Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

Lauarvik пишет:
некорректно работает скрипт
Я всегда делаю себе копию распакованного файла с мусорным кодом. После очистки мусорного кода, гоняю программу на всех режимах, и, если программа где-то падает, смотрю причину падения, и восстанавливаю поврежденную инструкцию с помощью резервной копии файла.

| Сообщение посчитали полезным: ClockMan, nikvo

Попалась интерестная прога накрытая ASProtect,на котором скрипт Восстановление таблицы IAT и вызовов APIs давал сбой,виновником оказалась строчка sub temp_2,90 из процедуры string_60_found из за этого находилась неправельно комманда MOV BYTE PTR [EAX],0D6,(вычитался слишком малый диапазон),чтобы всё пошло гладко я изменил в скрипте комманду sub temp_2,90 на sub temp_2,A0.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: vnekrilov, SReg, mak, nikvo

Спасибо vnekrilov'у за подробный мануал. Но я столкнулся с такой проблемой - шаг за шагом дошел до 8-й части и застопорился на выполнении скрипта Перенаправление прыжков из кода программы в новую секцию файла. Скрипт выбивает ошибку, а в результате трассировки видно, что срабатывает не первый bp, а второй. Подскажите, означает ли это, что я сделал что-то неправильно на предыдущих шагах? И как теперь можно продолжить распаковку?
VerA 2.0.3 показывает версию протектора - 2.56 build 03.17. Выполнял перенос Stolen Code в секцию файла RSRC

20a5_29.01.2013_EXELAB.rU.tgz - privivka.png

| Сообщение посчитали полезным:

vnekrilov пишет:
DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

Давно хотел иметь эти статьи в формате PDF. Кинулся качать, получаю ошибку:

Download permission denied by uploader. (0b67c2f5)

Нельзя ли перезалить или получить "Download permission" ?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
http://rghost.ru/43408759

| Сообщение посчитали полезным: plutos

спасибо.. в скрипте "Восстановление таблицы IAT и вызовов APIs" понадобилось удалить PAUSE на строчке 1869 (иначе скрипт дальше не шел), и вместо скрипта "Восстановление секции импорта (.idata) в распакованных программах" воспользовался ImpRec'ом (скрипт имена АПИ коверкал)

конвертировал первый и второй циклы статей в ПДФ:
--> первый цикл <--
--> второй цикл <--

| Сообщение посчитали полезным:

DriEm
Пишет
Скачивание невозможно
Download permission denied by uploader. (0b67c2f5)

| Сообщение посчитали полезным:

alexpol

залил еще сюда

первый цикл:
--> Link <--

второй цикл:
--> Link <--
--> Link <--

| Сообщение посчитали полезным: alexpol

Не захотел новую тему создавать, тема по ASProtect 64 тоже не нашлась по поиску. Может название другое. Вопрос - может у кого появилась возможность защищать Пе файлы полной версией?! Я бы хотел попросить 3 - 4 варианта накрытых АСПротект с разными опциями защиты, лицензионной версией, в трех экземплярах, например виндовс блокнот, mspaint, экранную клавиатуру. Для личного изучения конечно. Спасибо!

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

asprotect64 - это старфорс в чистом виде. Никакого отношения к старому аспротекту не имеет(защита).

| Сообщение посчитали полезным:

DriEm пишет:
в скрипте "Восстановление таблицы IAT и вызовов APIs" понадобилось удалить PAUSE на строчке 1869 (иначе скрипт дальше не шел)
В окне скрипта жмешь пробел и он продолжает работать.

| Сообщение посчитали полезным:

а Vovan666 стратил вопросу было больше 3.5 месяца некро

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Nightshade пишет:
asprotect64 - это старфорс в чистом виде. Никакого отношения к старому аспротекту не имеет(защита).

Я в курсе , это ничего не меняет, вопрос остается открытым.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

возьми любую игру накрытую старом. блокнот тебе никто не даст. защитить файл стоит 50-70 тыс

| Сообщение посчитали полезным:

Nightshade пишет:
возьми любую игру накрытую старом. блокнот тебе никто не даст. защитить файл стоит 50-70 тыс

ASProtect - License for a firm or a company - €376
ASProtect 64 (License for a company) 1 year updates and support subscription - €189

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

50-70 - это, насколько я помню, накрытие файла с сапортом. Макросы, шмакросы и т.п.

| Сообщение посчитали полезным:

Не важно! В массы это не пойдет. ASProtect был сделан для шароварщиков-одиночек. Их воротит от идеи server-side защиты. То, что они предлагают - это другая, новая ниша. Тут должен другой класс заказчиков появится, но его не будет, потому что... ну вы сами знаете =) И именно поэтому контора на гране банкротства и всё такое.

| Сообщение посчитали полезным:

DrGolova, с нишой это вы правы, но как же участие в сколково и попил всем офисом?

| Сообщение посчитали полезным:

при использовании скрипта: ASProtect 1.3x - 2.xx Unpacker v1.15F, выскакивает ошибка защиты (Protection Error) Error: 57.
peid говорит: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
Что означает этот код ошибки?
При использовании скрипта от vnekrilov: "Восстановление секции импорта (.idata)" при запросе на восстановление, если оставить найденный адрес по умолчанию, то выдаёт ошибку:
Error on line 377, Text: jne Check_ntdll
если ввести вручную адрес, то ошибка та же...
//
Благодарю Vovan666.
А затем следуя статье разбирать VM, да?

| Сообщение посчитали полезным:

Rio пишет:
выскакивает ошибка защиты (Protection Error) Error: 57
Отладчик палится?
Rio пишет:
При использовании скрипта от vnekrilov: "Восстановление секции импорта (.idata)" при запросе на восстановление, если оставить найденный адрес по умолчанию, то выдаёт ошибку:
Error on line 377, Text: jne Check_ntdll
Этот скрипт специфичный и он работает(и то не всегда) только на какой-то старой версии ODbgScript,
лучше не используй этот скрипт, а вручную восстанови импорт импреком.

| Сообщение посчитали полезным:

О статьях vnekrilov'a.
Тестировал на днях кое-какой софт по работе с HTML и PDF (не имеющий отношения к Aspr'у).
Ну и взял для "потестировать-на" этот мануал (хорош!). Тот софт, вроде, в порядке, - но неважно.
А вот результаты удалять стало жаль. Вкратце - все части 1..16 второго издания свалены в один PDF файл.
Получилась вполне удобная вещь, и размер - 17Mb реальный, в отличие от сделанного DriEm'ом (70Mb).
Я не знаю, почему так получилось. Словом, заливаю для интересующихся:-->pass:Vnekrilov2<--

| Сообщение посчитали полезным: vnekrilov, neoBlinXaker

dosprog
А как софт называется? пригодится.

| Сообщение посчитали полезным:

Пробовал при помощи скриптов распаковать "Навигатор Нумеролога", pifagor.org.
На программе самая распространенная 1.35 билд 0425, но :

Первый скрипт для поиска ОЕР



Что было сделано не так?

| Сообщение посчитали полезным:

Имеется софт (esr.exe)
--> Link <--
Накрытый Аспром.
Этот модуль загружается из BootCD (PE-сборка из Висты)
Его необходимо отучить от сборки.
После распаковки и патча, прога валится на scrambled коде, скорее всего в сборке идет расшифровка по ключу.
Скажите, где в реестре хранятся ключи аспра ?, реестр BootCD в наличии.
Нужно при распаковке правильно расшифровать scrabled cоde.

| Сообщение посчитали полезным:

YURETZS пишет:
прога валится на scrambled коде, скорее всего в сборке идет расшифровка по ключу.
Не факт что валится из-за отсутствия кода.
YURETZS пишет:
PE-сборка из Висты
А под этой сборкой другие проги нельзя пользовать, например, PE Tools, чтобы сделать дамп запущенной зареганной проги, а потом из него перенести раскриптованный код в распакованный комазом exe? Найти такой код не сложно, по сигнатуре - E9 01 00 00 00.

| Сообщение посчитали полезным:

__X3__
Хорошая идея, надо будет попробовать, только импорт скорее всего придется вручную править.

| Сообщение посчитали полезным:

__X3__
Pe-Tools не запустился под сборкой, выругался на какой-то ocx.
А вот OLLY -боекомплект с плагинами запустился.
Вопрос - каким скриптом сделать рабочий дамп и в каком месте, можно ли дампить код уже запущенной проги ?

| Сообщение посчитали полезным:

YURETZS
Запускаем скрипт "Восстановление таблицы IAT и вызовов APIs.osc", смотрим в окне лога:
* Вызов из Asprotect.dll API GetEncryptProc: 004440F0
* Вызов из Asprotect.dll API GetDecryptProc: 004440E0

Вот это - GetDecryptProc: 004440E0. Смотрим что там:

По 4FF294 прописывается адрес аспровой апи GetDecryptProc. Делаем анализ кода проги в отладчике и ищем где ещё используется данный адрес:

Если посмотреть откуда вызывается код 00444110, 004442C6, то можно понять, что есть всего один участок с криптованным кодом:

Чем вытащить этот код без разницы, можно вообще не дампить, а просто запустить прогу под отладчиком скопировать раскриптованный код бинарно и оформить в текстовый файл. И далее на нормальном дампе его также бинарно вставить и сохранить изменения. А можно плагином - Multiline Ultimate Assembler.

P.S. Читайте статьи с примерами по распаковке, чтобы понять в какой последовательности пользоваться скриптами.

З.Ы.
вот ещё нашел два участка


| Сообщение посчитали полезным: YURETZS

__X3__
Спасибо за разъяснения и правильную распаковку.

| Сообщение посчитали полезным:

А прогу, пакованную аспром с применением виртуальной машины, которая переносит код из оеп в свою секцию да еще и мусорит код там, реально распаковать так, чтобы код выглядел как в орининальной неупакованной программе ? Если да, то существуют скрипты для вычистки кода от мусорных инструкций, чтобы ему можно было придать первоначальный вид ?

| Сообщение посчитали полезным: