Зайдите на www.aspack.com. Там появился новый аспр. Я слил закинул в отладчик. Вобщем мне некогда, но беглый осмотр таков:

Ю Все, Солодовников перестал использовать исключения.
Ю VM разбита на гораздо большее количество частей в оперативе
Ю Прыжки между VM осуществляются более извратно.
Ю Переходники на АПИ больше не патчатся, а выполнябтся сразу (хотя я такое уже встречал)

Все некогда, кто, что наковыряет - пишите думаю всем будет интересно.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Надо полагать защита от оеп фаиндеров. Только причем здесь секция кода, если теперь оеп вообще в заалоченой памяти
ОЕП просто не всегда воруется, потому и такая фишка =) только вот от нормальных оеп файндеров это не поможет , от ручек - тем более

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

PE_Kill пишет:
все дописываю скрипт и (если распакую программу) буду писать статью
Жду с нетерпением...

| Сообщение посчитали полезным:

Крэки, обсуждения
Обсуждение тем, не относящихся к исследованию защиты программ

Хмм... А разве AsProtect со своей VM не яыляется защитной программой?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
В общем дайте линки на проги с ASPR'ом 2.ххх.
Качаешь аспр 2.11 и протектишь им всё что под руку попадеццо

| Сообщение посчитали полезным:

sanniassin нет не так все просто. Моя просьба все еще в силе

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
В общем дайте линки на проги с ASPR'ом 2.ххх.

помоему в DVD2one V2 эта версия аспра линк www.dvd2one.com/

и в этой вроде есть DVD Region+CSS Free 5.9.6.5 www.dvdidle.com/

попробуй, проги маленькие, до метра.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

PE_Kill пишет:
Hi пиплы. У меня сегодня день рожденья!

Сорри завтыкал, сижу просто такой же как ты

PE_Kill пишет:
Блин я щас пьяный.

поздравляю с днюхой

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

newborn пишет:
поздравляю с днюхой
ну чувак пей пиво =) и приступать ломать следущую прогу =))))

| Сообщение посчитали полезным:

PE_Kill пишет:
не так все просто.
а чё так? я свой скрипт скрипт именно так и дебажил и вполне успешно

| Сообщение посчитали полезным:

sanniassin пишет:
я свой скрипт скрипт именно так и дебажил
Я тоже так и дебажу, ну не хочет АСПР сравнения байтов эмулить, я эти комады уже по порядку написал все возможные способы друг за другом. И повторил этот список 3 раза. Блин, он то ли видет что я скрипт тестю, гад. Команду cmp оставляет, а jcc за ней эмулит или вообще не эмулит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill на сколько я знаю он и в реальных прогах так делает

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus неа, вот тут я не согласен. Скачал несколько программ, и в одной из них (О чудо!!) была сперта CMP BYTE PTR DS:[00403541],0. Ура! Это уже прогресс. Буду искать дальше.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Извиняюсь за встревание, я новичек в этом деле,только UPX могу распаковать, но глянул программу www.dvd2one.com/ , но это же версия аспра 2.1х, ведь в версии 2.2 импорт немного подругому делается
И ещё хотел спросить - www.upload2.net/download2/xvfkUbaYhZCEV8c/dump.7z.html , имхо так распакованная прога ведь не будет работать на другом компе отличном от моего или будет? (кто захочет глянуть пасс в приват)

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

DrFits да просто на самом деле я как раз ASPR 2.1x и дрючу, просто когда то очень давно я запостил, что появился новый ASPR 2.20, и заодно спросил у SergSh про 2.1х ну мне и начали помогать. А теперь вроде как и топ не переименуешь, вначале то про ASPR 2.20 посты идут.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Скачал несколько программ, и в одной из них (О чудо!!) была сперта CMP BYTE PTR DS:[00403541],0.
странно... раньше вроде во всех прогах было, попробуй просто поставь бряк на функцию её эмуляции и понажимай кнопки в проге + закрой прогу, обычно на этом пара эмуляций cmp попадалась.

| Сообщение посчитали полезным:

Bronco пишет:
попробуйте на Resource Builder 2.4.0.7.
Я его заинлайнил, пиши на мыло, если надо.

| Сообщение посчитали полезным:

Bit-hack даешь новую статью про инлайн

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
даешь новую статью про инлайн
В принципе можно, там не сложно.

| Сообщение посчитали полезным:

В той версии, что у меня есть АСПР какойто двухслойный. Вроде начинает распаковываться, вот уже и прыжок на ОЕП и ... бац я снова на начале аспра. Пошел поспал 4 часа, встал попробовал снова, опять тоже самое. После второго прогона уже нормально на ОЕП прыгает. Солодовников наверное мой IPник в защищаемые проги вставляет, и проверяет, если совпал, то всякие бяки делает. Достал уже.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Уже месяц прошёл.Мне бы уже надоело.
Когда релиз?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bit-hack
Чё то отправил через форум,не уверен что дойдёт.
bronco@inbox.ru.
Но мне интересен процесс.Хотя и от результата не откажусь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco я же не одну прогу ломаю. В принципе все ок. Только вот с той, по которой я статью написать хочу у меня проблема. Она закрываться корректно не хочет. Указатель на функцию каким то чудесным образом на один байт влево смещается и все, прога падает, потому что по этому адресу ничего нет. Похоже это Солодовников опять так развлекается. Самое интересное, что сперва я ее без скрипта распаковал, но она естественно не работала как надо (там jcc и cmp+jcc больше, чем jmp и call), но запускалась и даже эбаут показывала, а теперь полностью работает, только не закрывается и ЭБАУТ НЕ ПОКАЗЫВАЕТ! Вчера вынес все дампы, импорты ресурсы и буду заново ее распаковывать. Иначе придется выбрать другую прогу для статьи, но хотелось бы эту, тут импорт интересно формируется.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Комфубуляция.
Чё хоть за продукт?Сколько топ листал,так НИФИГА и не понял.
Не получается,клади на неё.Прога,это не бейба,подождать может.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

PE_Kill пишет:
какойто двухслойный
Ага Ты дошёл до места предположительного перехода на ОЕР?:
009C15C2 /75 08 JNZ SHORT 009C15CC
009C15C4 |B8 01000000 MOV EAX,1
009C15C9 |C2 0C00 RETN 0C
009C15CC \68 D81C9B00 PUSH 9B1CD8
009C15D1 C3 RETN

Дак вот, это не переход на ОЕР, а переход (кажись) на аспр длл.

| Сообщение посчитали полезным:

Bit-hack пишет:
Ты дошёл до места предположительного перехода на ОЕР?:
Не, все разобрался. Это оказывается DLL этой проги (первый пргон). Там все DLL АСПРом запротекчены, а при загрузке в Олю она на эти DLL так же, как на основной exe реагирует. Поэтому надо либо сначало все exception вырубить, а после загрузки программы врубить, либо сначала ДЛЛки отломать, тогда Оля на них кричать не будет.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Ноконец то я оторвал АСПР от "FontExpert 2005 Version: 7.0 Release 1".
Помнится один человек говорил мне, что бы я не путал защиту импорта и VM в АСПРе. Сейчас я докажу обратное. Оказывается указатель на функцию (см. выше) смещался из-за неправильно выполнившейся апи функции. Точнее команд после нее. В оригинале она выглядет вот так:

CALL 00E60000
JO SHORT 00507EE3
DEC ESI
ADD DH,CL
PUSH 586E74
PUSH EAX
CALL DWORD PTR DS:[55D2F4] ; GetProcAddress


После восстановления:

CALL DWORD PTR DS:[<&kernel32.GetModuleHandleA>]
STC.........................................; <?
DEC ESI..................................; <?
ADD DH,CL..............................; <?
PUSH 00586E74
PUSH EAX
CALL DWORD PTR DS:[<&kernel32.GetProcAddress>]

И что вы думаете там, где стоят вопросики? А там у нас мусор. Вернее спертые байты. АСПР выполняет их в VM после вызова АПИ функции, а потом прыгает сразу на PUSH 00586E74. Пока я исправил 3 таких функции. В этой вообще 4 нопа поставил, здесь не критично:

CALL DWORD PTR DS:[<&kernel32.GetModuleHandleA>]
nop
nop
nop
nop
PUSH 00586E74
PUSH EAX
CALL DWORD PTR DS:[<&kernel32.GetProcAddress>]

А в других:
call lstrlenA
mov ebx,eax <- сперты

GetStdHandle
mov edi,eax <- сперты

Я пока не могу разобраться в логике VM. Для АПИ функций VM другая. Может кто сталкивался с такой проблемой, помогите.
PS Прогу я хоть и распаковал, но кто знает не вызовется ли какая недобитая АПИ по клику на какой нибудь редкий батон.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
ейчас я докажу обратное. Оказывается указатель на функцию (см. выше) смещался из-за неправильно выполнившейся апи функции
ну к защите импорта стыренные команды врятли можно отнести... ведь сами call/jmp и адрес апи восстановливаются, соответственно импорт восстановливается ;) а то что команды стырены после call/jmp не означает того что они имеют отношение к импорту... могли бы например тырить их в произвольных местах (как в ACprotect).
А по поводу сабжа... тема уже когда-то поднималась, но я в то время уже забил на аспр, надоел он мне, поэтому и разбираться небыло желания, может Санни копал это дальше... http://www.exelab.ru/f/action=vthread&topic=1982&forum=1&p age=-1

| Сообщение посчитали полезным:

sanniassin поделись скриптом, полюбому же есть. Устал я уже VM копать.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

лан,так и быть но разумеется под полное нераспространение. мыло давай

| Сообщение посчитали полезным:

А поясните мне вот такую вещь, что такое "Envelope check". Уже не первый раз это вижу в скриптах по АСПРу, но так до сих пор и не допер.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: