Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› Анализ ASProtect
<< 1 ... 36 . 37 . 38 . 39 .
Посл.ответ Сообщение

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 28 марта 2008 15:30 · Поправил: vnekrilov
· Личное сообщение · #1

Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:
Code:
  1. PUSH 0
  2. PUSH 0CC5850
  3. PUSH 0DB180C
  4. CALL 00CEB814


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--



Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

Создано: 14 марта 2017 03:56 · Поправил: SReg
· Личное сообщение · #2

dosprog когда сказать нечего по делу, зачем херню нести? причем тут импорт и какие-то твои проги, если у него с релоками трабла

Jaa пишет:
Заметил что в запакованном файле адреса распаковываются сначало с базой 10000000, а потом какой то цикл их исправляет

--> Link <--
--> Link <--

| Сообщение посчитали полезным: Jaa

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 14 марта 2017 12:11
· Личное сообщение · #3

SReg
То что нужно, как сам не заметил хз. Огромное спасибо



Ранг: 14.3 (новичок), 5thx
Активность: 0.070
Статус: Участник

Создано: 28 марта 2018 00:14
· Личное сообщение · #4

Можно выложить ссылку на pdf?



Ранг: 19.9 (новичок), 31thx
Активность: 0.030.01
Статус: Участник

Создано: 16 августа 2018 09:15
· Личное сообщение · #5

вопросик возник.
есть прога накрыта аспром с коротким ключом. в зависимости от введенного ключа можно активировать редакции Стандарт и Про.
если патчить аспровскую апишку CheckKey путем mov eax, 1 / ret получается версия Стандарт. Получить Про версию никак не получается. Это ж насколько я понимаю тоже аспровский функционал? Как правильно запатчить?




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 16 августа 2018 16:48
· Личное сообщение · #6

evggrig
см. в сторону GetModeInformation

Code:
  1. GetModeInformation ( BYTE ModeID, char** ModeName, PMODE_STATUS mode_status)

Code:
  1. typedef struct _MODE_STATUS {
  2.     BYTE ModeId;
  3.     bool IsRegistered,
  4.           IsKeyPresent,
  5.           IsWrongHardwareID,
  6.           IsKeyExpired,
  7.           IsModeExpired,
  8.           IsBlackListedKey,
  9.           IsModeActivated;
  10. }MODE_STATUS, *PMODE_STATUS;


-----
EnJoy!


| Сообщение посчитали полезным: evggrig

Ранг: 19.9 (новичок), 31thx
Активность: 0.030.01
Статус: Участник

Создано: 16 августа 2018 17:19
· Личное сообщение · #7

Jupiter
а может быть такое что эта апишка не используется в этой проге? я вижу из аспровых только CheckKey и GetHardwareIdEx.




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 16 августа 2018 17:27
· Личное сообщение · #8

evggrig
Да, вполне достаточно CheckKey, он тоже сообщает информацию о режиме:
Code:
  1. CheckKey( char* Key, char* Name, PMODE_STATUS mode_status );

Так что можешь пропатчить структуру, в ней номер режима - первый байт.
Например:
Code:
  1. mov eax, pModeStatus
  2. mov byte ptr [eax], MODE_PRO

Где pModeStatus - указатель на структуру MODE_STATUS с инфой о режиме, а MODE_PRO - это константа режима Professional (подбери самостоятельно)

-----
EnJoy!




Ранг: 29.9 (посетитель), 9thx
Активность: 0.020.06
Статус: Участник

Создано: 28 декабря 2019 00:36
· Личное сообщение · #9

Гуру, подскажите, пожалуйста. Столкнулся с аспром одной из последних версий и есть пара вопросов:

1) в принципе, я разобрался, что с ней делать, но как называется эта api?

Code:
  1. int FUNC(const char* t_key, char *t_buffer, uint32_t wtf)
  2. {
  3.     //описание всей функции одной строкой
  4.     return sprintf(t_buffer, "%s", SOME_VALUE_ARRAY[t_key]);
  5. }


если её перехватывать, то можно выдывать проге свои значения в ответ на её запросы (мне так прогу удалось зарегать);

2) где новый аспр хранит триальные ключи? Я случайно системное время назад перевёл и после этого прога ни в какую запускаться не хочет. Или подскажите, как он делает проверку и можно ли её запатчить?...




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 28 декабря 2019 00:54 · Поправил: difexacaw
· Личное сообщение · #10

[X-Ray]

Протекторы две вещи выполняют, аналогично как они и решаются - статика и динамика. В статике протекторы могут засрать всё, криптовать, морфить и виртуализировать. Поэтому решать это тупиковая затея, особенно вручную. Остаётся динамика.

Любое действие приложения происходит через ядерный интерфейс. Над ним есть очень толстый слой жира в виде винапи, точнее их два, есть есчо промежуточный нэйтив-гуй, там точно сам чёрт ноги сломит, с этими обратными вызовами. Вам это впрочем и не нужно. Всё куда проще, нужно снять лог по сервисам, чего ваш семпл там в ядре дёргает. Есть всякие мониторы и логгеры, но это всё сложно. Проще возьми онлайн монитор, сейчас есть всяких много, ты им загрузишь семпл, вирт машина его прокрутит и отдаст тебе лог активности. Это самый простой путь. Сложнее ты ничего не сделаешь, в приемлемое время.

-----
vx





Ранг: 275.9 (наставник), 340thx
Активность: 0.22=0.22
Статус: Участник
RBC

Создано: 28 декабря 2019 01:06
· Личное сообщение · #11

[X-Ray] пишет:
Я случайно системное время назад перевёл и после этого прога ни в какую запускаться не хочет.

посмотри обращение через софт:
https://download.sysinternals.com/files/ProcessMonitor.zip

сделай фильтр только на твою прогу и смотри какие ключи/файлы чекает. найти несложно, я недавно искал так проверку забаненного "ключа" одного из протов, минут 10-15 потратил.

-----
Array[Login..Logout] of Life




Ранг: 29.9 (посетитель), 9thx
Активность: 0.020.06
Статус: Участник

Создано: 28 декабря 2019 01:17
· Личное сообщение · #12

Kindly пишет:
посмотри обращение через софт:

спасибо, что-то я не догадался

ключи хранились тут HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Licenses




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 08:53 · Поправил: WELL
· Личное сообщение · #13

Ребята, тема с анпаком вроде закрыта, поэтому пишу сюда

Есть простая (наверное ) задача - снять с довольно древнего ехе-шника (от 2005 года) ASProtect.
peid показывает: ASProtect 2.1x SKE -> Alexey Solodovnikov

Если быть точнее, то таких ехе-шников 6 штучек.

Я уже от этих дел совсем отошёл, да и распаковка никогда не была моим любимым делом.

Может у кого есть наработки, чтобы быстро и несложно распаковать аспр? Далее там защита по ключу, в том числе часть функций пошифрована, но это уже не самое критичное.

P.S. Собственно дистрибутив программы вот _https://cdn.sight2k.com/utsetup.exe. После установки там файлы Editor.exe, Monitor.exe, Report.exe, Settings.exe, Test.exe, UniTest.exe
P.P.S. Хотя, если кто нормально заломает программу, будет тоже неплохо. Я её ломал 15 или 16 лет назад (вот же время летит), забыл уже что и как там было

Сорри, если офтоп



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 14 февраля 2020 09:28
· Личное сообщение · #14

WELL
Анпакер от пеко спокойно берет. DecomAS который

| Сообщение посчитали полезным: WELL


Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 09:46
· Личное сообщение · #15

TryAga1n пишет:
Анпакер от пеко спокойно берет. DecomAS который

TryAga1n
Понял, попробую им.

Добавлено спустя 48 минут
Не прокатило
Распаковывает, но анпакнутый ехе при запуске сразу валится с ошибкой



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 14 февраля 2020 11:19 · Поправил: TryAga1n
· Личное сообщение · #16

UniTest.exe распаковался и работает на разных системах, щас остальные посмотрю еще https://www.sendspace.com/file/sgd1nk
Settings.exe распаковался CodeDoctor'ом https://www.sendspace.com/file/0l2q3t
Editor.exe распаковался, однако при выходе какой-то эксепшен, смотреть где именно и почему не стал, ибо не критично https://www.sendspace.com/file/vu2zzi




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 11:29
· Личное сообщение · #17

TryAga1n пишет:
UniTest.exe распаковался и работает на разных системах, щас остальные посмотрю еще https://www.sendspace.com/file/sgd1nk

Глянь плиз Editor.exe

Добавлено спустя 0 минут
UniTest.exe у меня тоже распаковался.
Единственный кто распаковался



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 14 февраля 2020 11:32 · Поправил: TryAga1n
· Личное сообщение · #18

Едитор постом выше. Продолжаем:
Report.exe - распаковался CodeDoctor'ом, но работает только на машине, где был произведен анпак, надо допиливать ручками
Test.exe - CodeDoctor, работает на других машинах https://www.sendspace.com/file/khk6d5




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 11:41
· Личное сообщение · #19

TryAga1n пишет:
однако при выходе какой-то эксепшен, смотреть где именно и почему не стал, ибо не критично

О, я вспомнил этот эксепшен Это он так на изменение размера ехе реагирует, так что всё ОК

TryAga1n, спасибо большое

Добавлено спустя 6 минут
А можно ещё этот CodeDoctor выложить или ссылку дать?



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 14 февраля 2020 11:49 · Поправил: TryAga1n
· Личное сообщение · #20

Держи
https://www.sendspace.com/file/arlem7

Плаг для первой ольки, юзается по ПКМ с ЕР. Сам все делает и создает анпакнутый файл и дебаг инфу в папке с жертвой

| Сообщение посчитали полезным: WELL


Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 14 февраля 2020 11:55
· Личное сообщение · #21

TryAga1n пишет:
Держи
https://www.sendspace.com/file/arlem7

Плаг для первой ольки, юзается по ПКМ с ЕР. Сам все делает и создает анпакнутый файл и дебаг инфу в папке с жертвой

TryAga1n
Благодарю.

| Сообщение посчитали полезным: TryAga1n
<< 1 ... 36 . 37 . 38 . 39 .
 eXeL@B —› Протекторы —› Анализ ASProtect
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати