Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

Чем меньше данных запрашивается, тем меньше вероятность какой-либо ошибки. Да и универсальным нельзя назвать скрипт, которому надо что-то указывать.

А от того, что ты выделишь 0x1000 байт, сделаешь дела и освободишь эту память никто не пострадает.

| Сообщение посчитали полезным:

Привет всем. vnekrilov там в моем топе "Распаковка аспр на примерах" на стр 12-13 добавлял секцию, в хвост проги. Там помоему даже кусок скрипта готовый есть. На работе смотреть некогда, но вроде есть такое, готовое действие, может пригодится. vnekrilov молодчага, иногда смотрю поверхностно новые твои достижения, а так даже не до кодинга мне.

| Сообщение посчитали полезным:

vnekrilov пишет:
MOV EAX, DWORD PTR DS:[EBP+534]
Команда то с простым опкодом, из "неизвестных" только константа. Тупо по шаблону, и
побайтно их собирать
kioresk пишет:
Я так в доки и не стал вкуривать
+1.
Может анализ протектора того требует ( всё таки ведущий отечественно_комерческий), но на половине чтива, уже депрес&дежавю пробивает

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Наконец то добил скрипт для восстановления оригинального кода эмулированных инструкций в главной области кода программы. К сожалению, не удается сделать универсальный скрипт, поэтому сейчас я готовлю флакон исходников с методичкой, как можно, используя базовый код для восстановления инструкций в AsProtect v2.41 build 02.26, доработать его для восстановления таких инструкций в других программа. Пока выкладываю два скрипта - для AsProtect v2.4 build 12.20 и AsProtect v2.4 build 02.26. Убедительная просьба потестировать эти скрипты на своих машинах, не дают ли они сбои. И одна просьба. Нет ли у кого оригинальной (не патченной) программы AsProtect v2.4 build 11.20. Поделитесь, пожалуйста.

4caa_27.07.2008_CRACKLAB.rU.tgz - Script for Asprotect.rar

| Сообщение посчитали полезным:

Bronco пишет:
Команда то с простым опкодом, из "неизвестных" только константа. Тупо по шаблону, и

Тупо по шаблону не получается, особенно при восстановлении эмулированных инструкций SUB, ADD и MOV, используемых во второй подпрограмме эмуляции данных.

Bronco пишет:
Может анализ протектора того требует ( всё таки ведущий отечественно_комерческий), но на половине чтива, уже депрес&дежавю пробивает

Да, анализ протектора действительно нудноватый, но мне хотелось показать, что все не сложно. В статье, которую я сейчас заканчиваю писать, будет показана конкретная доработка кода для второго скрипта. Это будет даже не статья, а конкретное руководство для работы.

| Сообщение посчитали полезным:

На обменнике www.sendspace.com/file/yjvck8 я выложил флакон с методичкой по созданию скрипта для восстановления эмулированных инструкций в Asprotect. Во флаконе находятся два скрипта для восстановления эмулированных инструкций для программ AsProtect v2.4 build 12.20 и AsProtect v2.4 build 02.26, файлы программы для восстановления инструкций с файлом .udd, и файл AsprDllDumper.exe от Deroko.
Буду признателен за отзывы, замечания, критику и пожелания.
Если кто-то сможет, перезалейте этот архив на Crack@Lab (его объем небольшой - 226 КБ), у меня что-то не заливается, видимо, очень низкая скорость заливки.

| Сообщение посчитали полезным:

Перезалил

514a_28.07.2008_CRACKLAB.rU.tgz - Anti-dumping in AsProtect by vnekrilov.rar

| Сообщение посчитали полезным:

На обменнике www.sendspace.com/file/se284h я выложил вторую (и, видимо, последнюю) часть статьи по антидампингу в AsProtect. К этой статье приложен оптимизированный код программы для восстановления эмулированных инструкций в области Asprotect.dll и главной области кода, а также два скрипта, которые использую этот код. Как всегда, буду признателен за критику, пожелания, замечания и отзывы.
Если кто-то сможет, перезалейте этот архив на Crack@Lab (его объем небольшой - 113 КБ), у меня что-то не заливается, видимо, очень низкая скорость заливки.

И еще раз повторяю мою просьбу. Нет ли у кого оригинальной (не патченной) программы AsProtect v2.4 build 11.20. Поделитесь, пожалуйста.

И приступаю к написанию последней части статьи, в которой будет описан процесс взлома AsProtect v2.4 build 12.20.

| Сообщение посчитали полезным:

vnekrilov пишет:
Если кто-то сможет, перезалейте этот архив на Crack@Lab

done

vnekrilov пишет:
Нет ли у кого оригинальной (не патченной) программы AsProtect v2.4 build 11.20.

На паблике не пробегал. В привате вроде бы тоже

9346_10.08.2008_CRACKLAB.rU.tgz - Anti-dumping in AsProtect by vnekrilov (Parte 2).rar

| Сообщение посчитали полезным:

vnekrilov
ASProtect 2.4 SKE build 11.20 Release- есть вот такой . Нужен?

| Сообщение посчитали полезным:

pavka пишет:
ASProtect 2.4 SKE build 11.20 Release- есть вот такой . Нужен?

Если он не пропатчен китайцами (оригинальный setup), то нужен.

| Сообщение посчитали полезным:

vnekrilov
rapidshare.com/files/136463239/aspr24release1120.zip

| Сообщение посчитали полезным:

pavka

Большое спасибо.

| Сообщение посчитали полезным:

Вопрос в порядке консультации. Я проанализировал последние версии Аспра с точки зрения создания универсального скрипта для восстановления эмулированных инструкций. Отличие Asprotect.dll заключается в изменении адресов расположения данных в массивах данных, которые хранят всю информацию об эмулированных инструкциях. Возникает идея - создать универсальный скрипт, который бы восстанавливал оригинальный код эмулированных инструкций для всех версий аспра, в зависимости от версии Asprotect.dll. Имеется неплохая тулза AsprInfo v1.6, которая прекрасно справляется с этой работой. Как я понял из серии топиков на форуме КракЛаб, там информация извлекается из самой запакованной проги. Однако автор не указал, как это делается. Мне бы хотелось вставить в универсальный скрипт часть кода, которая бы определяла версию Аспра, и, в зависимости от этой версии, выбирала бы нужную часть скрипта для восстановления кода эмулированных инструкций. Чтобы не копаться в массе материалов, может быть кто-либо подскажет, как найти информацию о версии Аспра.

| Сообщение посчитали полезным:

vnekrilov напиши nik0g0r'у на мыло... мыло живое, автор отвечает

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

vnekrilov

nik0g0r [at] pisem.net

// by moder - ты не на спамеров случайно работаешь, мыло в открытую постишь.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

ни кто не знает не вышел новый скрипт от VolX'a(у меня v1.14aE), а то не хотел одну прогу обрабатывать, VerA PE_Kil'a сказала Unknown, я подумал ,и упаковал одну програму аспром 2.4, что бы проверить, та самая хрень, прога PHP Expert Editor v4.3

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov
А зачем VerA? этот плагин по какому то ид смотрит что за версия. А вот ASPrINFO выдирает саму инфу вшитую в файл, например:


[APROS], [1.6],
[2.4 build 02.26 Beta],
[Vinny-the-P00h].

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
А вот ASPrINFO выдирает саму инфу вшитую в файл
вот что он сказал:
[PHP Expert Editor], [4.3],
[1.4 build 11.20 Release], [A. Kalita].

но я сомниваюсь что там 1.4

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
но я сомниваюсь что там 1.4

ну и здря

| Сообщение посчитали полезным:

Gideon Vi пишет:
ну и здря
почему, предыдущая что у меня была 4.1 была
VerA:
Version: ASProtect 2.0x - *heuristic* [2]

ASPrINFO:
PHP Expert Editor, 4.1
1.32 build 11.24 RC1.

пусть мнения их и расходятся, но всеже 1.4 не может быть

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov я когда то ломал эту прожку, там 1.XX

Отправь на сервис распаковки, тебе распакуют эту версию.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

я хотел сам, 4.1 - я легко страйпером распаковывал, а вот эта 4.3 и страйпер вылетает с ошибкой, и скрипт VolX'a тоже

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
почему

потому, что аспр шьет версию в защищаемый файл, так что ASPrINFO работает не с сигнатурами

borov пишет:
ASProtect 2.0x - *heuristic*

а такая вещь, как heuristic тебя не смутила?

borov пишет:
я хотел сам
borov пишет:
4.1 - я легко страйпером распаковывал

Смысл в том, чтобы самому F9 или кнопочку в стрипере нажать?

| Сообщение посчитали полезным:

borov 1.х от 2.х отличаются только рег схемой, всё остальное у них одно и тоже и обе версии одновременно апдэйтятся. Поэтому анализаторы и ошибаются. Свой я уже давно забросил.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

а как тогда можно узнать версию

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

PE_Kill пишет:
Свой я уже давно забросил.
Ты про Vera ? Последняя версия 0.15 или есть поновее?


PE_Kill пишет:
Поэтому анализаторы и ошибаются.
ХМ, мне как и Vera так и ASPrInfo не врут, правду глаголят=)

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

Loco пишет:
не врут, правду глаголят
мнения у них часто расходятся

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov Какая у тебя версия Vera ? Я паковал АСПром файлы и тестил, как Vera так и ASPrInfo опознавали версию и билд.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

VerA 0.15, смотря какие версии аспра

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: