Asprotect versions récentes

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Asprotect versions récentes

Messagepar spray » 06 Février 2017, 02:32

Bonjour,

Je suis visiblement en face d'un logiciel qui est protégé par une version relativement récente d'Asprotect.
Je n'arrive pas à la déterminer précisément car selon les softs d'Analyse je n'obtient pas le même résultat :
- protection_ID 6.6.7 ->ASProtect SKE v2.72 or higher
- Exeinfo PE 0.4.4 -> ASProtect v 2.1/2.75 ou sup
- RDG Packer Detector 0.76 -> Aspack 2.12

1) Comment connaitre le bon packeur et la bonne version utilisé par ce logiciel ?
2) Aucun unpacker auto n'a vraiment fonctionné. Je n'ai pas trouver de sujet détaillé/tuto récent (pas depuis 2010) sur le unpack des versions d'Asprotect les plus récentes. Est-ce que cela reste faisable et est-ce que la méthode reste la même ?

Merci
spray
 
Messages: 7
Inscription: 06 Février 2017, 01:19

Re: Asprotect versions récentes

Messagepar Bango » 06 Février 2017, 09:37

Salut, c'est quoi le soft en question?
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Asprotect versions récentes

Messagepar spray » 06 Février 2017, 15:47

Salut Bango,

Je ne l'avais pas mis exprès parce que je ne voulais pas que ce soit interprété comme une demande genre : "vous pouvez me montrer comment qu'on fait..."

le soft en question c'est ça : h__ps://www.embird.net/file/embrd2k16b1023_x86_setup.exe

Mais justement parce que je n'arrivais pas à determiner avec certitude la version de la protection, je m'étais attaqué à une version bcp plus ancienne espérant trouver un AS plus documenté : h__ps://www.embird.net/files/embrd2k10b88d.exe

Et ben PAF ! (coup de règle sur les doigts) c'est la même m...

ps : j'ai testé ASPrINF1.6 qui m'indique : 1.4 build 11.20 Release. Et selon plusieurs lectures, celui ci semblerait assez fiable pour de l'AS.
spray
 
Messages: 7
Inscription: 06 Février 2017, 01:19

Re: Asprotect versions récentes

Messagepar dionosis » 08 Février 2017, 01:40

Salut spray,

De mémoire tu n'arriveras à rien sur ce coup là sans un serial valide.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Asprotect versions récentes

Messagepar spray » 08 Février 2017, 02:54

ah!!!!

Par curiosité, tu peux m'en dire un peu plus ?

Merci
spray
 
Messages: 7
Inscription: 06 Février 2017, 01:19

Re: Asprotect versions récentes

Messagepar Bango » 08 Février 2017, 17:20

spray a écrit:2) Aucun unpacker auto n'a vraiment fonctionné. Je n'ai pas trouver de sujet détaillé/tuto récent (pas depuis 2010) sur le unpack des versions d'Asprotect les plus récentes. Est-ce que cela reste faisable et est-ce que la méthode reste la même ?

Avec le script de VolX, ça s'unpack tout seul ;) plus qu'à fixer les imports.
baboon va te dire que s'pour les gros nazes... mais il fait le taf :P
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Asprotect versions récentes

Messagepar dionosis » 08 Février 2017, 21:47

Salut,

Je viens d'essayer et effectivement aucun soucis pour l'unpacker à l'aide du script.
En revanche par exemple (y'en a une cinquantaine à la louche) :

seg000:00CF6216 xor eax, eax
seg000:00CF6218 pop edx
seg000:00CF6219 pop ecx
seg000:00CF621A pop ecx
seg000:00CF621B mov fs:[eax], edx
seg000:00CF621E jmp loc_CF62D8
seg000:00CF6223 ; ---------------------------------------------------------------------------
seg000:00CF6223
seg000:00CF6223 loc_CF6223: ; DATA XREF: sub_CF4DF8+E7!o
seg000:00CF6223 jmp loc_40B074
seg000:00CF6223 ; ---------------------------------------------------------------------------
seg000:00CF6228 dd 1, 422810h, 0CF6234h, 0FD348589h, 858BFFFFh, 0FFFFFD34h
seg000:00CF6228 dd 5187883h, 84850Fh, 958D0000h, 0FFFFF810h, 2F8B8h, 626AE800h
seg000:00CF6228 dd 0B5FF0042h, 0FFFFF810h, 0CF733068h, 50858B00h, 0FFFFFFFDh
seg000:00CF6228 dd 73446830h, 958D00CFh, 0FFFFF80Ch, 2F9B8h, 6242E800h
seg000:00CF6228 dd 0B5FF0042h, 0FFFFF80Ch, 0CF649868h, 8958D00h, 0B8FFFFF8h
seg000:00CF6228 dd 2FAh, 426227E8h, 8B5FF00h, 8DFFFFF8h, 0FFF81485h, 7BAFFh
seg000:00CF6228 dd 41E80000h, 8BFF716Dh, 0FFF81495h, 50858BFFh, 8BFFFFFDh
seg000:00CF6228 dd 0F3AEE800h, 458BFF9Fh, 100C608h, 3DE805EBh, 0E8FF7151h
seg000:00CF6228 dd 0FF71518Ch
seg000:00CF62D8 ; ---------------------------------------------------------------------------
seg000:00CF62D8
seg000:00CF62D8 loc_CF62D8:


Et ça ça pue. :?

Il te reste une chance si le schème d'asprotect n'est pas employé.
Sinon la taille du serial laisse penser qu'il s'agirait d'une SKE et si je me souviens bien aujourd'hui il n'y a plus rien à faire.
Il y a eu un petit temps il me semble à la sortie du nouveau schème pendant lequel une rainbow MD5/RC4 de 64 Gio aurait permis le déchiffrement mais ça a été rapidement patché.

Je t'ai retrouvé un excellent papier qui en parle <ICI> mais il y en a quelques autres qui trainent (sur la rainbow je suis moins sûr).

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Asprotect versions récentes

Messagepar spray » 09 Février 2017, 09:04

Waouh !
Merci Bango & dionosis. je n'en demandais pas autant.

je vais creuser cela.

Question :
Est-ce que "ASprotect 1.4 build 11.20 Release" englobe plusieurs années de release patchées, plus ou moins sécurisées ou bien est-ce que cette version, visiblement déjà intégrée en 2012, était déjà aboutie et sécurisée à cette période ?

(l'idée sous-jacente est de me rabattre sur une version de 2012 qui aurait plus de vulnérabilité)
spray
 
Messages: 7
Inscription: 06 Février 2017, 01:19

Re: Asprotect versions récentes

Messagepar spray » 09 Février 2017, 09:15

dionosis a écrit:Salut spray,

De mémoire tu n'arriveras à rien sur ce coup là sans un serial valide.

++

Je crois que je viens de comprendre en lisant l'article.
tu pensais à des "Protected Sections" ?
spray
 
Messages: 7
Inscription: 06 Février 2017, 01:19

Re: Asprotect versions récentes

Messagepar Bango » 09 Février 2017, 12:16

dionosis a écrit:Sinon la taille du serial laisse penser qu'il s'agirait d'une SKE et si je me souviens bien aujourd'hui il n'y a plus rien à faire.

Bah pourquoi? Qu'est-ce qu'elle a la taille du serial?
Il y a beaucoup de place, mais c'est pas pour ça qu'il en veut un gros :P
Code: Tout sélectionner
00966513    > 83F8 0C       CMP EAX,0C

:wink:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Asprotect versions récentes

Messagepar dionosis » 14 Mars 2017, 00:59

Salut,

Bien vu Bango :)
(désolé pour le délai, j'ai un temps libre négatif en ce moment)

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43


Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot], Google [Bot] et 4 invités