ASProtect / EXECryptor / Themida , Подборка по системам защиты приложений

ASProtect - это система программной защиты приложений. Она была разработана для решения таких задач, как работа с регистрационными ключами и создание демо или trial-версий приложений. Система позволяет разработчикам shareware-программ быстро реализовать функции защиты в своих продуктах.
Подробнее про ASProtect вы можете прочитать здесь: http://www.aspack.com/asprotect.html.

Уравень защиты выше среднего.
Статьи по теме:
Об упаковщиках в последний раз: Часть первая
Об упаковщиках в последний раз. Часть вторая

Исследование ASProtect 1.2
Распаковка ASProtect 1.23 RC4
Медосмотр AsProtect 2.0
По поводу "исправления" программы защищенной ASProtect 2.xx
Восстановление импорта в AsProtect 2.XX

Версии ASProtect 1.3 - 2.0 можно распоковать Stripper-ом.
Cracklab->СКАЧАТЬ->Распаковщики
WASM->ИНСТРУМЕНТЫ->Распаковщики

Так же
Полезные ссылки, Подборка для подраздела RE/Protection

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

EXECryptor - комплексный протектор, поддерживающий различные механизмы регистрации и защиты ПО.

Цитата

Метаморфическое преобразование кода программы, позволяющее защитить программу от дизассемблирования и модификации
Можно защищать ключом отдельные участки кода программы
Усложнение логики программы
Обнаружение и противодействие отладчикам SoftIce, NtIce, TD и др.
Защита точки входа
Защита от модификации кода
Защищенная работа с реестром, не позволяющая программам вроде RegMon определить к какому ключу реестра обращается твоя программа
Технология «Динамического Импорта», которая разрушает имена всех импортируемых функций, а также не использует функцию GetProcAddress
Сжатие ресурсов и исполнимого кода приложения
Поддержка коротких серийных номеров (12 символов)
Поддержка внешнего генератора серийных номеров с OLE/DLL-интерфейсом
Технология OneTouch Trial

Подробнее можно прочитать тут EXECryptor
EXECryptor

Уравень защиты высокий(но Ring-3).
Неплохие технологии обнаружения отладчиков.
(распаковшики встречаются редко )
Статьи по теме:
Об упаковщиках в последний раз: Часть первая
Об упаковщиках в последний раз. Часть вторая

Распаковка EXECryptor на примере InternetAccessMonitor
Распаковка EXECryptor 2.3.9 на примере Family2007 (108 Кб)
EXECryptor (Туторы, скрипты, плагины, ...)

Последний EXECryptor 2.4 beta

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Так, значит посидел, пошаманил с новым AsProtect 2.3
Автор сделал пару серьёзных шагов вперёд, понятно что не о каких автораспаковщиках и речи нет... увы стрипер отдыхает
К OEP можно выйти как всегда несколькими способами, я дошол и трассиовкой(1.5 часа, жуть ), и прыгал по исключениям, и чере бряк на __set_app_type (запакованная прога была написанна на VIsual C++ )
Нда.... внешний вид точки входа вгоняет в уныние, похоже что начало основной ветви кода преведенно в ВМ аспра, т.е. разбавленно мусорным кодом типа:

01CD0EA4       36:EB 01          JMP SHORT 01CD0EA8    
01CD0EA7       E8 8D8C23E4    CALL E5F09B39
или
01CD0ED6       EB 02               JMP SHORT 01CD0EDA
01CD0ED8       CD20 2BC8FF31 VxDJump 31FFC82B
и т.п.

и часть команд заменены вызовами ВМ аспра, которая, естественно находится в динамически выделенной памяти, следовательно о просто дампе можно забыть...
Импорт тоже измучин, но я и не сомневался, тут уже всё привычно

Слабым местом осталось, как обычно правка распакованного кода в памяти, в данной ситуации это намного проще, нежили воевать с ВМ.

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Об упаковщиках в последний раз. Часть третья

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"
Прикреплённый файл______________________________._____________.rar (53.08 Кбайт, скачиваний: 1760)

Последная общедоступная версия Striper 2.13 beta9
stripper 2.13 - unpacker for aspr.
* what is new in 2.13
- fixed: error 85
- experimental: gathering all scrembled code to new section .poly
- experimental: restoring VM instructions (jmp, jxx, cmp)
- experimental: patching one type of CheckEnvelope
stripper download page
По словам syn, последущие версии будут ТОЛКО приватными, если будут вообще

подробнее тут
CRACKLAB форум

Теоритически может распаковать 2.1, слышал про распаковку 2.3...
на практике раз на раз не приходится

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Очередной билд ASProtect

ASProtect 2.3 SKE build 04.23 Beta
- Fixed small problem with VB protected applications
- Fixed the problem with export section processing on some applications
* Modes Manager was updated and additionaly protected to prevent its patching
* Visual Studio 2005 signatures were updated
+ Added additional envelope and virtual machines protection against ASProtect Stripper
+ Added additional checksum protection against protected applications patching and unpacking
+ Added the possibility and debugging support for using aspr_ide.dll library directly inside Visual Basic IDE environment, without necessity to compile native or protected code
+ Added new ASProtect API - "RemoveKey". New API gives one a possibility to completely remove selected registration key both from the system and ASProtect internal Modes Manager.

function RemoveKey ( ModeID : Byte ): Boolean; stdcall;

Please, refer to updated header files for API format and parameters.

+ Added new ASProtect API - "GetHardwareIDEx". New API gives more options to lock protected application depending on hardware/software, selected for a specific mode.
GetHardwareIDEx - retrieves the unique computer identifier, depending on settings of selected mode (currently working or any other valid modes). HardwareID is used to generate keys, limited to particular computer.

function GetHardwareIDEx ( ModeID : Byte ) : PChar; stdcall;

Please, refer to updated header files for API format and parameters.

http://www.aspack.com/files/latest/aspr23beta0423.zip

ВМ стала ещё более тормазнутой
правдо стрипет теперь точно не поможет
хотя ручки ещё некто не отменял

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Хочу предупредить форумчан с тем, что это наихудший протектор
Невменяемый суппорт, не отвечает месяцами, Солодовников зажрался. Форум уже несколько месясцев на maintaince.
Посмотрите даты последний новостей на сайте.
Мало кто знает, что криптографический алгоритм кейгена взломан!
Когда сделали универсальный кейген для SKE и знакомый выложил на форуме аспротекта эту новость, его пост и профиль удалили, в письме написали, чтобы он нарывался.

Решать вам

Добавлено 19.05.07, 09:39
Есть софт защищенный аспром, для которого есть кейгены.

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Наличее кейгена зависет от того, испоьзовался ли внешний алгаритм генерации ключа, какой именно, какая версия аспра.
Для версии аспра 1.1 встречал способ позволяющий имея один верный ключь, написать кейген.

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Думаю ссылка не будет бесполезной
http://blog.swrus.com/programming/protection/idx_394/problemyi_zaschityi_softa.html

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Немного прокоментирую статью:

Цитата

Нашелся один добрый товарищ который хитрым образом умудрился таки пропатчить программу (не полностью, закриптованные секции небыли восстановлены но все же). Патч занимал всего 18 кбайт.

собственно, сначало поправили код программы, а потом и проверку КС, чтоб не возникала
хотя это мог быть и лоадер

Цитата

Через некоторое время я с удивлением обнаружил что в инете появился генератор ключей для моей программы что в принципе декларировалось разработчиками как вещь невозможная! Т.е. теперь получается любая программа защищенная ASProtect становится беззащитной!

В этом нет нечего сверхестественного, просто "хакеры" узнали валидную связку ID+KEY а дальше разобрав алгаритм, написали кейген

P.S. я не в коей мере не защищаю ASProtect, но всё же стоит помнить, что нелоаемых защит не существует

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Цитата ProgramMan @ 25.05.07, 12:58

а дальше разобрав алгаритм

это не защита, если в ней можно разобрать алгоритм...

Добавлено 25.05.07, 20:47
в общем подытожив могу сказать что сейчас наблюдается довольно массовая миграция с Asptrotect на execryptor/armadillo. Новые юзеры не очень охотно покупают дискредитирующий себя продукт...

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Themida
Последняя версия: 1.9
Уровень защиты высокий
Протектор использует драйвер для своей защиты, что усложняет отладку.
Естественно использует INT1,3 использует DRx регистры.

Полное описанеи возможностей http://www.oreans.com/themida.php
или
Перевод

Можно скачать тут
CRACKL@B СКАЧАТЬ - Упаковщики и протекторы
Или с офсайта.

Статьи по теме:
WASM СТАТЬИ>Исследование программ Themida - обновлённый XProtector

CRACKL@B Знакомьтесь - Themida v1.20.1
CRACKL@B Searching for dumper procedure of Themida
CRACKL@B unpacker for themida's packed files. version 1.8.x.x to current
AntiMida 1.0
CRACKL@B TheODBG


Также имее смыл почитать "Об упаковщиках в последний раз"

здесь очень неплохой распаковщик от RSI:
Unpacker ExeCryptor 2.x.x (RSI, CRACKL@B)
для не очень сложных случаев делает всё на автомате при установках по умолчанию.
иногда OEP придется вводить самому.

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

вот пытался распаковать файл sframe защищенный этим ACProtect.

упакованный файл http://www.rapidshare.ru/1482063

рапакованный файл http://rapidshare.com/files/386436665/SFrame.exe.html

вроде все сделал правильно, программа даже запускается, но потом закрывается, хз почему.
Помогите понять ошибку.

PS программа распакована Stripper2.11 (13 версия не берет почему то)
PSS файл взят из игрушки Rappelz

Это сообщение было перенесено сюда или объединено из темы "ASProtect"

Это сообщение было перенесено сюда или объединено из темы "EXECryptor"

Сообщение отредактировано: 3nick - 15.05.10, 08:42