ASprotect desempacado en ASpack;) Otro empaquetador comercial derrotado

Escrito por Yado

Introduccin
Como probablemente sabrs el ASprotect es otro empaquetador comercial. El ejecutable protegido siempre es encriptado y comprimido. Nuestro blanco es Aspack 2.1 Hay un parche genrico hecho por Chafe pero nosotros queremos descomprimirlo no parchearlo :). Los ejecutables tienen algunas cosas antisice para derrotar antes de que lo podamos desempacar as que.. Empieza a leer y goza:).

Las herramientas requeridas

ASpack 2.1 Original Exe Softice para W9x Icedump El conocimiento del formato PE Algn tiempo, nervios y un cerebro

Leccin
++++++++++++++++++ Asprotect desempacado, leccin por - Yado -

####################################### 1. Eliminando el cdigo Anti Softice # ####################################### El ASprotect usa dos mtodos de deteccin de SICE bien conocidos. El primero es conocido como "MeltIce" y ha sido creado por David Eriksson. Simplemente llama a CreateFileA con los controladores del SICE ".\SICE" ".\SIWVID" ".\NTICE" (no importante en este caso) Y el segundo usa una int 3 para crear un interrupcin y continuar con la desencriptacin del exe usando una excepcin de handle (exception handle), la interrupcin int 3 no trabaja con sice as que el exe principal se bloquea.

P.D.: Al parecer al Asprotect no le gusta los bpx en los api as es que debemos hacer un bonito vacile :) Podemos usar bpx en un api poniendo el bpx no en la primera lnea sino en alguna lnea despus del principio del api. soluciones: Uso un bpx CreateFileA (acurdate de no poner el bpx en la primera lnea de la api) ej: U CreateFileA y pon el bpx en el salto antes del siguiente api SetFileAttributes. Comienza el ASpack.exe y el Sice saltar. Bien, ahora buscamos las cadenas de textos del MeltIce, de esta forma: S 30:401000 L ffffffff "SICE" Encontraras SICE, SIWVID y NTICE cambialos a "lo que quieras"

ej: SICE en XXCE Est bien, ahora puedes tracear el exe hasta que encuentres un INT 3 Cuando estes en la lnea int 3 cmbiala a int 4 y coloca un bpx en LoadLibraryA (recuerda no en la primera lnea) Sal de sice y espera a que sice rompa otra vez. Ahora podemos mirar en 446000, la seccin .idata de nuestro exe, y veremos que est desencriptada y lista para ser volcada, as es que vamos a ello. Pagein D 446000 2000 idata.bin; Ahora tenemos la seccin idata original en claro volcada Ahora ASprotect empieza la desencriptacin de la seccin principal de cdigo, por tanto ponemos un bpm 401000 y salimos de Sice 2 veces traceando el exe principal hasta que saltamos al punto de entrada 442704. Estamos en duro. 442704 y preparados para volcar el proceso entero al disco

Pagein D 401000 7a000 unpack.exe Bien el Exe est ahora descomprimido y tenemos el idata original. Vamos a la parte engorrosa: ############################################ 2. Reconstruyendo al Executable Encriptado # ############################################ Reconstruye el PE como sigue: Object01: Object02: Object03: Object04: .CODE .DATA .BSS .idata VS: VS: VS: VS: 00042000 00002000 00001000 00002000 VOffset: VOffset: VOffset: VOffset: 00001000 00043000 00045000 00046000 Flags: Flags: Flags: Flags: 60000040 C0000040 C0000040 C0000040

Object05: Object06: Object07: Object08: Object09: Object0A:

.tls .rdata .reloc .rsrc .ass .data

VS: VS: VS: VS: VS: VS:

00001000 00001000 00004000 00017000 00014000 00001000

VOffset: VOffset: VOffset: VOffset: VOffset: VOffset:

00048000 00049000 0004A000 0004E000 00065000 00079000

Flags: Flags: Flags: Flags: Flags: Flags:

C0000040 C0000040 C0000040 C0000040 C0000040 C0000040

Raw Size y Raw Offset son iguales que VSize y VOffset. Est bien ahora debes empastar el idata.din volcado antes en nuestro exe en (446000) y debes fijar el EIP a 442704. ... Y Surte efecto:) - Yado -

notas finales
######################################################################### ######################## Este Unpack est dedicado al grupo de Boba Fett y Lockless. Un GRAN gracias para toda la gente crackeante y todos mis amigos. En especial para iNX :) ######################################################################### ######################## Enve por correo cosas interesantes a yado@hotmail.com

Ob Duh
Acostumbro aun molestia aclarar que deberas comprar este programa si tienes la intencin de usarlo para un perodo ms largo de lo permitido. Si en cambio quieres ROBAR este software, no necesitas descifrar su esquema de proteccin para nada: Lo encontrars en la mayora de los sitios de Warez, completo y ya registrado, adis, no regreses.