| Сейчас на форуме: (+5 невидимых) |
 |
eXeL@B —› Протекторы —› Анализ ASProtect |
| << 1 ... 36 . 37 . 38 . 39 . |
| Посл.ответ | Сообщение |
|
|
Создано: 28 марта 2008 15:30 · Поправил: vnekrilov · Личное сообщение · #1 Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа: Code:
Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009): ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ Программы, рассматриваемые в статьях: ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ Буду благодарен за критику, замечания, пожелания и отзывы. Скрипты: Текущая рекомендуемая версия ODBGScript [1.78.3]:  ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dllПоследний текущий комплект скриптов [от 19 февраля 2011]: 69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rarСтатьи по частям: Актуальная версия статей [Последняя - 25.11.2010]: Выпуск 2 0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1 2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2 8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3 50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4 1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение) a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6 82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7 74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8 b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9 532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10 76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11 fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12 079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13 8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14 0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке  |
|
|
Создано: 14 марта 2017 03:56 · Поправил: SReg · Личное сообщение · #2 dosprog когда сказать нечего по делу, зачем херню нести? причем тут импорт и какие-то твои проги, если у него с релоками трабла Jaa пишет: Заметил что в запакованном файле адреса распаковываются сначало с базой 10000000, а потом какой то цикл их исправляет | Сообщение посчитали полезным: Jaa |
|
|
Создано: 14 марта 2017 12:11 · Личное сообщение · #3 SReg То что нужно, как сам не заметил хз. Огромное спасибо |
|
|
Создано: 28 марта 2018 00:14 · Личное сообщение · #4 Можно выложить ссылку на pdf? |
|
|
Создано: 16 августа 2018 09:15 · Личное сообщение · #5 вопросик возник. есть прога накрыта аспром с коротким ключом. в зависимости от введенного ключа можно активировать редакции Стандарт и Про. если патчить аспровскую апишку CheckKey путем mov eax, 1 / ret получается версия Стандарт. Получить Про версию никак не получается. Это ж насколько я понимаю тоже аспровский функционал? Как правильно запатчить? |
|
|
Создано: 16 августа 2018 16:48 · Личное сообщение · #6 evggrig см. в сторону GetModeInformation Code:
Code:
----- EnJoy! | Сообщение посчитали полезным: evggrig |
|
|
Создано: 16 августа 2018 17:19 · Личное сообщение · #7 Jupiter а может быть такое что эта апишка не используется в этой проге? я вижу из аспровых только CheckKey и GetHardwareIdEx. |
|
|
Создано: 16 августа 2018 17:27 · Личное сообщение · #8 evggrig Да, вполне достаточно CheckKey, он тоже сообщает информацию о режиме: Code:
Так что можешь пропатчить структуру, в ней номер режима - первый байт. Например: Code:
Где pModeStatus - указатель на структуру MODE_STATUS с инфой о режиме, а MODE_PRO - это константа режима Professional (подбери самостоятельно) ----- EnJoy! |
|
|
Создано: 28 декабря 2019 00:36 · Личное сообщение · #9 Гуру, подскажите, пожалуйста. Столкнулся с аспром одной из последних версий и есть пара вопросов: 1) в принципе, я разобрался, что с ней делать, но как называется эта api? Code:
если её перехватывать, то можно выдывать проге свои значения в ответ на её запросы (мне так прогу удалось зарегать); 2) где новый аспр хранит триальные ключи? Я случайно системное время назад перевёл и после этого прога ни в какую запускаться не хочет. Или подскажите, как он делает проверку и можно ли её запатчить?... |
|
|
Создано: 28 декабря 2019 00:54 · Поправил: difexacaw · Личное сообщение · #10 [X-Ray] Протекторы две вещи выполняют, аналогично как они и решаются - статика и динамика. В статике протекторы могут засрать всё, криптовать, морфить и виртуализировать. Поэтому решать это тупиковая затея, особенно вручную. Остаётся динамика. Любое действие приложения происходит через ядерный интерфейс. Над ним есть очень толстый слой жира в виде винапи, точнее их два, есть есчо промежуточный нэйтив-гуй, там точно сам чёрт ноги сломит, с этими обратными вызовами. Вам это впрочем и не нужно. Всё куда проще, нужно снять лог по сервисам, чего ваш семпл там в ядре дёргает. Есть всякие мониторы и логгеры, но это всё сложно. Проще возьми онлайн монитор, сейчас есть всяких много, ты им загрузишь семпл, вирт машина его прокрутит и отдаст тебе лог активности. Это самый простой путь. Сложнее ты ничего не сделаешь, в приемлемое время. ----- vx |
|
|
Создано: 28 декабря 2019 01:06 · Личное сообщение · #11 [X-Ray] пишет: Я случайно системное время назад перевёл и после этого прога ни в какую запускаться не хочет. посмотри обращение через софт: https://download.sysinternals.com/files/ProcessMonitor.zip сделай фильтр только на твою прогу и смотри какие ключи/файлы чекает. найти несложно, я недавно искал так проверку забаненного "ключа" одного из протов, минут 10-15 потратил. ----- Array[Login..Logout] of Life |
|
|
Создано: 28 декабря 2019 01:17 · Личное сообщение · #12 Kindly пишет: посмотри обращение через софт: спасибо, что-то я не догадался  ключи хранились тут HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Licenses |
|
|
Создано: 14 февраля 2020 08:53 · Поправил: WELL · Личное сообщение · #13 Ребята, тема с анпаком вроде закрыта, поэтому пишу сюда  Есть простая (наверное ) задача - снять с довольно древнего ехе-шника (от 2005 года) ASProtect.peid показывает: ASProtect 2.1x SKE -> Alexey Solodovnikov Если быть точнее, то таких ехе-шников 6 штучек. Я уже от этих дел совсем отошёл, да и распаковка никогда не была моим любимым делом. Может у кого есть наработки, чтобы быстро и несложно распаковать аспр? Далее там защита по ключу, в том числе часть функций пошифрована, но это уже не самое критичное. P.S. Собственно дистрибутив программы вот _https://cdn.sight2k.com/utsetup.exe. После установки там файлы Editor.exe, Monitor.exe, Report.exe, Settings.exe, Test.exe, UniTest.exe P.P.S. Хотя, если кто нормально заломает программу, будет тоже неплохо. Я её ломал 15 или 16 лет назад (вот же время летит), забыл уже что и как там было Сорри, если офтоп
|
|
|
Создано: 14 февраля 2020 09:28 · Личное сообщение · #14 |
|
|
Создано: 14 февраля 2020 09:46 · Личное сообщение · #15 TryAga1n пишет: Анпакер от пеко спокойно берет. DecomAS который TryAga1n Понял, попробую им. Добавлено спустя 48 минут Не прокатило Распаковывает, но анпакнутый ехе при запуске сразу валится с ошибкой |
|
|
Создано: 14 февраля 2020 11:19 · Поправил: TryAga1n · Личное сообщение · #16 UniTest.exe распаковался и работает на разных системах, щас остальные посмотрю еще Settings.exe распаковался CodeDoctor'ом Editor.exe распаковался, однако при выходе какой-то эксепшен, смотреть где именно и почему не стал, ибо не критично |
|
|
Создано: 14 февраля 2020 11:29 · Личное сообщение · #17 TryAga1n пишет: UniTest.exe распаковался и работает на разных системах, щас остальные посмотрю еще https://www.sendspace.com/file/sgd1nk Глянь плиз Editor.exe Добавлено спустя 0 минут UniTest.exe у меня тоже распаковался. Единственный кто распаковался
|
|
|
Создано: 14 февраля 2020 11:32 · Поправил: TryAga1n · Личное сообщение · #18 Едитор постом выше. Продолжаем: Report.exe - распаковался CodeDoctor'ом, но работает только на машине, где был произведен анпак, надо допиливать ручками Test.exe - CodeDoctor, работает на других машинах |
|
|
Создано: 14 февраля 2020 11:41 · Личное сообщение · #19 TryAga1n пишет: однако при выходе какой-то эксепшен, смотреть где именно и почему не стал, ибо не критично О, я вспомнил этот эксепшен Это он так на изменение размера ехе реагирует, так что всё ОК TryAga1n, спасибо большое Добавлено спустя 6 минут А можно ещё этот CodeDoctor выложить или ссылку дать? |
|
|
Создано: 14 февраля 2020 11:49 · Поправил: TryAga1n · Личное сообщение · #20 Держи Плаг для первой ольки, юзается по ПКМ с ЕР. Сам все делает и создает анпакнутый файл и дебаг инфу в папке с жертвой | Сообщение посчитали полезным: WELL |
|
|
Создано: 14 февраля 2020 11:55 · Личное сообщение · #21 TryAga1n пишет: Держи https://www.sendspace.com/file/arlem7 Плаг для первой ольки, юзается по ПКМ с ЕР. Сам все делает и создает анпакнутый файл и дебаг инфу в папке с жертвой TryAga1n Благодарю. | Сообщение посчитали полезным: TryAga1n |
| << 1 ... 36 . 37 . 38 . 39 . |
|
eXeL@B —› Протекторы —› Анализ ASProtect |
Для печати