Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

На протяжении нескольких месяцев, с момента публикации серии статей по распаковке программ, упакованных Asprotect, ко мне поступили предложения описать процесс распаковки DLLs, упакованных этим протектором. Поскольку при распаковке DLLs имеются некоторые нюансы, я решил написать небольшой туториал, в котором описал процесс распаковки реальной DLL, упакованной данным протектором. Буду очень признателен за замечания, критику и пожелания.

8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect (часть 14, выпуск 2).chm

| Сообщение посчитали полезным:

В связи с тем, что мной была выложена статья по распаковке DLLs, упакованных Asprotect, мной был доработан комплект скриптов, который теперь может выполнять распаковку DLL. Весь комплект скриптов помечен датой выпуска - 03 июня 2010 года.

В аттаче приложены обновленные скрипты для распаковки Asprotect от 03 июня 2010 года.

4024_03.06.2010_CRACKLAB.rU.tgz - Скрипты от 03 июня 2010.rar

| Сообщение посчитали полезным:

Текущая рекомендуемая версия ODBGScript - 1.78.3

ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

| Сообщение посчитали полезным:

Сегодня ко мне поступил интересный вопрос по распаковке одной программы. В ней автор вопроса секцию импорта восстанавливал с помощью ImpRec, но, после применения скрипта "Перенос данных из секции mackt, созданной ImpRec, в родную секцию импорта файла.osc ", дамп этой программы не загружается в отладчик. Причина ошибки автора вопроса заключается в том, что при запуске утилиты ImpRec, он не удалил флажки из опций New Imports, на вкладке Options. Когда во всех чекбоксах этой опции стоят флажки, то утилита ImpRec полностью записывает всю секцию импорта в секцию mackt. ImpRec создает секцию импорта в таком порядке:
1. Таблица IAT
2. Таблица импорта
3. Область имен DLLs и APIs.

При распаковке Asprotect, я всегда оставляю таблицу IAT на ее родном месте, поскольку мне встречались программы, у которых был сперт код, и который был перенесен в другие области памяти. Когда ImpRec создает новую новую IAT, то он переписывает ссылки на вызовы APIs в секции кода программы на новые адреса таблицы IAT. Но он, естественно, ссылки ищет только в секции кода программы, и не ищет их в областях со Stolen Code. В итоге получается, что вызовы APIs в этих областях не переписываются на новые ссылки, и такую распакованную программу нельзя запустить на другом компьютере. По этой причине я всегда оставляю таблицу IAT на ее родном месте.

Когда убраны все флажки в секции New Imports, то ImpRec сначала записывает таблицу импорта, а затем - область имен DLLs и APIs. И тогда скрипт "Перенос данных из секции mackt, созданной ImpRec, в родную секцию импорта файла.osc " корректно работает.

Прошу всех читателей этого топика обратить на это свое внимание!!!

| Сообщение посчитали полезным:

хм, а моя программа падает при старте/аттаче ollydbg (имя модуля с ошибкой - netapi32.dll). Phantom включен.

| Сообщение посчитали полезным:

Dvlpr
Вряд ли это аспр, если только кастомный, в общем пост бесполезен, пока нет самого файла.

| Сообщение посчитали полезным:

хм.

Бинарник тут: rapidshare.com/files/405165309/app.rar

| Сообщение посчитали полезным:

EDIT: Оказывается, это из-за "Protect DRx" (phant0m). После того, как я снял эту галку, программа запустилась нормально. Теперь не работает скрипт на распаковку таблицы INIT (программа просто запускается, при нажатии на паузу скрипт сообщает, что программа не остановлена на Hardware Breakpoint). Хелп.

| Сообщение посчитали полезным:

с твоей прогой все скрипты работают. В Phant0m все опции вкл., StrongOD всё выкл
версия ODBGScript из шапки

| Сообщение посчитали полезным:

Уважаемые читатели топика. SYNAPSiS в личном сообщении указал на баг в работе скрипта "Восстановление таблицы IAT и вызовов APIs.osc" при работе на одной из защищенных программ. Причина бага заключается в том, что эта программа содержит очень большое число вызовов эмулированных APIs, и последний адрес вызова эмулированной API находится далеко за пределами 6000h байтов, которые были заложены в этом скрипте. Этот баг устранен в скрипте от 20 июля 2010 года, который приложен в аттаче. Приношу искреннюю благодарность SYNAPSiS за указанный им баг.

1e6c_20.07.2010_CRACKLAB.rU.tgz - Восстановление таблицы IAT и вызовов APIs.osc

| Сообщение посчитали полезным:

vnekrilov
Вижу, что Поправлено

Но в Скрипте Ещё Есть Место

В котором Ничего Не Изменено ! Это Не Повлияет На Работу скрипта ?

| Сообщение посчитали полезным:

Приветствую. Имеется софтина которая защищена ASProtect и при запуске
требует ввести PASSCODE который привязан к серийному номеру винчестера HW ID.
Также есть 3 комплекта HWID, NAME, PASSCODE сгенерированных для других PC.
Как можно подставить HWID другово PC чтоб запустить прогу?
При загрузке сота в Olly софтинка сразу детектирует Debuger и предупреждает потом закрывается.

| Сообщение посчитали полезным:

выкладывай, посмотрим

-----
SaNX

| Сообщение посчитали полезным:

Вот софтина с 3-мя ключами.
Мой HWID: 1C4C0A40-67B8

От модератора: кнопка Правка незаметна? Ну давай я за тебя

412d_01.08.2010_CRACKLAB.rU.tgz - InfraRed.rar

| Сообщение посчитали полезным:

дай всю прогу, а то не пускаеццо, говорит cannot run ir.has как-то так

-----
SaNX

| Сообщение посчитали полезным:

Вот полная версия софта.
http://rapidshare.com/files/410508918/DUMP_7_2008.RAR
Защищены только файлы IR.EXE и DUMP.EXE

| Сообщение посчитали полезным:

Держи распакованный, не надо ключей вообще.

http://rapidshare.com/files/410519043/IR_unpacked.rar

Какой-то говнософт странный, под 7-кой не пускаеццо, под хр - нормально.

UPD: о бля пиздец. Файлы под аспром запускают файлы под темидой и в цикле ждут, когда в памяти появиццо какое-то значение и потом пишут нужное, походу из-за этого и не пускаеццо под семеркой.

-----
SaNX

| Сообщение посчитали полезным:

Спасибо... подключил интерфейс. Всё заработало...
Если ни секрет... чем распаковывал?

| Сообщение посчитали полезным:

стриппером хуле

-----
SaNX

| Сообщение посчитали полезным:

Кому интересно пройти всё вручную
Image Base DLL ASPR==>00910000
/*93C92C*/ TEST EAX,EAX
/*93C92E*/ JNZ SHORT 0093C934
/*93C930*/ XOR EAX,EAX
/*93C932*/ JMP SHORT 0093C936
/*93C934*/ MOV AL,1
/*93C936*/ MOV [9526D4],AL============>al 1 проверка пороля прошла норм
/*93C93B*/ CMP BYTE PTR [9526D4],0
/*93C942*/ JNZ SHORT 0093C95C
/*93C944*/ PUSH 30
/*93C946*/ MOV EAX,[952A48]
/*93C94B*/ ADD EAX,0B1
/*93C950*/ PUSH EAX
/*93C951*/ PUSH 93C964 ; ASCII "Key is not valid, please try again!"
/*93C956*/ PUSH EBX
/*93C957*/ CALL 00916168 ; JMP to user32.MessageBoxA
/*93C95C*/ MOV AL,[9526D4]
/*93C961*/ POP EBX
/*93C962*/ RETN

IR.EXE Это лоадер с размером кода 102 байта

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Что то не могу ничего скачать из аттачей именно этого топика, в других топиках нормально качается.

Да, теперь нормально скачалось... чудеса.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

все что приатачено в шапке, нормально качается

| Сообщение посчитали полезным:

Народ, расскажите, что это за фитча (Аспра?)
Aspr [2.56 build 03.17] Registered


Без ключа:
EB04 D14E33FB E91D000000 81 8AFD1ED9F4 7B4988B3514FF0B3D71128A8AC243A30B9 EB04 1C340328
С ключем:
EB04 D14E33FB E90BA27902 81 E90AA27902 7B4988B3514FF0B3D71128A8AC243A30B9 EB04 1C340328

Причем регион, на который указывает выделенный джамп, при запуске проги без ключа отсутствует!

| Сообщение посчитали полезным:

0xy пишет:
Причем регион, на который указывает выделенный джамп, при запуске проги без ключа отсутствует!
Ну спёр аспр код чтоб нельзя было дамп снять встречал такое

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan да такое есть почти во всех аспровых прогах. Код расшифровывается только если есть ключ, причем в 2.X аспре, да и сейчас почти во всех 1.X аспрах код расшифровывается не в секцию кода, а в выделеный кусок памяти. И там он не имеет оригинального вида, а заморфлен и имеет входы в ВМ.
По этому мало восстановить и приляпать эту секцию к файлу, надо восстановить еще все ВМ инструкции.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

причем в 2.X аспре, да и сейчас почти во всех 1.X аспрах код расшифровывается не в секцию кода, а в выделеный кусок памяти.
Н-да, отстал я от жизни

Тогда может подскажите, как найти проверку экспирации ключа? (самим Аспром)

| Сообщение посчитали полезным:

0xy немного не понятен вопрос из-за слово "экспирация". Тебе нужна дата действия ключа?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Это от слова expire, проверка на истечение ключа.

| Сообщение посчитали полезным:

0xy проверка истечения находится в VM аспра. Самое простое решение, это переловить системную функцию получения даты и времени GetSystemTime и подменить значение.

Это в случае инлайна, в случае распаковки, перед распаковкой просто переведи время на компе, и ключ снова заработает, и восстановит спертые байты.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

vnekrilov

Как открыть журнал регистрации чтобы увидеть результат работы скрипта? По L я ничего не увидел.

| Сообщение посчитали полезным: