Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

PE_Kill
Не пойму о чем вы

Бывают ситуации, правда мне попадалось только однажды, когда в запакованном есть ТЛС а в оригинале и соответственно в распакованном ее нет, тогда я забивал нолями.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Поэтому я и прошу прогу, т.к. я такого никогда не видел. В контексте ASProtect это может значить только то, что оригинальная TLS тоже была из нулей, что весьма странно.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

gena-m я почти так и сделал (исходя из статей Архангела) , что типа ТЛС надо, но местами ЧТО в нем не всегда важно

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Скажите, а почему скрипт “Эмуляция APIs Asprotect, вызываемых из кода программы.osc” эмурирует не все API(даже в логе нету её)?
Из 9 (в моем случае), сэмулил только 8
Не сэмулил GetRegistrationKeys, пришлось руками добавить эмуляцию этой апи

| Сообщение посчитали полезным:

VodoleY
Местами и TLS не надо. (З.Ы. Приятно, что те статьи читают)

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

SReg, это ещё полбеды. На некоторых версия ODbgScript > 1.78.3 этот скрипт часто не срабатывает с первого раза, а просто тупо показывает сообщение о том что отработал.
Скрипт Восстановление секции импорта (.idata) в распакованных программах также некорректно работает с некоторыми версия ODbgScript > 1.78.3. Посреди работы вываливается с ошибкой.

Касаемо TLS... На практике встречал только такие варианты:


Если кто встречал вариант который не упомянут на картинке, дайте ссылку на сабж - интересно будет посмотреть.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
Восстановление секции импорта (.idata) в распакованных программах также некорректно работает с некоторыми версия ODbgScript > 1.78.3. Посреди работы вываливается с ошибкой
Взяли империк и восстановил табличку,валентил написал скрипт для чисто красивого завершенния расспаковки программы...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Взяли империк и восстановил табличку,валентил написал скрипт для чисто красивого завершенния расспаковки программы...
Ну собсна этот скрип я использовал всего пару раз imprec решает эту проблему, а там где он буксует нормально тащит Universal Import Fixer.
Так что это не проблема, а вот касаемо скрипта "Эмуляция APIs Asprotect, вызываемых из кода программы" тут дело обстоит хуже.
Когда распаковываешь в режиме "Зомби" (после принятого внутрь или только проснувшись), то можно легко прощёлкать, что скрипт не сработал. Ну как вариант можно откатиться на ODbgScript 1.78.3 на котором глюков с этим скриптом не наблюдалось...

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

vnekrilov пишет:
Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar)
Ссыля нерабочая пишет что "Запрошенный файл удален",обновите пожалуйста.
Заранее спасибо!

| Сообщение посчитали полезным:

demon1232010 пишет:
Ссыля нерабочая пишет что "Запрошенный файл удален",обновите пожалуйста.
--> DowNload<--

| Сообщение посчитали полезным: demon1232010, SReg

SReg пишет:
Скажите, а почему скрипт “Эмуляция APIs Asprotect, вызываемых из кода программы.osc” эмурирует не все API(даже в логе нету её)?

Я специально не писал в скрипте эмуляцию API Asprotect GetRegistrationKeys, поскольку, часто приходится распаковывать программы без наличия регистрационного ключа. Да, кстати, эмуляция этой API и не нужна. Если есть регистрационный ключ, то недостающий закриптованный код легко восстанавливается копи-пастом. А если нет закриптованного кода, то зачем тогда нужна эта API?

[0utC4St] пишет:
На некоторых версия ODbgScript > 1.78.3 этот скрипт часто не срабатывает с первого раза, а просто тупо показывает сообщение о том что отработал.

Весь комплект скриптов нормально работает на всех версиях ODbgScript!. Если он показывает сообщение о том, что нет вызовов APIs Asprotect из кода программы, то значит, что их там и нет. Или эти APIs не нуждаются в эмуляции.

[0utC4St] пишет:
валентил написал скрипт для чисто красивого завершенния расспаковки программы...

Это не совсем так. Немного доработанный скрипт для восстановления импорта нужен для получения рабочего файла Asprotect.dll, необходимого для исследования каких-то моментов. С помощью ImpRec в нем таблицу импорта не восстановишь. Да и этот скрипт помогает лучше узнать структуру импорта, и как восстановить импорт без ImpRec - иногда это бывает полезным, особенно на тех программах, на которых из-за антиотладки валится ImpRec.

| Сообщение посчитали полезным:

ARCHANGEL

Посмотрел твои статьи на forum.reverse4you.org. Очень хорошие статьи, и мне они понравились. Жаль, что ты написал только три части, после чего, видимо, забросил эту работу. А жаль

| Сообщение посчитали полезным:

vnekrilov пишет:
Весь комплект скриптов нормально работает на всех версиях ODbgScript!. Если он показывает сообщение о том, что нет вызовов APIs Asprotect из кода программы, то значит, что их там и нет. Или эти APIs не нуждаются в эмуляции.
Как только появится время - покажу что нет. С конкретными версиями и конкретными сабжами, чтобы можно было проверить.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

VodoleY посмотрел твою программу, ты плохо искал. В распакованной программе TLS лежит по VA 00440000, а забивать ее нулями нельзя ни в коем случае, т.к. при создании первого же потока программа просто рухнет.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

vnekrilov

Спасибо. На самом деле, есть ещё половина четвёртой статьи (в черновом варианте), и только потом я забросил это дело.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

PE_Kill блин, отправил тебе сообщение а потом почила ответ тут. Видимо и есть это моя проблема с обсыпанием проги благодарю за внимание. (ну я не волшебник)

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

[0utC4St] пишет:
Как только появится время - покажу что нет.

Жду примеры.

| Сообщение посчитали полезным:

Начинаю описывать по мере поступления:
Значит сабж - http://www.aggsoft.ru/download/logmonitor5.exe
На ODbgScript 1.78.3 всё ровно, а на ODbgScript 1.81 начинаются странности.
Скрипт "Восстановление секции импорта (.idata) в распакованных программах" при выполнении нам выдаёт ошибку:

Собсна на всех попавшихся под руку программах высыпается с этой ошибкой.
____
На этом сабже http://www.tirika.ru/files/tirika-setup.exe спотыкается скрипт "Поиск OEP (SBOEP)"

Продолжение следует... Если конечно найду эту треклятую программу.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] а у тя 15 часть статей окрыаеца норм? чет скачать скачал, а она не открываеца.
З.Ы в шапку засунули бы линку чтоли....

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY, суммы сверьте. Всё открывается. Ещё раз перезалью.
Распаковка ASProtect (Часть 15).chm


fc25_12.02.2011_CRACKLAB.rU.tgz - Распаковка ASProtect (Часть 15).chm

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] спс, в этот раз все гуд.
Хм. как то странно. Дома эта статься открывается, а на работе на 2ух машинах нифига. (хотя предыдущие 14 открываются нормально). Что то в 15ой части таки не так. (винда везде одна и таже)
=========
ну чеб не липить следующий пост. Вопрос.
Это привязка АсПрота или самописанна?
взять модель винта посчитать через 'Microsoft Base Cryptographic Provider v1.0' RSA хеш, и прилипить к нему закрученную SystemBiosDate?
и еще для чегото тащить серийник заводской винта

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Сабж - www.nikeware.com/download/diffcmdu.exe
Спотыкаемся на скрипте "Восстановление таблицы IAT и вызовов APIs"



... to be continue

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
Сабж - www.nikeware.com/download/diffcmdu.exe
Спотыкаемся на скрипте "Восстановление таблицы IAT и вызовов APIs"
---------------------------
MSG ODbgScript
---------------------------
Было восстановлено "64h" вызовов APIS первого типа, "0h" вызовов APIS второго типа, и "0h" вызовов APIs с дополнительной защитой импорта.
---------------------------
ОК Отмена
---------------------------

ODbgScript v1.80.1

| Сообщение посчитали полезным:

Vovan666, спасибо что намекнул на конкретику.
Выложи версию 1.80.1
____
Win XP SP 3 RUS
ODbgScript v1.78.3
____
Win XP SP 3 RUS
ODbgScript v1.80.6.110
____
Win XP SP 3 RUS
ODbgScript v1.81.6.110
___
Win XP SP 3 RUS
ODbgScript v1.82.3.110
___
Win XP SP 3 RUS
ODbgScript v1.83.1.110
___

результат один

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
Спотыкаемся на скрипте "Восстановление таблицы IAT и вызовов APIs"

Проверил у себя. Скрипт "Восстановление таблицы IAT и вызовов APIs" от 24 ноября 2010, OdbgScript 1.82.6, все работает нормально, без сбоев и ошибок. На всякий случай в аттаче приложен этот скрипт.


6eab_18.02.2011_CRACKLAB.rU.tgz - Восстановление таблицы IAT и вызовов APIs.osc

| Сообщение посчитали полезным: [0utC4St]

vnekrilov, оказалось что у меня (человека следящего за веткой очень внимательно) скрипт от
03 июня 2010
а ваш от
24 ноября 2010

С вашим есессно всё идёт. Всем спасибо!
з.ы. Валентин, последняя просьба - обнови в шапке сборник скриптов на актуальный.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
обнови в шапке сборник скриптов на актуальный.

В связи с отказом винчестера, пришлось восстанавливать много утерянной информации. На днях выложу весь обновленный комплект скриптов от февраля 2011 года. Чуть-чуть подождите.

| Сообщение посчитали полезным:

Решил сегодня выложить комплект скриптов для распаковки Asprotect, доработанных с учетом замечаний и опыта распаковки многих программ, упакованных этим протектором, по состоянию на 19 февраля 2011 года.

Эта же ссылка помещена в шапку топика.

69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

| Сообщение посчитали полезным: [0utC4St], Gideon Vi, Ankaan2, _ruzmaz_

Выкладываю также статьи по распаковке Asprotect - части 15 и 16, выпуск 2, которые некоторые читатели этого топика не могут найти по старым ссылкам.

Эта же ссылка помещена в шапку топика.

0a66_18.02.2011_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (части 15 и 16, 2-й выпуск).rar

| Сообщение посчитали полезным: VodoleY, mak

[0utC4St] пишет:
На этом сабже www.tirika.ru/files/tirika-setup.exe спотыкается скрипт "Поиск OEP (SBOEP)"

Посмотрел на эту программу. Она упакована Asprotect v1.22 - 1.23. Скрипты же написаны для распаковки протекторов начиная от 1.32 и старше, о чем указано в заголовке каждого скрипта. Поэтому, скрипт не находит нужную цепочку байтов, и спокойно запускает программу.

Обращайте внимание на версию протектора, которым упакована программа.

| Сообщение посчитали полезным: [0utC4St]