Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› Появился новый AsProtect 2.2
. 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 08 января 2006 11:03
· Личное сообщение · #1

Зайдите на www.aspack.com. Там появился новый аспр. Я слил закинул в отладчик. Вобщем мне некогда, но беглый осмотр таков:

Ю Все, Солодовников перестал использовать исключения.
Ю VM разбита на гораздо большее количество частей в оперативе
Ю Прыжки между VM осуществляются более извратно.
Ю Переходники на АПИ больше не патчатся, а выполнябтся сразу (хотя я такое уже встречал)

Все некогда, кто, что наковыряет - пишите думаю всем будет интересно.

-----
Yann Tiersen best and do not fuck




Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 08 января 2006 11:41
· Личное сообщение · #2

Гм, этот новый аспр уже с 5 июня как новый, так что вобщем то не новость ) Отсутствия эксепшенов не заметил, а с переходниками даже если это и так, то всё равно не проблема, т.к. их восстановление давно автоматизировано ) А вот с ВМ действительно трабл, сильно её проапгрейдили.

ЗЫ: а как ты аспр то утянул, у тебя акк на форуме есть?




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 08 января 2006 12:22
· Личное сообщение · #3

sanniassin пишет:
а как ты аспр то утянул

Не знаю, может он был приватный, но теперь он доступен всем.

А насчет исключений - нет ниодного с момента запуска до полной загрузки.
Сначала думал, что это у меня после EXECryptora стоят игноры, так нет, не стоит ни одной галки.

-----
Yann Tiersen best and do not fuck




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 08 января 2006 19:25 · Поправил: Smon
· Личное сообщение · #4

PE_Kill
Кстати полный без аккаунта не утянуть.... там свободный демо (триал) =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 88.0 (постоянный)
Активность: 0.070
Статус: Участник

Создано: 08 января 2006 19:32
· Личное сообщение · #5

PE_Kill пишет:
Зайдите на www.aspack.com. Там появился новый аспр.

www.aspack.com/files/aspr22demo.zip




Ранг: 748.2 (! !), 390thx
Активность: 0.370
Статус: Участник
bytecode!

Создано: 08 января 2006 19:39 · Поправил: 4kusNick
· Личное сообщение · #6

Там есть бесплатня демка 2.2 версии, может PE_Kill о ней говорит?
http://www.aspack.com/files/aspr22demo.zip http://www.aspack.com/files/aspr22demo.zip
Тьфу ты, пока писал пост, уже ответили )

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 08 января 2006 22:15
· Личное сообщение · #7

Что интересно - мне тоже не удалось эксепшны поймать =) А демка - смысла в ней нет... т.к. самая важная часть отсутствует
зы: насчитал свыше ста заалоченных блоков - тут видимо не с прикруткой их к файлу не выйдет =(

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 09 января 2006 10:27
· Личное сообщение · #8

Я имел в виду не то, что сам прот выложили, а то, что он сам защищен как раз полной (надеюсь) версией.
Т.е. не интересен прот, а интересно то, что на нем навешано.

-----
Yann Tiersen best and do not fuck




Ранг: 24.3 (новичок)
Активность: 0.010
Статус: Участник

Создано: 09 января 2006 18:42
· Личное сообщение · #9

Smon пишет:
Что интересно - мне тоже не удалось эксепшны поймать =)

Автору надоел метод 29 шифт+ф9 вот он и постарался.
надо развиваться дальше




Ранг: 115.8 (ветеран)
Активность: 0.080
Статус: Участник

Создано: 09 января 2006 19:16
· Личное сообщение · #10

Inv пишет:
Автору надоел метод 29 шифт+ф9 вот он и постарался

вывод.
Аффтар мониторит крякерские форумы.
Солод где то рядом.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!




Ранг: 153.9 (ветеран)
Активность: 0.120
Статус: Участник
reborn

Создано: 09 января 2006 22:34
· Личное сообщение · #11

[EXE]_cutor пишет:
Аффтар мониторит крякерские форумы.
Солод где то рядом.


Попахивает X-Files.
А насчёт Солода так это давно все вкурсе, он видать и щас читает эти строки и смеётся над нами... ГАД.

-----
~ the Power Of Reversing team ~





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 10 января 2006 08:35
· Личное сообщение · #12

[EXE]_cutor пишет:
вывод.
Аффтар мониторит крякерские форумы.

Я думаю за 6 лет он составил себе страничку HotLinks.

Ну а по существу, так никто и не посмотрел?

ЗЫ Я пока не буду смотреть, т.к. 2.11 отламываю (только какой то извратный, там уже половина от 2.2 есть.)

-----
Yann Tiersen best and do not fuck




Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 10 января 2006 15:42
· Личное сообщение · #13

Первые впечатленмя о Аспре 2.2:
1.Обилие VM.
2.IAT типа:
00406F04 - FF25 8C235800 JMP DWORD PTR DS:[58238C]
;kernel32.SetErrorMode
00406F0A 8BC0 MOV EAX,EAX
00406F0C - FF25 88235800 JMP DWORD PTR DS:[582388];kernel32.SetEvent
00406F12 8BC0 MOV EAX,EAX
00406F14 E8 E7900301 CALL 01440000 -папробуем потрассировать эту процедуру не много и видим:
00C95E6E FF75 14 PUSH DWORD PTR SS:[EBP+14] ;kernel32.GetFileType
00C95E71 FF75 0C PUSH DWORD PTR SS:[EBP+C]
00C95E74 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00C95E77 FF60 38 JMP DWORD PTR DS:[EAX+38]
как водим метод похож на ЕХЕкриптовский.
3.Переходы в прцедуры
0170008A 9D POPFD
0170008B 5C POP ESP
0170008C - FF6424 FC JMP DWORD PTR SS:[ESP-4]-вроде не изменились
01700090 04 C0 ADD AL,0C0
01700092 D200 ROL BYTE PTR DS:[EAX],CL
01700094 C3 RETN
4.Но самое итересное это запуск по:
77D38D9C 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
77D38DA0 CD 2B INT 2B
77D38DA2 C2 0400 RETN 4
Неужели и аспр залез в Ring0 или я не так его понял.




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 10 января 2006 19:38
· Личное сообщение · #14

SergSh пишет:
Неужели и аспр залез в Ring0 или я не так его понял.

после установки аспра никакого драйвера не встаёт,
с чего вдруг сомнения насчёт нулевого кольца?

-----
EnJoy!




Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 11 января 2006 05:14
· Личное сообщение · #15

SergSh пишет:
Но самое итересное это запуск по:
77D38D9C 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]

По-моему, я что-то подобное встречал и в версии 2.1.



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 11 января 2006 06:19
· Личное сообщение · #16

Jupiter
Переход в 0 кольцо возможен без использования драйвера через int 2E или по другому SYSENTER
Хорошая статья на эту тему была у Зомби.
Что бы вызвать ф-ию из нулевого кольца, мы должны занести номер ф-ии и указатель на параметры
и затем вызвать ф-ию Int 2E
int 2b - не знаю

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 11 января 2006 06:27
· Личное сообщение · #17

Nice- если можно ссылочку на статью дай.



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 11 января 2006 08:27
· Личное сообщение · #18

SergSh
Сайт Зомби закрыт, посмотрю дома и выложу.

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 11 января 2006 13:35
· Личное сообщение · #19

Обратите внимание на этот кусок кода.
00C8EC4A 9D POPFD
00C8EC4B 8B65 F4 MOV ESP,DWORD PTR SS:[EBP-C]
00C8EC4E 61 POPAD
00C8EC4F C3 RETN
Мне показалось что он является основным моментом при распаковки данной версии, т.к. именно после команды RETN происходит перемещение прота по выделенным областям, в том числе и и на тип JMP DWORD PTR SS:[ESP-4]. Но возможно я не прав.



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 11 января 2006 13:44
· Личное сообщение · #20

Уж не код дллки это аспровой ? если так, то это и в более ранних версиях так же =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 12 января 2006 06:08
· Личное сообщение · #21

SergSh скажи ты так и не разобрался с переходами из кода в VM, в которых флаг Z используется?
А то я уже запарился. У тебя в статье всего один, а у меня 30 штук и зависят еще и от флага C, регистра ESI и EDI. Так никакую таблицу переходов не составишь.

-----
Yann Tiersen best and do not fuck




Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 12 января 2006 07:10
· Личное сообщение · #22

PE_Kill Узел сравнения указан, проанализируй его работу полностью.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 12 января 2006 09:11
· Личное сообщение · #23

Полностью - это надо почти всю VM разобрать. Там для кахдого перехода считывается свой хешь. Число, в конце него означает какой бит в EFL должен быть установлен (или нет) а затем ХЗ,ХЗ,ХЗ,ХЗ,ХЗ. Может кто уже кавырял это дело?

-----
Yann Tiersen best and do not fuck





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 12 января 2006 18:07
· Личное сообщение · #24

PE_Kill пишет:
Полностью - это надо почти всю VM разобрать

ну а ты как хотел ? =) VM можно либо сдампить и прилепить либо полностью разобрать её код и восстановить оригиналы команд, в 2.0 - 2.1х VM не особо хитрая и её давно разобрали ;) а вот в следующих версиях появилась новая VM гораздо большая чем первая.

PS кста статей по VM даже для 2.0 нету вроде вообще, ибо всем кто её разобрал (в том числе мне) лениво их писать. Поэтому не пытайтись найти ответы в статьях (в них часто почему-то путают защиту импорта и VM =)).




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 13 января 2006 05:51
· Личное сообщение · #25

Вот я и пытаюсь сдампить. Разобрался, что если перед вызовом кала из VM сравниваются ESI и EDI,
либо так SUB ESI,EDI или регистр EAX (TEST EAX,EAX), то недостаточно менять флаг !ZF, а необходимо, чтобы эти регистры РЕАЛЬНО! соответствовали условию (т.е. если устанавливаем флаг !ZF перед test eax,eax, то eax должно равняться 0). Так, что переходники я вроде как исправил. Программа даже запускается, выставляю опции, открывается главное окно и... падает. Походу сегодня будет еще одна бессонная ночь.

-----
Yann Tiersen best and do not fuck





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 16 января 2006 07:43
· Личное сообщение · #26

Про переходники я поторопился. Похоже в статье SergSh единственное, что соответствует истине про переходники - это то, что условных прыжков нет, если перед вызовом стоит PUSH XXXXXXXX. Все остальное (про переходники) полный абсурд. Я никоем образом нихочу обидеть SergSh, ему просто попалась программа плохо сросшаяся с ASPR'ом. И я абсолютно согласен с ним в том что Солодовников изменил себе и проги на сях гораздо лучше защищаются второй версией ASPR'а.

-----
Yann Tiersen best and do not fuck




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 16 января 2006 08:13
· Личное сообщение · #27

PE_Kill пишет:
И я абсолютно согласен с ним в том что Солодовников изменил себе и проги на сях гораздо лучше защищаются второй версией ASPR'а.

Лучше чем что ? чем дельфовые ? сомневаюсь
Про асм не в счёт, там защита минимальна...

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 16 января 2006 08:20
· Личное сообщение · #28

Smon пишет:
чем дельфовые ? сомневаюсь

Хм. Может я и не прав, но сказал на основе реальных сравнений...

-----
Yann Tiersen best and do not fuck





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 января 2006 11:19
· Личное сообщение · #29

PE_Kill пишет:
проги на сях гораздо лучше защищаются второй версией ASPR'а.

относительно чего ? ) у прог на сях немного сложнее восстановить импорт, т.к. там не только jmp [iat] но и call [iat] - соответственно это надо учитывать. А у дельфийских прог аспр тырит таблицу инита, восстановить её конечно пара сек... Но краденные байты (метаморф + VM) что для си что для дельфи одинаковое, а т.к. это впринципе основная защита, то врятли можно говорить что аспр си проги защищает лучше.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 16 января 2006 14:00
· Личное сообщение · #30

Mario555 пишет:
относительно чего ?

Относительно этих самых долбаных переходов, для которых я пишу скрипт вот уже 4-ю ночь. Поковырял делфи программы - там все просто, почти нет условный переходов, одна статика. А на сях:
переходы по !ZF
переходы по инверт (!ZF)
переходы по SUB ESI,ECX (SUB ESI,EDI) (причем без использования каких либо флагов)
псевдоусловные переходы (которые на самом деле статические)

МЛЯ Мож я просто давно неспал, хотя я все же распаковал прогу с помощью моего скрипта+4 фикса руками ( таблицы переходов, как раз с псевдоусловными переходами и инвертами !ZF). Вот если бы до конца разобрался с переходами в которах используется инвертированый флаг !ZF то и фиксов руками бы небыло.

-----
Yann Tiersen best and do not fuck



. 1 . 2 . 3 . 4 . 5 . >>
 [email protected] —› Протекторы —› Появился новый AsProtect 2.2
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати