Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› Появился новый AsProtect 2.2
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 08 января 2006 11:03
· Личное сообщение · #1

Зайдите на www.aspack.com. Там появился новый аспр. Я слил закинул в отладчик. Вобщем мне некогда, но беглый осмотр таков:

Ю Все, Солодовников перестал использовать исключения.
Ю VM разбита на гораздо большее количество частей в оперативе
Ю Прыжки между VM осуществляются более извратно.
Ю Переходники на АПИ больше не патчатся, а выполнябтся сразу (хотя я такое уже встречал)

Все некогда, кто, что наковыряет - пишите думаю всем будет интересно.

-----
Yann Tiersen best and do not fuck




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 23 января 2006 11:58
· Личное сообщение · #2

PE_Kill пишет:
Надо полагать защита от оеп фаиндеров. Только причем здесь секция кода, если теперь оеп вообще в заалоченой памяти

ОЕП просто не всегда воруется, потому и такая фишка =) только вот от нормальных оеп файндеров это не поможет , от ручек - тем более

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 18.0 (новичок)
Активность: 0.010
Статус: Участник

Создано: 23 января 2006 15:25
· Личное сообщение · #3

PE_Kill пишет:
все дописываю скрипт и (если распакую программу) буду писать статью

Жду с нетерпением...




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 24 января 2006 15:02
· Личное сообщение · #4

Крэки, обсуждения
Обсуждение тем, не относящихся к исследованию защиты программ

Хмм... А разве AsProtect со своей VM не яыляется защитной программой?

-----
Yann Tiersen best and do not fuck




Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 05 февраля 2006 22:33
· Личное сообщение · #5

PE_Kill пишет:
В общем дайте линки на проги с ASPR'ом 2.ххх.

Качаешь аспр 2.11 и протектишь им всё что под руку попадеццо




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 05 февраля 2006 23:01
· Личное сообщение · #6

sanniassin нет не так все просто. Моя просьба все еще в силе

-----
Yann Tiersen best and do not fuck




Ранг: 153.9 (ветеран)
Активность: 0.120
Статус: Участник
reborn

Создано: 05 февраля 2006 23:10
· Личное сообщение · #7

PE_Kill пишет:
В общем дайте линки на проги с ASPR'ом 2.ххх.


помоему в DVD2one V2 эта версия аспра линк www.dvd2one.com/

и в этой вроде есть DVD Region+CSS Free 5.9.6.5 www.dvdidle.com/

попробуй, проги маленькие, до метра.

-----
~ the Power Of Reversing team ~




Ранг: 153.9 (ветеран)
Активность: 0.120
Статус: Участник
reborn

Создано: 05 февраля 2006 23:15
· Личное сообщение · #8

PE_Kill пишет:
Hi пиплы. У меня сегодня день рожденья!


Сорри завтыкал, сижу просто такой же как ты

PE_Kill пишет:
Блин я щас пьяный.


поздравляю с днюхой

-----
~ the Power Of Reversing team ~




Ранг: 47.4 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 05 февраля 2006 23:23
· Личное сообщение · #9

newborn пишет:
поздравляю с днюхой

ну чувак пей пиво =) и приступать ломать следущую прогу =))))



Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 05 февраля 2006 23:46
· Личное сообщение · #10

PE_Kill пишет:
не так все просто.

а чё так? я свой скрипт скрипт именно так и дебажил и вполне успешно




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 06 февраля 2006 18:13
· Личное сообщение · #11

sanniassin пишет:
я свой скрипт скрипт именно так и дебажил

Я тоже так и дебажу, ну не хочет АСПР сравнения байтов эмулить, я эти комады уже по порядку написал все возможные способы друг за другом. И повторил этот список 3 раза. Блин, он то ли видет что я скрипт тестю, гад. Команду cmp оставляет, а jcc за ней эмулит или вообще не эмулит.

-----
Yann Tiersen best and do not fuck





Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 06 февраля 2006 18:21
· Личное сообщение · #12

PE_Kill на сколько я знаю он и в реальных прогах так делает

-----
StarForce и Themida ацтой!





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 06 февраля 2006 18:34
· Личное сообщение · #13

Maximus неа, вот тут я не согласен. Скачал несколько программ, и в одной из них (О чудо!!) была сперта CMP BYTE PTR DS:[00403541],0. Ура! Это уже прогресс. Буду искать дальше.

-----
Yann Tiersen best and do not fuck




Ранг: 200.3 (наставник)
Активность: 0.090
Статус: Участник

Создано: 06 февраля 2006 20:20
· Личное сообщение · #14

Извиняюсь за встревание, я новичек в этом деле,только UPX могу распаковать, но глянул программу www.dvd2one.com/ , но это же версия аспра 2.1х, ведь в версии 2.2 импорт немного подругому делается
И ещё хотел спросить - www.upload2.net/download2/xvfkUbaYhZCEV8c/dump.7z.html , имхо так распакованная прога ведь не будет работать на другом компе отличном от моего или будет? (кто захочет глянуть пасс в приват)

-----
Само плывет в pуки только то, что не тонет.





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 07 февраля 2006 05:41
· Личное сообщение · #15

DrFits да просто на самом деле я как раз ASPR 2.1x и дрючу, просто когда то очень давно я запостил, что появился новый ASPR 2.20, и заодно спросил у SergSh про 2.1х ну мне и начали помогать. А теперь вроде как и топ не переименуешь, вначале то про ASPR 2.20 посты идут.

-----
Yann Tiersen best and do not fuck





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 07 февраля 2006 15:11
· Личное сообщение · #16

PE_Kill пишет:
Скачал несколько программ, и в одной из них (О чудо!!) была сперта CMP BYTE PTR DS:[00403541],0.

странно... раньше вроде во всех прогах было, попробуй просто поставь бряк на функцию её эмуляции и понажимай кнопки в проге + закрой прогу, обычно на этом пара эмуляций cmp попадалась.




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 07 февраля 2006 15:38
· Личное сообщение · #17

Bronco пишет:
попробуйте на Resource Builder 2.4.0.7.

Я его заинлайнил, пиши на мыло, если надо.




Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 07 февраля 2006 16:46
· Личное сообщение · #18

Bit-hack даешь новую статью про инлайн

-----
StarForce и Themida ацтой!





Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 07 февраля 2006 18:32
· Личное сообщение · #19

Maximus пишет:
даешь новую статью про инлайн

В принципе можно, там не сложно.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 07 февраля 2006 22:21
· Личное сообщение · #20

В той версии, что у меня есть АСПР какойто двухслойный. Вроде начинает распаковываться, вот уже и прыжок на ОЕП и ... бац я снова на начале аспра. Пошел поспал 4 часа, встал попробовал снова, опять тоже самое. После второго прогона уже нормально на ОЕП прыгает. Солодовников наверное мой IPник в защищаемые проги вставляет, и проверяет, если совпал, то всякие бяки делает. Достал уже.

-----
Yann Tiersen best and do not fuck





Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 07 февраля 2006 22:22
· Личное сообщение · #21

PE_Kill
Уже месяц прошёл.Мне бы уже надоело.
Когда релиз?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 07 февраля 2006 22:36
· Личное сообщение · #22

Bit-hack
Чё то отправил через форум,не уверен что дойдёт.
[email protected]
Но мне интересен процесс.Хотя и от результата не откажусь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 07 февраля 2006 22:43
· Личное сообщение · #23

Bronco я же не одну прогу ломаю. В принципе все ок. Только вот с той, по которой я статью написать хочу у меня проблема. Она закрываться корректно не хочет. Указатель на функцию каким то чудесным образом на один байт влево смещается и все, прога падает, потому что по этому адресу ничего нет. Похоже это Солодовников опять так развлекается. Самое интересное, что сперва я ее без скрипта распаковал, но она естественно не работала как надо (там jcc и cmp+jcc больше, чем jmp и call), но запускалась и даже эбаут показывала, а теперь полностью работает, только не закрывается и ЭБАУТ НЕ ПОКАЗЫВАЕТ! Вчера вынес все дампы, импорты ресурсы и буду заново ее распаковывать. Иначе придется выбрать другую прогу для статьи, но хотелось бы эту, тут импорт интересно формируется.

-----
Yann Tiersen best and do not fuck





Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 07 февраля 2006 22:51
· Личное сообщение · #24

PE_Kill
Комфубуляция.
Чё хоть за продукт?Сколько топ листал,так НИФИГА и не понял.
Не получается,клади на неё.Прога,это не бейба,подождать может.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 08 февраля 2006 05:38
· Личное сообщение · #25

PE_Kill пишет:
какойто двухслойный

Ага Ты дошёл до места предположительного перехода на ОЕР?:
009C15C2 /75 08 JNZ SHORT 009C15CC
009C15C4 |B8 01000000 MOV EAX,1
009C15C9 |C2 0C00 RETN 0C
009C15CC \68 D81C9B00 PUSH 9B1CD8
009C15D1 C3 RETN

Дак вот, это не переход на ОЕР, а переход (кажись) на аспр длл.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 08 февраля 2006 07:50
· Личное сообщение · #26

Bit-hack пишет:
Ты дошёл до места предположительного перехода на ОЕР?:

Не, все разобрался. Это оказывается DLL этой проги (первый пргон). Там все DLL АСПРом запротекчены, а при загрузке в Олю она на эти DLL так же, как на основной exe реагирует. Поэтому надо либо сначало все exception вырубить, а после загрузки программы врубить, либо сначала ДЛЛки отломать, тогда Оля на них кричать не будет.

-----
Yann Tiersen best and do not fuck





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 08 февраля 2006 23:12 · Поправил: PE_Kill
· Личное сообщение · #27

Ноконец то я оторвал АСПР от "FontExpert 2005 Version: 7.0 Release 1".
Помнится один человек говорил мне, что бы я не путал защиту импорта и VM в АСПРе. Сейчас я докажу обратное. Оказывается указатель на функцию (см. выше) смещался из-за неправильно выполнившейся апи функции. Точнее команд после нее. В оригинале она выглядет вот так:

CALL 00E60000
JO SHORT 00507EE3
DEC ESI
ADD DH,CL
PUSH 586E74
PUSH EAX
CALL DWORD PTR DS:[55D2F4] ; GetProcAddress


После восстановления:

CALL DWORD PTR DS:[<&kernel32.GetModuleHandleA>]
STC.........................................; <?
DEC ESI..................................; <?
ADD DH,CL..............................; <?
PUSH 00586E74
PUSH EAX
CALL DWORD PTR DS:[<&kernel32.GetProcAddress>]

И что вы думаете там, где стоят вопросики? А там у нас мусор. Вернее спертые байты. АСПР выполняет их в VM после вызова АПИ функции, а потом прыгает сразу на PUSH 00586E74. Пока я исправил 3 таких функции. В этой вообще 4 нопа поставил, здесь не критично:

CALL DWORD PTR DS:[<&kernel32.GetModuleHandleA>]
nop
nop
nop
nop
PUSH 00586E74
PUSH EAX
CALL DWORD PTR DS:[<&kernel32.GetProcAddress>]

А в других:
call lstrlenA
mov ebx,eax <- сперты

GetStdHandle
mov edi,eax <- сперты

Я пока не могу разобраться в логике VM. Для АПИ функций VM другая. Может кто сталкивался с такой проблемой, помогите.
PS Прогу я хоть и распаковал, но кто знает не вызовется ли какая недобитая АПИ по клику на какой нибудь редкий батон.

-----
Yann Tiersen best and do not fuck





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 08 февраля 2006 23:53
· Личное сообщение · #28

PE_Kill пишет:
ейчас я докажу обратное. Оказывается указатель на функцию (см. выше) смещался из-за неправильно выполнившейся апи функции

ну к защите импорта стыренные команды врятли можно отнести... ведь сами call/jmp и адрес апи восстановливаются, соответственно импорт восстановливается ;) а то что команды стырены после call/jmp не означает того что они имеют отношение к импорту... могли бы например тырить их в произвольных местах (как в ACprotect).
А по поводу сабжа... тема уже когда-то поднималась, но я в то время уже забил на аспр, надоел он мне, поэтому и разбираться небыло желания, может Санни копал это дальше... http://www.exelab.ru/f/action=vthread&topic=1982&forum=1&p age=-1




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 09 февраля 2006 06:00
· Личное сообщение · #29

sanniassin поделись скриптом, полюбому же есть. Устал я уже VM копать.

-----
Yann Tiersen best and do not fuck




Ранг: 31.0 (посетитель), 1thx
Активность: 0.040
Статус: Участник

Создано: 09 февраля 2006 06:08
· Личное сообщение · #30

лан,так и быть но разумеется под полное нераспространение. мыло давай




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 09 февраля 2006 14:35
· Личное сообщение · #31

А поясните мне вот такую вещь, что такое "Envelope check". Уже не первый раз это вижу в скриптах по АСПРу, но так до сих пор и не допер.

-----
Yann Tiersen best and do not fuck



<< . 1 . 2 . 3 . 4 . 5 . >>
 [email protected] —› Протекторы —› Появился новый AsProtect 2.2
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати