Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

vnekrilov пишет:
Подсчет CRC проводится с помощью подпрограммы, которая имеет указанный мной вид в заголовке топика
Т.е. вм используется в т.ч. для расчёта crc, это что то новое, давай разбор, интересно

vnekrilov пишет:
А нельзя ли им поделиться?
можно, залью как домой вернусь с работы.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

ASProtect 1.41 build 02.26 Beta
=========================================
- Fixed crash during inital registration keys generation on DEP-enabled systems
* Legacy Hardware Ids are no longer accepted

hxxp://rapidshare.com/files/116289212/setup.rar.html

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

vnekrilov пишет:
где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.
Хз.может rdtsc заюзали, ща это модно
//Ваща молодец, настойчиво долбишь...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Smon пишет:
ASProtect 1.41 build 02.26 Beta
Product Version : 1.4 build 02.26 Beta

4t
Выложи, плииз ASProtect 1.4.build 11.20 Release

| Сообщение посчитали полезным:

Gideon Vi пишет:
Насколько я вижу, в эбауте версия v2.4 build 02.26, да и утиль для определения вресии выдаёт этот билд.
Угу они уже давно забили на обновление эбаута и других подобных вещей, версию можно узнать только на форуме.

vnekrilov пишет:
Но имеется еще две очень интересные проверки, где с помощью CRC вычисляется offset в AsProtect.dll, который указывает, откуда должно быть продолжено выполнение программы.
Эта проверка давно уже в аспре, когда она появилась виртуальной машины еще не было, сейчас просто она более качественная. Кто часто инлайнит разные версии аспра, тот знает про нее. Еще алекс писал что нужно восстанавливать хуки при инлайне, это как раз чтобы эта проверка не сработала.

Bronco пишет:
Хз.может rdtsc заюзали, ща это модно
Применяли в 2х билдах беток, потом убрали. В аспре только самые надежные методы.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

0xy
Держи, версия отломана и накрыта темидой.
rapidshare.com/files/116411187/ASProtect.v1.4.build.11.20.7z

| Сообщение посчитали полезным:

Spirit пишет:
Если не тяжко, залей плиз все.

4t пишет:
Если не тяжко, и вправду залей все.

[см. след. пост (thanx tempread)] [86 MB]

UGFzc3dvcmQ6IHN5bjlvMzI3biYoXk5EZGY5Nw==

| Сообщение посчитали полезным:

arnix пишет:
кто-нибудь добрый и с хорошим каналом, скачайте и залейте на обменник
UGFzc3dvcmQ6IHN5bjlvMzI3biYoXk5EZGY5Nw== http://upload.com.ua/link/900250883

| Сообщение посчитали полезным:

4t а пасс какой?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin
ты недостоен распаковать архив, если незнаешь пароль

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

а есть без версия без темиды? а то он очень уж долго запускается... =/ иногда ваще в бсод улетате... =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

arnix
Спасиб.

Spirit


Talula
Ты про версию 1.4.build.11.20? У меня нету.

Шутники блин, отломают прот, прилепят своё имя, чем-нибудь жестким накроют, потом кто-нибудь веселый уже эту бодягу отломает ... и так по кругу, весело

| Сообщение посчитали полезным:

и про 1.4 и про 2.4... оба сцуко тяжёлые для загрузки... =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Del

| Сообщение посчитали полезным:

Сегодня, на http://www.sendspace.com/file/fv551r http://www.sendspace.com/file/fv551r я выложил небольшую статью, в которой я описал антиотладку, восстановление эмулированных подпрограмм и прохождение на SBOEP для программы Asprotect v2.41 build 02.26. К этой статье приложены два скрипта, для прохождения на SBOEP и восстановления эмулированных подпрограмм. Если будет интересным восстановление таблиц INIT и IAT, Stolen Bytes, закриптованных участков кода, то я могу продолжить подготовку таких статей.

Буду признателен за критику, замечания и пожелания.

| Сообщение посчитали полезным:

vnekrilov пишет:
"Как обычно, загружаем программу в отладчик, и нажимаем клавишу F9, чтобы запустить программу. Программа, с этими настройками нормально запускается в отладчике. Однако, при установке опции “Protect DRx”, получаем следующее сообщение:"
Скорее всего анализировался взломанный аспр, попробуй проанализировать оригинальный, там этого нет, потому как патч использует DR0 регистр.
PS: Для точного определения версии лучше всего использовать не peid'ы и не RDG Packer Detector'ы, а программку ASPRInf от nik0g0r'а.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Скорее всего анализировался взломанный аспр, попробуй проанализировать оригинальный, там этого нет, потому как патч использует DR0 регистр.

Я именно анализировал оригинальный аспр. Причина заключается в том, то Phantom патчит API KiUserExceptionDispatcher. При патчировании этой API, не генерируется второе исключение, и не срабатывает второй обработчик исключений, который патчит инструкции в Asprotect.dll. Поэтому программа не проходит проверку CRC, и показывает мессагу о повреждении файла.

| Сообщение посчитали полезным:

vnekrilov пишет:
Я именно анализировал оригинальный аспр.

если ты про релиз REVENGE, то там в дистрибе НЕ оригинальный аспр, а патченный
если же у тя есть оригинальный немодифицировнный ASProtect v2.41 build 02.26, то выложи его плз

-----
EnJoy!

| Сообщение посчитали полезным:

Люди сделайте доброе дело. Запакуйте плз последней версией aspr`a любую dll`ку из папки winxp\system32 выложите куда нибудь.

| Сообщение посчитали полезным:

Medsft
msports, 41.5 kb => 335.5 kb

2428_06.06.2008_CRACKLAB.rU.tgz - msports.dll

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Спасибо

Только еще один вопрос версия пакера какая?

| Сообщение посчитали полезным:

ASProtect SKE 2.41 build 02.26Beta, это пока что последняя официальная версия.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon еще раз спасибо
vnekrilov монстр слов нет.
Но вот вопрос возможно ли сделать скрипты из статьи универсальными или нет.

ЗЫ. И вот еще что не хочу хвалиться но вот при прочтении сего опуса пришла ко мне "шальная мысль" а не попробовать ли мне ту версию ольки где пропатчено место обработки Memory breakpoint с access на execute и прикиньте работает С огромной долей уверенности могу сказать что если поставить BPM на секцию code проги и нажав F9 через 2 повторных нажатия мы оказываемся на OEP проги. Метод этот работает на всех известных мне накрытых этим протом прогах.
ЗЫЗЫ.

| Сообщение посчитали полезным:

БПМ на код далеко не всегда у аспра выведет на ОЕП, по крайней мере в ехе, ибо может быть потырена вся основная ветка в аллоченную память.

| Сообщение посчитали полезным:

Archer пишет:
БПМ на код далеко не всегда у аспра выведет на ОЕП спорить не буду может просто не попадались.

| Сообщение посчитали полезным:

Medsft пишет:
Метод этот работает на всех известных мне накрытых этим протом прогах.
Этот метод будет стабильно работать только в библиотеках, ибо ни один аспр не ворует оеп у библ, по всей видимости из-за сложностей в реализации, а в обыкновенных исполняемых файлах в случае отработавшей опции Stolen OEP кроме основной ветки тырятся еще и подветки, так что борода твоему методу Другой вопрос в том, что на части исполняемых файлов эта опция не работает (например, на некоторых асм файлах), а на некоторой другой части девелоперы не всегда удосуживаются почекать эту опцию

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

А что нельзя использовать теорию vnekrilov`а по нахождению ворованного после bpmx ведь как я понял и он анализирует прогу стоя на так называемом boep который находиться в секции code

| Сообщение посчитали полезным:

Smon пишет:
ни один аспр не ворует оеп у библ, по всей видимости из-за сложностей в реализации
+1
//возможно из-за релоков

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Medsft пишет:
Но вот вопрос возможно ли сделать скрипты из статьи универсальными или нет.


Не получается! Я проверил несколько последних версий аспра, по восстановлению эмулированных инструкций. В каждой версии, в таблице ТЭИ используются разные адреса, которые содержат нужные данные для восстановления кода подпрограммы. Поэтому приходится делать сравнительную таблицу этих адресов, и выполнять их корректировку. Хотя, если использовать оригинальные инструкции CALL EDX, то, вероятно, это возможно сделать. Но скрипт будет усложнен. Хотя можно попытаться это сделать.

| Сообщение посчитали полезным:

vnekrilov пишет:
Но вот вопрос возможно ли сделать скрипты из статьи универсальными или нет.
Так у волка универсальные скрипты

| Сообщение посчитали полезным: