unpacking asprotect 2.XX et AIP2

Mettez à disposition vos propres cours de cracking ou des cours que vous trouvez intéressant.

unpacking asprotect 2.XX et AIP2

Messagepar mars » 11 Avril 2009, 21:08

bonjour à tous

voila un tutorial sur comment unpacker asprotect 2.XX
(imports protegés avec Advanced Import Protection version 2)

au programme, des scripts, et trois méthodes au choix:
- la methode metr0
- la methode ulysse_31
- la methode pnluck

http://xtx.free.fr/liens/tut/unpackme/m ... X_AIP2.rar

voila amusez vous bien :D

a+
mars
Crackeur de folie !!!!
Crackeur de folie !!!!
 
Messages: 403
Inscription: 17 Avril 2004, 02:14

Re: unpacking asprotect 2.XX et AIP2

Messagepar Bango » 29 Avril 2009, 07:42

Merci mars :D

Trés utile... le petit stripper n'étant pas souvent efficace sur ces nouvelles versions.

Je suis justement en train de m'arracher les cheveux sur une version 2.3 ou 2.? avec stolen bytes et tout, et c'est po du gateau!

A ce propos y a t-il un moyen fiable de connaitre la version exacte du packer?
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1564
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: unpacking asprotect 2.XX et AIP2

Messagepar baboon » 29 Avril 2009, 12:32

tu pourrai me donner le nom de ta cible par MP PapaBango ?
ca m'interresse ;)

Sinon pour avoir la version exacte tu peux toujours essayer RDG Packer detector ou ProtectionID qui sont généralement plus précis que PEID
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3346
Inscription: 08 Juillet 2005, 17:49

Re: unpacking asprotect 2.XX et AIP2

Messagepar mars » 29 Avril 2009, 12:39

salut PaPa Bango

pour identifier la version, je dirais protectionID comme baboon :)
aprés pour les stolens bytes, le tut d'elooo ou de kaine et le
post d'ulysse_31 --> recherche "grrrr ASProtect 1.23 RC4 Registered"
sur FC --> et sinon le script de volx peux aussi t'aider
pour les stolens bytes

a+
mars
Crackeur de folie !!!!
Crackeur de folie !!!!
 
Messages: 403
Inscription: 17 Avril 2004, 02:14

Re: unpacking asprotect 2.XX et AIP2

Messagepar Bango » 29 Avril 2009, 14:22

Salut,

effectivement, j'avais dejà essayé avec protection ID ( j'ai bien lu ton tuto hein!) qui me dit aspr 2.3 /2.4
Mais j'avais lu quelque part sur le forum de EXETOOLS qu'il existait un outil ou un plugin peid je sais plus qui détectait très bien les versions asprotect, mais impossible de télécharger les fichiers joints sans être inscrit et les inscriptions sont fermées....

J'ai aussi tenté avec le script de Volx 1.15E + ollydbgscript1.67.3 mais j'ai une procédure invalide dans imprec quand je lui indique l'OEP.
Auto search ne trouve l'IAT pas si je ne rentre pas manuellement l'oep.
La du coup, c'est surement un peu difficile pour le débutant en unpacking que je suis....
Sinon super ce script!

Merci pour les tutos.
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1564
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: unpacking asprotect 2.XX et AIP2

Messagepar mars » 29 Avril 2009, 15:36

salut PaPa Bango
ça me reviens maintenant, il existe un plugin pour peid/studpe qui s'appelle VerA, qui te permet de vérifier la version exacte d'asprotect:
http://www.pediy.com/tools/unpack/ASPro ... a/vera.zip
enfin des fois, ça indique ça : Version: [ Unknown! ]
a+
mars
Crackeur de folie !!!!
Crackeur de folie !!!!
 
Messages: 403
Inscription: 17 Avril 2004, 02:14

Re: unpacking asprotect 2.XX et AIP2

Messagepar Bango » 25 Mai 2009, 15:31

Salut tous,

Bon bah comme prévu j'en bave comme pas deux et j'y arrive toujours pO :lol:

Pour ce qui est de trouver l'OEP (et c'est déjà dur :p ) j'y arrive assez vite, dans la foulée les calls "ASPR" se repèrent et se fixent assez facilement d'autant qu'il y a pas mal de tutos sur la question et grace à mars :wink: il est aussi facile de fixer ces calls en se faisant un petit script.
Par contre il y a peu ou pas de tutos sur comment fixer les fonctions redirigées? volées? bouffées? (à part celui de Baboon mais c'est trooooop dur pour moi, je ne sais même pas comment exploiter tout ça :P ) Je suis preneur de vos liens !

Et pis j'avais une chtite question : Comment se fait-il que lorsque je débugge le soft dans virtualBox, et que j'utilise le script unpacker 1.15 de volX, le soft se charge - meme apres expiration de la pèriode, le soft parait unpacké + patché ??! Alors que ce n'est pas le cas directement sur mon poste. Et de plus ce script réalise généralement un dump, mais ce n'est pas le cas dans la VM.... une idée ?
Du coup je me demandais si il y avait pas moyen d'utiliser ce qu'il se passe dans la vm pour comprendre le fonctionnement de la redirection des fonctions?

Merci
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1564
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: unpacking asprotect 2.XX et AIP2

Messagepar baboon » 25 Mai 2009, 21:43

PaPa Bango a écrit:Par contre il y a peu ou pas de tutos sur comment fixer les fonctions redirigées? volées? bouffées? (à part celui de Baboon mais c'est trooooop dur pour moi, je ne sais même pas comment exploiter tout ça :P )

A problème compliqué solution compliquée ;)
il y a d'autres solutions a ce problème mais qui sont un peu plus crades (meme beaucoup plus crades)
ulysse en parle dans ce post
en gros ca consiste a ripper le bytecode et le code de la VM d'asprotect dans une section ajoutée
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3346
Inscription: 08 Juillet 2005, 17:49

Re: unpacking asprotect 2.XX et AIP2

Messagepar Bango » 26 Mai 2009, 16:37

Merci Baboon pour ce nouveau lien :D

Plus crade certes,... mais peut être plus accessible pour les longuets de la comprenette comme moi :wink:
D'abord bien comprendre le fonctionnement puis ensuite essayer de faire proprement les choses.
Et pis on est pas tous anormaux! chui qu'un humain moi :mrgreen:
Mais il va bien falloir comprendre parce que j'ai l'impression que la protection asprotect se démocratise! je sais pas si c'est un hasard ou un coup du sort, mais les deux cibles que j'ai testées depuis sont également asprotectées comme il faut.

-- 26 Mai 2009 17:39 --

Merci Baboon pour ce nouveau lien :D

Plus crade certes,... mais peut être plus accessible pour les longuets de la comprenette comme moi :wink:
D'abord bien comprendre le fonctionnement puis ensuite essayer de faire proprement les choses.
Et pis on est pas tous anormaux! chui qu'un humain moi :mrgreen:
Mais il va bien falloir comprendre parce que j'ai l'impression que la protection asprotect se démocratise! je sais pas si c'est un hasard ou un coup du sort, mais les deux cibles que j'ai testées depuis sont également asprotectées comme il faut.

Et comment ça se fait que dans ma VM, le volX Script fonctionne nickel jusqu'à patcher le time limit, et la periode d'utilisation?
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1564
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: unpacking asprotect 2.XX et AIP2

Messagepar Arkan » 29 Mai 2009, 08:52

PaPa Bango a écrit:
Et comment ça se fait que dans ma VM, le volX Script fonctionne nickel jusqu'à patcher le time limit, et la periode d'utilisation?



As-tu résolu les stolen bytes avant de fixer ton iat?

ton script t'indiques où le faire.

Valà
Avatar de l’utilisateur
Arkan
Mutation en crackeur...
Mutation en crackeur...
 
Messages: 97
Inscription: 03 Juin 2007, 16:53

Re: unpacking asprotect 2.XX et AIP2

Messagepar Bango » 29 Mai 2009, 13:32

Salut,

ton script t'indiques où le faire.


Bah oui j'ai résolu (certains ) stolen bytes, mais j'ai du en oublié ! :wink:
J'essaie de le faire à la main alors si je regarde le script, c'est de la triche !Mais c'est surement ça, parceque les Call "ASPRO" doivent tous être fixés, ce n'est pas trés difficile à trouver :? ...
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1564
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: unpacking asprotect 2.XX et AIP2

Messagepar Arkan » 30 Mai 2009, 08:20

oui il t'indiques, mais les as tu correctement remis? et comme tu dis, n'en as tu pas oublié?
Avatar de l’utilisateur
Arkan
Mutation en crackeur...
Mutation en crackeur...
 
Messages: 97
Inscription: 03 Juin 2007, 16:53

Re: unpacking asprotect 2.XX et AIP2

Messagepar baboon » 31 Mai 2009, 09:14

Si tu n'as pas changé de cible depuis ton dernier post, tu auras bien plus d'embetement que les stolen bytes
Tu as une paire de fonction redirigées avec du code virtualisé il me semble (je ne m'en souviens plus ..) que les fonctions ont du code virtualisé avec plus de 2-3 instructions émulées
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3346
Inscription: 08 Juillet 2005, 17:49

Re: unpacking asprotect 2.XX et AIP2

Messagepar Bango » 02 Juin 2009, 15:15

Tu as une paire de fonction redirigées avec du code virtualisé il me semble (je ne m'en souviens plus ..) que les fonctions ont du code virtualisé avec plus de 2-3 instructions émulées


Bah Voui c'est ça qui me pose de GROS problèmes :P
Une fois que tous mes calls ASPR sont fixés ils me reste des Call 503060("fixes") qui sont en fait des JMP XXXX0000 où je retrouve encore plusieurs CALL XXXX0000, et où doivent être émulées les instructions. C'est là que je sue un peu :D mais l'étau se resserre ...

-- 05 Juin 2009 17:29 --

YEEESSSSSSSs !!

j'en avais oublié un!(de call) qui s'était caché :lol: reste "plus qu'à" tenter de le péter.

Pff v me packer un notepad avec juste AIP, je suis sur que ça va me paraitre facile maintenant 8)

Bon week end à vous.

-- 28 Juil 2009 11:49 --

Je sais pas trop ou poster ça mais je mets le lien d'un petit tuto ( de CondZero de Arteam je crois ) pour creer un loader -générique- pour les programmes asprotectés (et dont le schéma d'enregistrement est issu du packer)

hTEUTEUp://tutorials.accessroot.com/arteam/site/download.php?view.17

C'est pas tout jeune mais j'ai testé la méthode sur plusieurs applis et ça fonctionne relativement souvent. Et en plus j'aime bien ce côté 'un byte à patcher' ! :D
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1564
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city


Retourner vers Tutoriels

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités