Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 [email protected] —› Протекторы —› Распаковка AsProtect в OllyDbg
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 12 августа 2005 04:58
· Личное сообщение · #1

Подскажите как это сделать?
Исследуемая программа AlfaClock 1.82 русская версия.
Сайт программы www.alfasoftweb.com/rus/




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 13 августа 2005 23:11
· Личное сообщение · #2

угу, с импортом вроде ничего особенно не поменялось по сравнению с прошлыми версиями (2.0-2.1), но вот ВМ %)




Ранг: 199.6 (ветеран), 12thx
Активность: 0.10
Статус: Участник
www.uinc.ru

Создано: 14 августа 2005 00:54
· Личное сообщение · #3

> могу кинуть скрит для ольки

Кинь конечно, можно и в приват, ring-3 отладчики конечно суксь, но на безрыбье кек известно, да и вобще вкусы последнее время меняются =) Когда Ильфак сделает в своем отладчике все то что мы давно в десять голосов просим, тогда будет мне щастье и буду я скрипты на перле писать =)
А до того что все видно, я конечно провел только беглый осмотр, а потом пошел пить вотку на выходные, но нашел я только где идет возврат в прогу, а где реальная функция вызвалась незаметил. Зато нашел больше 20 мест с POLY_BUFFER. Если в этой версии неудастся рипанут VM как обычно, то будет мне сказочный геморрой, но раз подписался надо делать, людей кидать нехорошо.



Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

Создано: 14 августа 2005 01:00
· Личное сообщение · #4

ValdiS пишет:
а поподробнее о
Club Timer: что за прога, вес, огграничения и т.д

Прога для компьютерного клуба (имхо одна из лучших). Одну из первых ломал HEX, там была привязка клиент - сервер на проверке серийника. Сейчас в последни версиях просто упаковываются server.exe (198 Kb). Ограничение - кол-во контролируемых машин.

gloom пишет:
из-за того что кто-то там просит. Лучьше пусть Mario555 подскажет жертву.

Пусть будет так=)

-----
TBR




Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 14 августа 2005 01:07
· Личное сообщение · #5

В Иде при записи/чтении байтов даже нельзя быть уверенным что команда выполнилась успешно,
а проверить геморно, о каких нормальных скриптах можно говорить
Лучше бы Red Plait обратил свой взгляд на OllyDbg, раз уж вкусы меняются (с), и встроил
perl в него, вот тогда точно "будет всем счастье" ;)




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 14 августа 2005 01:14
· Личное сообщение · #6

Grey
Аспр в клубтаймере не главное. В проге неплохая своя защита, а аспр так, для проформы навешан.



Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

Создано: 14 августа 2005 01:21
· Личное сообщение · #7

Ara пишет:
В проге неплохая своя защита

Хм... Это точно? А что именно не знаешь?

-----
TBR





Ранг: 199.6 (ветеран), 12thx
Активность: 0.10
Статус: Участник
www.uinc.ru

Создано: 14 августа 2005 03:06
· Личное сообщение · #8

> В Иде при записи/чтении байтов даже нельзя быть уверенным...
Это какраз самая малая проблема отладчика о которой мы, давно офицально покупающие этот продукт, талдычим аффтору. Вы не поверите, но после каждой новой версии иды неделю мат RP слышно на четыре этажа в обе стороны, когда ему приходится перетачивать кучу наиценнейших непубличных плагинов под новую версию

> Лучше бы Red Plait обратил свой взгляд на OllyDbg, раз уж вкусы меняются
Отвратительный неуправляемый дизассемблер это самый большой косяк ольки, посмотрим что будет в следующей версии, если она таки состоится



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 14 августа 2005 03:10
· Личное сообщение · #9

DrGolova пишет:
Отвратительный неуправляемый дизассемблер это самый большой косяк ольки


Угу, это очень заметно на коде с обфускацией.
За то в другом он(а) сильна



Ранг: 28.6 (посетитель)
Активность: 0.010
Статус: Участник

Создано: 14 августа 2005 03:14
· Личное сообщение · #10

DrGolova
DrGolova пишет:
Если в этой версии неудастся рипанут VM как обычно, то будет мне сказочный геморрой, но раз подписался надо делать, людей кидать нехорошо.

В этой версии VM обычная, а вот мне недавно попалась прога с последним аспром - 2.2 бэта вроде. Там VM поменялась, навороченней стала. Мне вот мысль пришла такая - если Солодовников будет менять VM с каждым релизом, что тогда ?




Ранг: 260.3 (наставник), 2thx
Активность: 0.120
Статус: Участник
PPC-PROTECT author

Создано: 14 августа 2005 13:47
· Личное сообщение · #11

inferno_mteam не исключено что будет так... пипец будет.

-----
Пиво, сиськи, транс




Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 15 августа 2005 06:18
· Личное сообщение · #12

inferno_mteam пишет:
AlfaClock 1.82 точка входа:
004C5444 55 PUSH EBP

......

Действительно, дойти до точки входа достаточно просто (особенно через скрипт Олли).
А что за функция эмулируется дальше.
00406B90 E8 6B94D500 CALL 01160000 //?
и далее по коду:
01160122 FFD0 CALL NEAR EAX
Адрес и код последней функции постоянно меняется (CALL EBX, Call EDX и т.д.)
Может кто-нибудь прояснит, что это такое? А то, подобный способ используется и в других
прогах, защищенных аспром. И я не знаю, как это обойти. Дамп, естественно, на этом шаге виснет.




Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 15 августа 2005 07:47
· Личное сообщение · #13

Так все-таки что решили? Остановились на AlfaClock 1.82?

-----
Get busy living or get busy dying ©




Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 15 августа 2005 08:12
· Личное сообщение · #14

www.tuts4you.com - может поможет в распаковке аспра



Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 16 августа 2005 05:09
· Личное сообщение · #15

Посмотрел материалы на этом сайте www.tuts4you.com. Там рассмотрены примеры восстановления импорта аспра демо-версии 2.х (незарег. версии). Она проще, эмулированная Api-функция видна (push 79xxxx) перед перед выходом Retn. В AlfaClock 1.82 применена зарегистрированная версия аспра, она глубже интегрируется в тело программы и восстановить импорт методом, как показано на этом сайте, не удается.




Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 16 августа 2005 08:00 · Поправил: Getorix
· Личное сообщение · #16

tar4 пишет:
не удается

аналогично. Идеи есть?

-----
Get busy living or get busy dying ©




Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

Создано: 16 августа 2005 09:07
· Личное сообщение · #17

Getorix пишет:
Так все-таки что решили?


Mario555
"Что скажет купечество?" (с)

-----
TBR





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 августа 2005 11:34
· Личное сообщение · #18

эээ... при чём тут я ? =)
ну если в этом AlfaClock 1.82 нет ВМ, то начните с него, т.к. это будет проще чем сразу с полным аспром бороться... импорт в принципе не сложно восстанавливается (скриптик не большой в отличии от того который для ВМ), тут уже и инфа вроде была и ссылка на форум один тож была, ищите, исследуйте ;)




Ранг: 420.3 (мудрец)
Активность: 0.240
Статус: Участник

Создано: 16 августа 2005 13:07
· Личное сообщение · #19

tar4 пишет:
особенно через скрипт Олли

Что за скрипт? У кого есть дайте, плз.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться




Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 16 августа 2005 13:32
· Личное сообщение · #20

Как один из вариантов, может пойти по такому пути.
Находясь на ОЕР, смотрим "View - Intermodular Calls".
Видим более десятка команд, типа Call 01160000 - это то, что нужно восстанавливать.
Берем первый по выполнению кода. Ставим на него бряк и отпускаем по F9.
Прога остается на месте, но меняется код вызова (например на Cal 01390004). Теперь трассируем по F7 и в конце выходим в тело API-функции. Делаем анализ кода и находим начало функции. Теперь "View calls tree" и видим название функции. Теперь можно менять: Cal 01390004 на Call 79xxxx. Правда, не везде все так просто.




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 августа 2005 17:33
· Личное сообщение · #21

tar4
неправильная идея =) во первых импорт нужен нормальный (никаких "железно" вбитых адресов функций), во вторых руками все функции заколебаешься восстанавливать.




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 16 августа 2005 19:07
· Личное сообщение · #22

Mario555 пишет:
скриптик не большой в отличии от того который для ВМ

Тыб выложил небольшой скриптик с некоторыми каментами, чтоб можно было переделывать самому под любую прогу. Глядишь, кто-нить тулзу напишет для импорта...



Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

Создано: 16 августа 2005 20:21
· Личное сообщение · #23

Mario555 пишет:
скриптик не большой

Мы чо, скриптами будем учиться пользоваться?
Не-е...
Давайте прямо от 401000 и пойдем.
Ато УПХ - всем ручками советовали, а тут - скрипты=))

-----
TBR





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 августа 2005 20:43
· Личное сообщение · #24

Grey пишет:
Мы чо, скриптами будем учиться пользоваться?

нет, вы будете учится их писать ;) поэтому и выкладывать готовый я не буду... (на самом деле мне впадлу коменты в нём делать =)) ).




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 16 августа 2005 20:46
· Личное сообщение · #25

Mario555 пишет:
мне впадлу коменты в нём делать

Ну не делай каменты, там и так все ясно. Выложи без каментов, тока отдельно для импорта.



Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

Создано: 16 августа 2005 21:15
· Личное сообщение · #26

Mario555 пишет:
нет, вы будете учится их писать

Эт хорошо =))
От 401000?
А топик потом можно будет в фак добавить.

-----
TBR





Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 16 августа 2005 21:40
· Личное сообщение · #27

Мда, может и правду лучше с 401000 начать, как изначально задумывали, чтобы бардака не было. Прямо по заданиям и пойдем (найти оеп, и т.д. и т.п.).
p.s. хорошо хоть прогу выбрали

-----
Get busy living or get busy dying ©





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 августа 2005 22:19
· Личное сообщение · #28

Ara пишет:
Ну не делай каменты, там и так все ясно

сомневаюсь что будет ясно... пусть лучше сами пишут тем более что они это и хотят.

Grey пишет:
От 401000?

в смысле ? аспр адреса апи проги получает динамически (в момент вызова), поэтому импорт можно восстанавливать находясь на OEP.



Ранг: 389.6 (мудрец)
Активность: 0.150
Статус: Участник

Создано: 16 августа 2005 23:33
· Личное сообщение · #29

Mario555 пишет:
в смысле ?

Я про то, что сначала надо скрипт прохождения на ОЕР написать;))

-----
TBR




Ранг: 10.0 (новичок)
Активность: 0=0
Статус: Участник

Создано: 17 августа 2005 04:25
· Личное сообщение · #30

Grey
Хорошая идея. И главное все сделать ручками, чтоб до конца уяснить что где и как. До OEP ручками, и все остальное тож до полного триумфа




Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM [email protected]

Создано: 17 августа 2005 08:41 · Поправил: Getorix
· Личное сообщение · #31

scanner пишет:
все сделать ручками

Согласен, я бы тоже хотел научиться их писать. Даже тутор где-то попадался, найти не могу...

-----
Get busy living or get busy dying ©



<< . 1 . 2 . 3 . >>
 [email protected] —› Протекторы —› Распаковка AsProtect в OllyDbg
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати