Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

спасибо за статьи. ждем продолжения.

| Сообщение посчитали полезным:

Ultras пишет:
Несколько лет назад писал такой для 1.x

А нельзя ли посмотреть на этот эмулятор?

Ultras пишет:
Версию аспра смотрю: ASProtect 2.41 build 04.01.

Безуспешно ищу дистрибутивы ASProtect 2.41 SKE build 04.01 и ASProtect 1.41 build 04.01. В них реализована новая схема выполнения эмулированных инструкций. Так, например, если в старых версиях Аспра было:
0 - Это CALL; 1 - JMP; 2 - Jcc и 3 - CMP+Jcc
то в этой версии стало:
0 - CMP+Jcc; 1 - CALL; 2 - JMP и 3 - Jcc

А также ряд других нюансов (Это я подсмотрел на одной программе, упакованной ASProtect 1.41 build 04.01).

| Сообщение посчитали полезным:

vnekrilov пишет:
А нельзя ли посмотреть на этот эмулятор?

Вечером постараюсь закинуть в ПМ.

vnekrilov пишет:
Безуспешно ищу дистрибутивы ASProtect 2.41 SKE build 04.01
Я снял DLL с памяти и изучаю её. Самого дистра тоже нету

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Сегодня я выкладываю 3-ю часть из цикла статей по распаковке Asprotect, в которой описан процесс восстановления таблицы импорта IAT и вызовов эмулируемых APIs. К этой статье также приложен универсальный скрипт для восстановления таблицы IAT, который работает на всех версиях Asprotect.dll. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.

5b83_16.02.2009_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (Часть 3).rar

| Сообщение посчитали полезным:

vnekrilov, спасибо! Может есть еще смысл описать способ получение asprotect.dll для самостоятельного исследования. Ведь сама библиотека без header'a в памяти. А чтобы ее изучить, надо вставить и скорректировать его. Если влом описывать, то можно просто приложить эту DLL для одной из последних версий например. Для новичков я думаю будет полезно. К тому же в скриптах есть моменты, где поиск идет по шаблонам инструкций. А загрузив asprotect.DLL в ИДА человек сразу найдет требуемые места, и тем самым лучше будет представлять всю картину.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras пишет:
Может есть еще смысл описать способ получение asprotect.dll для самостоятельного исследования.

Имеется прекрасная статья Deroko "ASProtect VM Analyze", к которой приложена утилита AsprDllDumper, позволяющая получить Asprotect.dll. В статье "ASProtect SKE 2.3 unpacking approach" Deroko описал ручной способ получения Asprotect.dll.

А вот предложение приложить Asprotect.dll какой-либо версии, это хорошая идея, поскольку действительно, она занимает небольшой размер, но на ней можно посмотреть все волшебные точки, о которых я упоминаю в статьях.

| Сообщение посчитали полезным:

В последнее время я проанализировал две программы (которые мне попались), упакованные Asprotect v1.41 build 04.01. В них Asprotect.dll расположена в предпоследней секции файла. Поэтому у меня возник вопрос - то ли это уловка программиста, то ли так работает эта версия Asprotect. Возможно, что кто-то еще встречался с программами, упакованными пакером этой версии, поэтому подскажите или ссылки на такие программы, или скажите, это работа протектора, или программиста?

| Сообщение посчитали полезным:

ну если программист распакует купленный аспр, затем отреверсит его и пропатчит для изменения функционала, тогда это будет работой программиста Такая работа для обычного программиста не под силу, а вот для разработчика протектора более чем реально

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

vnekrilov пишет:
ссылки на такие программы
в форуме для новичков есть топик
http://www.exelab.ru/f/action=vthread&forum=5&topic=13798
там речь идет о длл накрытой аспром, так в ней как раз Asprotect.dll расположена в предпоследней секции файла. Не знаю правда что за версия аспра.

| Сообщение посчитали полезным:

Smon пишет:
Такая работа для обычного программиста не под силу, а вот для разработчика протектора более чем реально

Я тоже склоняюсь к тому, что так работает оригинальный пакер, но хотелось бы в этом убедиться на все 100%.

Konstantin

Спасибо за подсказку, обязательно посмотрю. Может быть, DLL, указанная тобой в топике, упакована Asprotect v1.41 (2.41 SKE) build 04.01. Поскольку дистрибутив Asprotect v1.41 (2.41 SKE) build 04.01 мне достать не удается, приходится искать обходные пути анализа этой версии протектора.

| Сообщение посчитали полезным:

воевал тут с одной софтиной, там версия аспра 1.4 build 04.01 Beta, скрипт оер не нашёл, руками анпакнуть не получилось, я заинлайнил. по теме, волшебная точка выглядела так:

хотя оеп не спёрт

з.ы. я отключил крк в аспре похучив пару апи, а вообще можно более универсальнее? бес поиска мест для патча с помощью сигнатур?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
воевал тут с одной софтиной, там версия аспра 1.4 build 04.01 Beta, скрипт оер не нашёл, руками анпакнуть не получилось

Я еще надыбал несколько прог, упакованных аспром 1.41 build 04.01. Во всех них Asprotect.dll располагается в предпоследней секции аспра, поэтому традиционные скрипты, которые прекрасно работают на старых версиях, здесь не работают. В аттаче я прикладываю новые скрипты для прохождения на OEP-SBOEP, восстановления таблиц INIT и IAT (скрипт для таблицы IAT предусматривает и восстановление вызовов эмулируемых APIs), и скрипт для поиска прыжков из области кода в области со Stolen Code с восстановлением эмулированных инструкций CALL, JMP, Jcc и CMP+Jcc. Работа этих скриптов проверена и на аспре 1.41 build 04.01. Работают они нормально. Завершаю четвертую часть туториала по распаковке аспра, и скоро выложу ее в топике.

35c0_22.02.2009_CRACKLAB.rU.tgz - Новые скрипты для Asprotect (c учетом версии 1.41 build 04.01).rar

| Сообщение посчитали полезным:

Кстати, аспр 1.41 build 04.01 достаточно сильно усложняет распаковку. При написании скрипта для переноса кода из областей со Stolen Code в одну секцию, я столкнулся с еще одной проблемой: в области SBOEP протектор создает несколько эмулированных CALLов, которые имеют адрес назначения в этой-же области SBOEP. При копировании кода в объединенную секцию, приходится включать дополнительную проверку адреса назначения всех CALL, что усложняет скрипт, и я пока тормознулся на этой проблеме.

| Сообщение посчитали полезным:

Сегодня я выкладываю 4-ю часть из цикла статей по распаковке Asprotect, в которой описан процесс восстановления эмулированных инструкций в областях памяти со Stolen Code, и объединение этих областей памяти в одну физическую память. К этой статье также приложены универсальные скрипты, которые выполняют эту работу на всех версиях Asprotect.dll. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.

4e48_23.02.2009_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (Часть 4).rar

| Сообщение посчитали полезным:

vnekrilov пишет:
Безуспешно ищу дистрибутивы ASProtect 2.41 SKE build 04.01 и ASProtect 1.41 build 04.01.

Имеется дистриб ASProtect 1.41 build 04.01 но без ключа. Ключ теоретически тоже могу достать, но там активация через интернет. Без ключа пойдёт?

| Сообщение посчитали полезным:

progopis пишет:
Имеется дистриб ASProtect 1.41 build 04.01 но без ключа. Ключ теоретически тоже могу достать, но там активация через интернет. Без ключа пойдёт?


Подойдет. Выкладывай. Кстати, если есть ключ, то тоже давай, я смогу восстановить код этой программы, которая будет работать без ключа.

| Сообщение посчитали полезным:

Извините, я полный нуб в этом, но при работе скрипта "Восстановление таблицы IAT и вызовов APIs" выскакивает ошибка:

"Error on line 208
Text: asm temp_1,$RESULT
Unknown identifier"

PS: как раз на dll из моей темы: http://www.exelab.ru/f/action=vthread&forum=5&topic=13798

| Сообщение посчитали полезным:

hypeartist пишет:
Извините, я полный нуб в этом, но при работе скрипта "Восстановление таблицы IAT и вызовов APIs" выскакивает ошибка:

В 3-й части туториала имеется такая фраза "Для восстановления таблицы IAT наиболее стабильно работает plugin OdbgScript v1.48, который я и рекомендую использовать." Дело в том, что все последние версии OdbgScript при выполнении этого кода дают такой сбой, а вот версия 1.48 такого сбоя не дает. Все остальные скрипты нормально работают на остальных версиях OdbgScript. И обрати внимание на примечание в самом скрипте "Скрипт тестировался только на WinXP, OllyDbg 1.10, ODBGScript 1.48 (эта версия plugin корректно обрабатывает ассемблирование инструкций)".

| Сообщение посчитали полезным:

vnekrilov

.......с 1.48 выдает ту-же ошибку (OllyDbg 1.10, WinXP SP2)

| Сообщение посчитали полезным:

hypeartist, абсолютно такой же набор Олли 1.10 и скрипта 1.48 - Скрипт отрабатывает ОК.
Система: WinXP SP3.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras пишет:
абсолютно такой же набор Олли 1.10 и скрипта 1.48 - Скрипт отрабатывает ОК.
Система: WinXP SP3.

У меня то же самое - система нормально отрабатывает скрипт. До WinXP SP3 у меня была WinXP SP2, и этот скрипт тоже нормально работал.

| Сообщение посчитали полезным:

vnekrilov

а выложи, пожалуйста, свой ODBGScript 1.48

PS: а ты можешь попробовать свой скрипт на выложенной мной dll'ке? может в ней дело?

| Сообщение посчитали полезным:

hypeartist пишет:
а выложи, пожалуйста, свой ODBGScript 1.48

Лови!!!

f1b0_25.02.2009_CRACKLAB.rU.tgz - ODbgScript 1.48.rar

| Сообщение посчитали полезным:

hypeartist пишет:
PS: а ты можешь попробовать свой скрипт на выложенной мной dll'ке? может в ней дело?

Проверил, скрипт нормально отработал и восстановил таблицу IAT.

| Сообщение посчитали полезным:

Сегодня я выкладываю 5-ю часть из цикла статей по распаковке Asprotect, в которой описан процесс создания новой секции файла, содержащей код из областей памяти со Stolen Code, переадресация прыжков из области кода программы в новую секцию файла, поиск и устранение проверок целостности кода (CRC). К этой статье также приложены универсальные скрипты, которые выполняют эту работу на всех версиях Asprotect.dll. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.

ce31_28.02.2009_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (Часть 5).rar

| Сообщение посчитали полезным:

Валентин, небольшое пожелание: прикладывай к статье также .asm файл с кодом использованных "прививок"

Спасибо за проделанную работу.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Валентин, небольшое пожелание: прикладывай к статье также .asm файл с кодом использованных "прививок"

Я в максимальной степени стараюсь сжать размер статей, чтобы вложиться в размер аттача не более 500 КБ. А файл кода использованных прививок можно очень легко получить, открыв в Оле любой файл, скопировать из приложенных скриптов код прививок, и вставить его в файл. Для себя я давно сделал пустышку на базе Asprotect.dll, в эту пустышку записываю разрабатываемый код прививок, затем произвожу отладку прививок, записываю код прививок в скрипт, и очищаю пустышку от кода. Кстати, эту пустышку я сделал как файл .exe, чтобы не заморачиваться с подгрузкой .dll.

| Сообщение посчитали полезным:

vnekrilov пишет:
Я в максимальной степени стараюсь сжать размер статей
Сохраняй как "веб-страница с фильтром".

| Сообщение посчитали полезным:

Будет ли в туторах описан обход блеклиста ключей?

| Сообщение посчитали полезным:

Nightshade пишет:
Будет ли в туторах описан обход блеклиста ключей?

Пока не знаю, об этом не думал.

| Сообщение посчитали полезным: