Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

vnekrilov, мой недосмотр. Спасибо. В ЛС кинул слёзную просьбу одного ребёнка....

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

Появился ли у кого-либо дистрибутив Asprotect 2.59 (не Демо-версия!)? Если у кого-либо он появился, поделитесь, пожалуйста.

| Сообщение посчитали полезным:

vnekrilov, достали дистрибутив? Есть какие-нибудь новшества? И главное: скрипты годные для 2.59 (не надо ли допиливать)?
з.ы. Человек обещал кинуть фулл, но пропал

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
vnekrilov, достали дистрибутив?

Жду!!! Возможно, что кто-то откликнется.

| Сообщение посчитали полезным:

"Домашняя бухгалтерия" (keepsoft_dot_ru) упакована 259 вроде.
Скрипт от VolX говорит что unknown Asprotect API на одну из функций при распаковке.

| Сообщение посчитали полезным:

stasionok пишет:
Скрипт от VolX говорит что unknown Asprotect API

VolX уже давно не корректировал свой скрипт. И в его скрипте имеется не совсем корректная обработка APIs Asprotect, которая и вызывает сообщение unknown Asprotect API. Когда я дорабатывал домашнюю бухгалтерию, она не была упакована Asprotect 2.59. Хотя, возможно, автор выложил новую версию этой программы, где и применил последнюю версию этого протектора. Надо будет посмотреть.

Желательно найти дистрибутив этой версии протектора, поэтому я и жду, что кто-либо откликнется, и поделится.

PS. Да, верно! Последняя версия программы защищена Asprotect 2.59 build 12.08.

| Сообщение посчитали полезным:

Нашел одну неприятную ошибку в скрипте - Восстановление эмулированных подпрограмм в коде программы.

Вот в этом месте лишняя команда STI


а нужно чтобы было так


Из за этого исполняется лишняя команда PUSHAD, и когда далее запускается виртуальная машина для восстановления эмулированных инструкций она получит не корректные данные через стек.

| Сообщение посчитали полезным:

P.S. Разобрался, это не ошибка, работа команы RTR зависит от настройки отладчика

| Сообщение посчитали полезным:

При распаковке программы Advanced Find and Replace 6.1 я столкнулся с интересной ошибкой скрипта "Восстановление таблицы IAT и вызовов APIs.osc". Скрипт, при распаковке этой программы, показал следующее сообщение "Внимание! Новая версия Asprotect.dll! Откорректируйте код виртуальной машины для этой версии Asprotect.dll", и это не смотря на то, что программа упакована относительно старой версией протектора. Анализ работы скрипта показал, что в Asprotect.dll для этой программы заголовок массива данных для эмулированных инструкций, и сам массив данных не находятся вместе, а разнесены друг от друга на значительное расстояние - 17C90h байтов, хотя заголовок массива данных имеет размер - 1Ch байтов. С такой реализацией я встретился впервые, поэтому пришлось откорректировать скрипт, и ввести дополнительный поиск других вызовов эмулированных инструкций, в которых заголовок и массив данных находятся рядом. Если же во всех найденных вызовах эмулированных инструкций размер заголовка массива данных не будет равен 1Ch или 5Ch байтов, тогда скрипт покажет сообщение о новой версии Asprotect.dll

Поскольку я снова откорректировал скрипт "Восстановление таблицы IAT и вызовов APIs.osc", то аттач к этому топику я удалил, а откорректированный скрипт приложен в аттаче к следующему топику.

| Сообщение посчитали полезным:

Здесь я выкладываю откорректированный скрипт "Восстановление таблицы IAT и вызовов APIs.osc".

1509_21.03.2011_CRACKLAB.rU.tgz - Восстановление таблицы IAT и вызовов APIs.osc

| Сообщение посчитали полезным: hlmadip, Gideon Vi, SReg, d0wn, [0utC4St], DimitarSerg

Восстанавливаю исходники интерпретатора ASProtect VM, который работает только для ASProtect.DLL, и вот что то ступор у меня. Есть там примитив:


Разве есть у процессора инструкции, позволяющие напрямую читать/писать в младший байт регистров SP, BP, SI, DI? Или есть команды косвенно его меняющие? Мне кажется это просто бред не выспавшегося программиста, т.к. интепретироваться это не может хотя бы потому, что контекст ВМ выглядит так:

А скомпилированный код работы со спец регистрами так:

Т.е. массив со спец регистрами находится по смещению +10, а массив с нормальными регистрами по смещению +20,

Т.е. при условии, что регистр должен быть больше или равен 4, то алгоритм залезет в массив с нормальными регистрами. А ошибка кроется в неправильном объявлении массива. Там скорее всего объявлено так:

а должно быть либо так:

либо работать с массивом так:


Ну и собственно интересует ответ на вопрос, озвученный в начале.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Возможно, аспр готовится к х64 на одних сорцах, ибо там есть spl,bpl,sil и dil регистры.

| Сообщение посчитали полезным:

На сайте разработчика появилась информация о выходе новых версий продуктов:

ASProtect 1.61
ASProtect 2.63 SKE


Может ли кто-либо поделиться дистрибутивами этих программ?

| Сообщение посчитали полезным:

Дистрибов нет, есть ченжлог:
ASPack 2.28
° Indonesian localization has been added
° Russian GUI messages have been corrected
° Compression algorithm of files with checksum has been fixed
ASProtect 1.61
° New option has been added. It prevents end-users from setting system time backwards and works for time-lim ited Registration Keys
° A crash that occurred after Hardware ID change has been fixed
ASProtect 2.63 SKE
° New option has been added. It prevents end-users from setting system time backwards and works for time-limited Registration Keys

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Всем добрый день. Прошу совета где я че нитак понял.
1. имеем прогу накрытую аспротом.
2. имеем пошифрованный участок кода. ключа естественно нет.
пару дней копал АсПрот.длл а конкретно SetUserKey интересует пару моментов. из того что понял
1. из ключа считаеца хеш типа CRC32
2. Ключом инициируеца MD5 HASH res=16byte
3. Этим результатом инициализируеца RC4 ключ res=256
4. Идет дешифровка данны по RC4
Внимание вопросы.
1. верно ли все перечисленное?
2. где аспр хранит адреса пошифрованных участков? по всей видимости в этой аспр.длл
3. CRC пароля сверяеца ж вроде до начала дешифрования (перед началом дешифрации какойто мутный цикл анализирующий данные блоками по 5A9h байт где и сверяюца хеши)
З.Ы. если я прав, то на ключи длинной не более 4ех байт можно организовать атаку

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY
Какая версия аспра?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL а я х3... ктото вроде выкладывал статический анализатор версии аспра. но чет я его не скачал, а ща найти не могу

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

--> Aspr_Info <-- попробуйте. Там статика и не нужна. Ну, только если PE_Kill очень хочет - мы ж не можем ему отказать (его анализатор)

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

2.58 build 11.11

http://exelab.ru/f/action=vthread&forum=13&topic=11916#30
прочитал. но вопросы поставленный всеже теже

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY
Билд относительно новый, хз. Может, кто и смотрел его - напишут что-то.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

После статьи shooo алго изменили вот так:


ModeP5 - константа P5 из проекта аспра, для текущего ModeID
EncConst - ключ дешифрования кусков кода
EncKey - ключ дешифрования таблиц с адресами пошифрованного кода
EncTable - те самые таблицы
CreateSha256Digest - почти оригинальный алгоритм
CalcSalt - кастомная функция вычисления соли из не перевернутого P5, всегда под VM
XorBuffByTable - цикл ксора таблиц друг на друга DWORD'ами, всегда под VM
XorBuffByConst - кастомная функция шифрования DWORD'ов таблиц, всегда под VM

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: VodoleY, mak

Есть мнение что алго при использовании привязки по ключу ("%ProgramFiles%\ASProtect SKE 2.51 Beta\Examples\User Key\Delphi\.." ) все же другое, проще, старее... извиняюсь, что не уточнил это в первом посте



Причем сам "KEY" при достаточно маленьком размере (а он в экзампле 3 байта а у меня 4) брутица фул менее чем за 12 минут. ибо есть его хеш... где я не прав?

З.Ы. про расшифровку таблицы адресов не догнал. спс
З.Ы.Ы. спасибо ПЕ_Килу.. за подсказки, все получилось все процедуры расшифрованы и восстановлены. Имеем дыру на ключах малого размера (или составленного из малого диапазона символов, например чисел) брут 0..FFFF FFFF вариаций менее 12 минут.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

При работе скрипта "Восстановление секции импорта (.idata) в распакованных программах.osc "получаю сообщение на ввод имени функции. Как это исправить или что туда нужно вводить?

| Сообщение посчитали полезным:

yanus0 попробуй на всякий случай CodeDoctor у мну он в автомате аспр распаковывает

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY
Спасибо, попробую.

| Сообщение посчитали полезным:

ССылки на рапиду в теме не работают, пожалуйста, перезалейте, не могу скачать список программ, использованных в этих статьях.

| Сообщение посчитали полезным:

при запуске "Поиск OEP (SBOEP).osc" выдает "Ошибка!!! Программа не остановлена на подпрограмме записи таблицы IAT!" что делать?

а старый скрипт от 01 декабря 2008 ошибки не выдает..

| Сообщение посчитали полезным:

DAKnnn пишет:
при запуске "Поиск OEP (SBOEP).osc" выдает "Ошибка!!! Программа не остановлена на подпрограмме записи таблицы IAT!" что делать?

Сбрось ссылку на программу, я посмотрю, в чем причина ошибки.

| Сообщение посчитали полезным: DAKnnn

на версии ASProtect [1.56 build 03.17], [Alexey Savin] (по информации ASPrINF v1.6 Beta)
некорректно работает скрипт
"Очистка мусорного кода в областях со Stolen Code.osc"
// Дата - 19 февраля 2011
по причине, что первый байт последовательности, типа
#XXEB02CD20# может являться частью предыдущей команды, после замены которого на 0x90, разумеется, херится алгоритм и программа падает.
ЗЫ: если нужен конкретный дистрибутив защищенной программы, могу скинуть в личку ссылку на него.

| Сообщение посчитали полезным:

Lauarvik пишет:
некорректно работает скрипт
дык написано же
"Предупреждение!!! При работе этого скрипта возможно повреждение кода в некоторых инструкциях!" так же может быть полезен плагин CodeDoctor

| Сообщение посчитали полезным: