Я выложил свой первый туториал по анализу ASProtect v2.4 build 12.20 (Анализ подпрограммы эмуляции инструкций.rar http://dump.ru/files/o/o489862518/ ). В этом туториале я подробно описал процесс восстановления эмулированных инструкций типа:


Полный цикл статей по распаковке ASProtect (Актуальная версия 25 декабря 2009):
ASProtect_Unpacking_Tutorial_2009-12-25.rar http://rapidshare.com/files/325720799/ASProtect_Unpacking_Tutorial_2009-12-25.rar 7,9 МБ
Программы, рассматриваемые в статьях:
ASProtect_Unpacking_Apps_2009-12-25.rar http://rapidshare.com/files/325718084/ASProtect_Unpacking_Apps_2009-12-25.rar 22,2 МБ

Буду благодарен за критику, замечания, пожелания и отзывы.

Скрипты:
Текущая рекомендуемая версия ODBGScript [1.78.3]:
ecf1_03.06.2010_CRACKLAB.rU.tgz - ODbgScript.dll

Последний текущий комплект скриптов [от 19 февраля 2011]:
69ca_18.02.2011_CRACKLAB.rU.tgz - Скрипты для распаковки Asprotect от 19 февраля 2011.rar

Статьи по частям:
Актуальная версия статей [Последняя - 25.11.2010]:
Выпуск 2
0754_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 1
2844_29.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 2
8e06_30.11.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 3
50a0_03.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 4
1b51_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5
0ff8_05.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 5 (продолжение)
a182_06.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 6
82b8_15.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 7
74e4_16.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 8
b2e1_17.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 9
532c_18.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 10
76af_20.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 11
fe67_22.12.2009_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 12
079c_20.01.2010_CRACKLAB.rU.tgz - Распаковка ASProtect - Часть 13
8415_03.06.2010_CRACKLAB.rU.tgz - Распаковка Asprotect - Часть 14
0a66_18.02.2011_CRACKLAB.rU.tgz - Распаковка Asprotect - Части 15 и 16

DriEm конвертировал мой цикл статей в формате PDF, который можно скачать по ссылке --> Link <--

| Сообщение посчитали полезным:

Уважаемые читатели топика. Я, к сожалению, при паковании 5-й части туториала, не приложил к ней скрипт "Исправление прыжков из области кода в новую секцию файла.osc". Исправляю свою ошибку, и выкладываю этот скрипт отдельно

07d2_04.03.2009_CRACKLAB.rU.tgz - Исправление прыжков из области кода в новую секцию файла.osc

| Сообщение посчитали полезным:

Сегодня я выкладываю 6-ю часть из цикла статей по распаковке Asprotect, в которой описан процесс эмуляции APIs Asprotect. К этой статье приложены все универсальные скрипты, которые были приложены к частям 1-5 данного туториала, и работают на всех версиях Asprotect.dll (1.32 - 2.41). Я получил довольно интересное письмо одного из читателей данного топика:
"хотелось бы по окончании всех твоих статей все таки изготовить более-менее пошаговый тутор на примере реальной тяжелой проги с суровой VM, с применением всех твоих скриптов и прочих крякерских фич по отрезанию секций, редактированию callback, oep, tls, hex и прочего".
Хотелось бы узнать ваше мнение по этому вопросу. Буду, как всегда, очень признателен за отзывы, замечания, критику и пожелания.

bfa6_05.03.2009_CRACKLAB.rU.tgz - ASProtect - Распаковка по vnekrilov (Часть 6).rar

| Сообщение посчитали полезным:

vnekrilov пишет:
"хотелось бы по окончании всех твоих статей все таки изготовить более-менее пошаговый тутор на примере реальной тяжелой проги с суровой VM, с применением всех твоих скриптов и прочих крякерских фич по отрезанию секций, редактированию callback, oep, tls, hex и прочего".

Я поддерживаю, мне очень нравится как ты описиваешь аспротект в своих туторах, и еще пожелание, если можно как-то все скрипты объеденить в один, например если проверка на crc есть так скрипт срабатывает если нет пропускает ну и т.д.

borov
Ты не прав! ASProtect чаще всего встречается навешаним на программах. И в последней версии 1.41 очень много уловок, и довольно-таки не легко расспаковывается.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

vnekrilov пишет:
на примере реальной тяжелой проги
при всем уважение к автору этого письма и vnekrilov'у, а развесам прот не является реально тяжелой прогой

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

vnekrilov пишет:
" изготовить более-менее пошаговый тутор на примере реальной тяжелой проги с суровой VM".
Хотелось бы узнать ваше мнение по этому вопросу
Дело полезное и нужное! Это будет завершающим этапом, от теории к практике, так сказать.

| Сообщение посчитали полезным:

SemDJ пишет:
если можно как-то все скрипты объеденить в один, например если проверка на crc есть так скрипт срабатывает если нет пропускает ну и т.д

Конечно, можно все скрипты объединить в один, как, например, это сделал VоlX. Но тогда получится большая громадина, с которой довольно трудно придется работать, особенно тогда, когда встречается нестандартная ситуация. Поэтому я пришел к мысли, что лучше иметь несколько относительно небольших скриптов, каждый из которых выполняет свою часть работы. Если где-то скрипт допускает сбой, его найти становится намного проще. Но это чисто моя частная точка зрения.

borov пишет:
а развесам прот не является реально тяжелой прогой

Да, сам протектор является реальной тяжелой программой. Однако, в туториале охвачен большой диапазон версий протектора - от 1.32 до 2.41. В одних версиях применяются одни фичи, в другой версии - другие. Так, например, я искал несколько программ, упакованных аспром версии 1.41 build 04.01 (поскольку самого протектора этой и 2.41 SKE build 04.01 не смог раздобыть), Так вот, в одних программах, Asprotect.dll находилась на месте предпоследней секции файла, созданной протектором, а в других программах, для Asprotect.dll выделялась своя область памяти. При распаковке таких программ имеются свои заморочки. Или, например, распаковка DLL. Здесь нужны свои подходы, связанные с таблицей релоков. Сам пакер не имеет библиотек, упакованных им же самим.

| Сообщение посчитали полезным:

было бы логично добавить в тутор прототипы аспровых функций.
типа:

procedure GetKeyExpirationDate(Day, Month, Year : WORD);stdcall;
procedure GetHardwareID(HardwareID : PChar);stdcall;
и т.д.

| Сообщение посчитали полезным:

Так же поддеживаю крайне актуальный вопрос, поднятый на этой странице и незаслуженно забытый в туторах обход блеклиста ключей
Эту тему давно надо было поднять, так как есть программы, защищенные старыми версиями и есть к ним ключи, но в блэклисте. Если будет описан метод, позволяющий обходить это ограничение (а на паблике появлялись несколько утилит, позволяющих так или иначе это делать), тогда пропадет необходимость эти проги распаковывать, ведь проще заинлайнить обход блэклиста. Самой интересной на мой взгляд являлась утилита аспрдоктор, которую закодил небезызвестный syd, но к сожалению она давно не работоспособна.

| Сообщение посчитали полезным:

troya пишет:
но к сожалению она давно не работоспособна
Просто у тебя нет последней версии аспрдоктора. И это к счастью (приват должен оставаться приватом). На данный момент прога работоспособна и может справляться с некоторыми версиями последнего аспра. Пробовал его на последней, на данной момент, версии аспра - не справился только с API аспротекта + ещё всякие мелочи. Весь остальной импорт и ВМ восстановил.

После syd'а за проект взялось трое умельцев, которые разбившись на две группы выпускали релизы этой тулзы. Проект был снова заброшен до недавнего времени. За аспрдоктор взялся я. В данный момент прервал работу, но очень активно писал деобфускатор полиморфа. Но к сожалению, пока не выпустил ни одной версии. Возможно, если мне удасться, то я верну к жизни идею syd'а о том, чтобы сделать сервис через почту по снятию аспротекта.

| Сообщение посчитали полезным:

troya пишет:
есть программы, защищенные старыми версиями и есть к ним ключи, но в блэклисте.

Если можешь, подскажи несколько таких программ, я посмотрю, что можно с ними сделать. Просто я не сталкивался с ними.

seeq пишет:
было бы логично добавить в тутор прототипы аспровых функций

А стоит ли это делать? Ведь эти функции описаны в файле справки к протектору!

| Сообщение посчитали полезным:

progopis, наверное речь о стриппере. ASDoctor делал только анблеклист, используя в работе дровину стриппера engine.sys.

vnekrilov пишет:
А стоит ли это делать? Ведь эти функции описаны в файле справки к протектору!

Абсолютно согласен что это лишнее. Все описание есть в проте (Справка, SDK).

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras пишет:
Абсолютно согласен что это лишнее. Все описание есть в проте (Справка, SDK).

Человек хочет что-бы его носом ткнули где конкретно править код нужно.

| Сообщение посчитали полезным:

NIKOLA пишет:
Человек хочет что-бы его носом ткнули где конкретно править код нужно.

А зачем? Достаточно посмотреть, что делает скрипт по эмуляции API Asprotect. Да и в туториале я привел рисунки эмуляции этих APIs. А посмотреть, как работают подпрограммы вызова API Asprotect, можно, пройдя на волшебную точку по маске, и посмореть каждую оригинальную подпрограмму.

| Сообщение посчитали полезным:

Ultras пишет:
progopis, наверное речь о стриппере. ASDoctor делал только анблеклист
Именно... речь идет не о снятии всего навесного протекта с вм (достаточно трудоемкая операция), а о замене пары байт в пямяти, отвечающих за блэклист... то есть прога считает себя зарегеной, и это без каких либо изменений самой логики защиты. согласитесь, это самый эффективный способ использования шаревар.

| Сообщение посчитали полезным:

vnekrilov пишет:
Яркий пример одной из утилит, ASProtected Applications Universal Loaderкоторая к сожалению так и не получила развития Занималась обходом блэклистов. Там же в топике приведен пример программы, защищенной аспром. Вообще, для примера проще взять любую их релизившихся группой YAG программ, обычно после засвечивания серийника, он сразу блэклистился... А накардили яги не мало

| Сообщение посчитали полезным:

Не слышал про ASDoctor, сорри.

| Сообщение посчитали полезным:

Уважаемые читатели топика. На обменнике www.sendspace.com/file/o448cv я выложил обобщенный туториал по распаковке Asprotect в формате .chm с комплектом скриптов. В нем я объединил 1 - 6 части из цикла статей по распаковке Asprotect. Я хотел залить этот комплект в раздел RAR-статьи, но у меня маленькая скорость передачи, и происходит срыв загрузки. Может быть кто-то перезальет обобщенный туториал в раздел RAR-статьи?

| Сообщение посчитали полезным:

У меня не получилось загрузить, ошибка какая-то.

| Сообщение посчитали полезным:

NIKOLA
+1 Error: moving file failed.

| Сообщение посчитали полезным:

Deleted - Ступил

| Сообщение посчитали полезным:

K_O_T
Ты не понял, не получилось загрузить обобщенный туториал в раздел RAR-статьи.

| Сообщение посчитали полезным:

www.sendspace.com http://www.sendspace.com ИМХО плохой обменник.

Перезалил на iFolder.ru:

http://progopis.ifolder.ru/10894576 http://progopis.ifolder.ru/10894576

P.S. По поводу панели автора ИМХО надо стучаться к Bad_guy. Скорее всего пути неправильно прописаны в связи с недавним падением сервера. У нас тоже такая фигня с атачами на форуме, до сих пор исправить лень.

| Сообщение посчитали полезным:

вот еще 2 ссылочки на статьи
shareua.com/files/show/2566761/Raspakovka_Asprotect_po_vnekrilov.rar.html
fileshare.in.ua/1910959

Vnekrilov

Отличный обменник fileshare.in.ua/
там нет ограничений на скачивание, можна зарегистрироватся, и нормально заливать.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

progopis пишет:
ИМХО плохой обменник

Я длительное время пользовался этим обменником. Но сегодня получил письмо об ограниченном числе скачиваний с обменика для незарегистрированных пользователей. Какой еще можете посоветовать обменник, где нет ограничений на число скачиваний (я знаю, что этим грешит Рапида, и еще ряд обменников).

| Сообщение посчитали полезным:

vnekrilov, пользуйся мультиаплоадерами, типа: multi-up.com/

| Сообщение посчитали полезным:

vnekrilov наконец то сделал , шикарно. Можно было скрипты зашить тоже в схм , а потом если надо типо скачать с схмки.

Зеркало на --> onlinedisk.ru <-- http://www.onlinedisk.ru/file/95251/

Заливай на onlinedisk.ru или на rapidshare.de , на онлайндиске нет ограничений вообще никаких, качается у меня 1 мегабайт в секунду. А на рапидшаре есть некоторые ограничения но н удаляют файлы после 10 скачиваний и скорость приличная.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

то vnekrilov - действительно шикарно!
mak пишет:
rapidshare.de
на .de быстро ссылки накрываются, лучше .com
hexcsl.com/upload/
mirror01.jino-net.ru/index.php (тут ограничения до 15Мб/файл, но чаще хватает)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Решил поделиться одной из моих приватных фичей. Как известно, появляются новые дистрибутивы Aspotect, которые, для своей работы требуют регистрационного ключа, которого у меня нет. Я успешно запускаю новые дистрибутивы без регистрационного ключа под отладчиком OllyDbg, и, при этом, программа является полностью функциональной (т.е. работают все параметры защиты). Это неплохо помогает при исследовании работы протектора. В аттаче я выложил скрипты и инструкцию по их применению. Может быть, на базе скрипта "Запуск Asprotect без регистрационного ключа.osc" кто-то захочет написать загрузчик или инлайн-патч. Интересно узнать Ваше мнение о работе этого скрипта.

b397_06.03.2009_CRACKLAB.rU.tgz - Запуск Asprotect без регистрационного ключа.rar

| Сообщение посчитали полезным:

vnekrilov
Попробовал на 2.4 build 12.20 Beta выдало ошибку

Error on line 105
Text: bphws write_IAT

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

newborn
может опять версия не 1.48 у ODbgScript ?
Автор её настоятельно рекомендует для своих скриптов.

| Сообщение посчитали полезным: