[HELP] Quitar proteccion Asprotect 2.3 o superior

yocar · 13 Mayo 2009, 00:43 AM

Hola gente! Me presento, soy Carlos pero me pueden decir "car" xD

Tengo un problema con un programa q esta cifrado con Asprotect y he seguido varios tutos para removerle la proteccion pero no logro hacerlo arrancar, una vez q corrijo la IAT me tira error de aplicacion... calculo q estoy haciendo algo mal...

Los identificadores me tiraron estas versiones:
PEiD 0.95: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
PEiD con VerA: Version: [ Unknown! ], Signature: [ 0BCBD2DA ], E-Mail: [ PE_Kill@mail.ru ]
ProtectioniD: ASProtect v2.3 - v2.4 (or newer) detected !

Vi en un post de hace unos meses q a un usuario le pasaba algo similar, y siguiendo un video tutorial lo pudo sacar...

Si alguien tiene alguna data q me pueda servir se los agradecere...
Estoy usando el script Aspr2.XX unpacker v1.15e para ollydbg para llegar al OEP, pero hay algo q me lo hace mal cuando reconstruyo la IAT

Gracias!
Saludos.

Amerikano|Cls · 13 Mayo 2009, 01:42 AM

Puede que tenga muchas de las tantas protecciones que tiene asprotect, mira, muestranos capturas de donde te sale el error y todo lo demas y nos quedaria mas facil ayudarte. En estos tiempos he aprendido algunas cosas sobre este packer, tanto así que estoy por resolver un SKE, y espero publicar un tute muy pronto, pero estoy corto de tiempo, pero mira, danos las caps o el programa y podremos decirte que proteccion mas o menos tiene

.

Salu2

yocar · 13 Mayo 2009, 02:14 AM

Hola Amerik@no, gracias por responder... si puede ser q tenga algo de eso, mira ahi te mando unos screens para q veas...

aca llego al EOP y hago el dump

arreglo la IAT

y cuando corro el soft tira este error...

el soft esta para descargar en esta pagina...

gracias!... saludos

Amerikano|Cls · 13 Mayo 2009, 02:52 AM

Ese error quiere decir que hay una direccion que apunta a una zona de asprotect, es decir, puede que no este completamente reparada la IAT, o tambien que emule alguna API en la zona 160d7dc, o se trate de una maquina Virtual $:-\$ , mira, en estos tiempos aun no logro desatarme de las tareas y por eso no tengo tiempo de ver detalles en el programa, pero cuando me desocupe te ayudo con esto en lo que mas pueda. Pero tambien prueba con el stripper a ver si te anda

.

Te dejo un link donde puedes buscar la version que quieras del asprstripper y prueba a ver con cual te corre

que si es de hacerlo a mano se llevaria su tiempo en analizarlo, y eso es lo que menos tengo, pero aca en el foro tambien hay gente que te puede ayudar

.

http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/

Salu2 y suerte.

yocar · 13 Mayo 2009, 03:21 AM

gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD

bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida

gracias por el link.
saludos!

Shaddy · 14 Mayo 2009, 02:26 AM

Cita de: yocar en 13 Mayo 2009, 03:21 AM
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD

bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida

gracias por el link.
saludos!

Yo más que probar con el stripper miraría a ver porque te pide esa sección, muchas veces ASprotect también agarra el sistema de protección del mismo software, y puede que tenga que ver con la licencia (a lo mejor está buscando una variable de entorno, string para licencia, etc etc...), como última opción siempre puedes dumpear esa región y añadirla al desempaquetado.

Shaddy.

yocar · 14 Mayo 2009, 04:47 AM

Hola Shaddy =), probe el stripper pero no me sirvio para esa version de aspr... he probado con el ollydbg ambos archivos para ir paso por paso y ver si hay alguna diferencia en el codigo, pero a simple vista hace todo igual, no tuve tiempo de examinarlo mas detalladamente... voy a probar eso q dices, ver q hay en esa region para ver si tiene algo q ver...

saludos!...
car.

solidcls · 29 Mayo 2009, 02:11 AM

Hola Yocar, bueno te cuento que yo alguna vez estuve mirando las aplicaciones de esa compañia, y te digo que al menos las que yo hice, ninguna tenia asprotect, he encontrado tElock, y no recuerdo si tambien ASPack, pero asprotect, seguro que no, no se si las que estas viendo son versiones mas nuevas a las que vi yo, esa captura del error que pones, me lo hacia a mi, porque el programa te borra el dumpeado, fijate por casualidad si cuando ejecutas el dumpeado, no crea un archivo .bat y ese archivo te borra el dumpeado cuando lo estas ejecutando.
Si te sirve de algo, yo hice un tutorial de uno de esos programas, son 2 partes y estan en la web de ricardo, en las teorias. cualquier cosa me avisas
Saludos.
Solid.

Shaddy · 29 Mayo 2009, 12:41 PM

Cita de: yocar en 13 Mayo 2009, 03:21 AM
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD

bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida

gracias por el link.
saludos!

¿que hay en 0x4048BE?

Un saludo.

Shaddy.

P.D: Haz caso al consejo de Solid.

yocar · 31 Mayo 2009, 17:41 PM

Hola gente como andan?

@solidcls: mira tengo dos versiones diferentes del programa, la mas vieja viene protegida con el tElock y la nueva con asprotect 2.3, por lo menos el RGD dice eso... con respecto al .bat si lo he visto, cuando pongo aceptar al error me borra el dump, pero lo q hago es antes de apretar aceptar borro el .bat asi no tengo q volver a dumpear... pero el tema del error, haciendo el traceo, me llama a una funcion q no existe, porq el codigo no es legible... voy a ver si puedo poner un screen... ahora voy a revisar el tutorial q hiciste gracias

@shaddy: no lo se LOL ahora voy a chequear eso, gracias!

saludos...