19 апреля 2010 года, в шапке же старая версия.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St]

шапку обновил

-----
EnJoy!

| Сообщение посчитали полезным:

[0utC4St] пишет:
стоит ли ожидать в шапке темы появление актуальных скриптов?

Я продолжаю собирать материал по ошибкам в работе скриптов для распаковки Asprotect. На сегодняшний день некоторые скрипты доработаны с целью расширения их возможностей, или их улучшения. Я еще недельку поработаю над ними, и выложу обновленную версию всех скриптов в одном флаконе.

| Сообщение посчитали полезным: