Download Anti Aspr. v0.7

Added to site2002-12-31
Rating90/100
Votes6


antiaspr.v0.7.zip (19093 bytes)

namesizecompressed
anti3.exe 10752 4264
anti3.asm 56646 9998
Uring.dll 3072 1160
anti.rc 1293 543
readme.txt 5451 2458

readme.txt

					Anti Aspr. v0.7

				  (c) LuTiN NoIR / TeeJi 2000

I_Introduction :
----------------


    Ce programme sert α obtenir un dump fonctionnel des programmes protΘgΘs avec Asprotect. Il enlΦve l'anti-debugger ainsi que la destruction de l'import table. Il rΘcupΦre Θgalement le nouvel eip et fait boucler le prog indΘfiniment sur lui mΩme en mΘmoire. Ensuite un dumper et un rebuilder (modifiΘ) s'occupe de crΘer un dump.


II_Utilisation :
----------------

   Pour obtenir un dump d'un programme protΘgΘ avec asprotect il suffit de cliquer sur load, et de sΘlectionner le prog protΘgΘ. Maintenant le prog se charge de crΘer un exe dumper et change Θgalement le nouvel eip. Cependant un changement de l'RVA de l'import table est nΘcessaire. Il s'en occupe dans certain cas (si il ne le fait il affiche see help). Normallement vous devez obtenir un dump opΘrationnel (sauf si pb avec l'import table).


III_Limitation :
----------------

  Cette version d'Anti Aspr supporte Θgalement les prog protΘgΘs avec asprotect qui n'utilisent pas d'anti-debugger. Cependant elle ne permet pas de dumper les dlls protΘgΘes avec asprotect. Quatres versions versions d'asprotect sont supportΘes (peut-Ωtre plus). Si toutefois ce prog ne marcherait pas avec le logiciel que vous voulez dumper j'apprecierais que vous m'Θcriviez α [email protected] pour me dire que Anti Aspr ne marche pas avec ce prog en me prΘcisant ce qu'il fait et o∙ je peut me procurΘrer le logiciel.
La version 1.0 n'est pas encore supportΘ α cause d'un changement au nveau de l'import table.

IV_Fonctionnement :
-------------------

  Anti Aspr. vΘrifie d'abord si le prog est protΘgΘ avec asprotect et si il l'est alors il s'occupe de mettre des cc un peu partout dans le code (en fait au endroits stratΘgiques :)) puis il hook l'interruption 3 et la procΘdure de hook se charge de modifiΘ certaine chose dans le prog (voir les sources).
  Pour ce qui est de passer en ring0, hooker l'interuption 3 et allouer de la mΘmoire en zone systΦme j'ai fait appel α Uring.dll qui a ΘtΘ codΘ par Teeji. (elle est sur www.crackfr.com).
  Pour ce qui est de rΘcupΘrer l'eip du prog (je parle du fichier et non l'eip du prog dΘcompressΘ en mΘmoire), j'ai repris une fonction codΘ par Teeji par simple flemme: j'ai pas eu le courage de recoder cela.
  Pour les autres modifications du Pe-Header j'ai codΘ de fonction qui s'en charge, mais je devrait la remplacer prochainement par une autre mΘthode (changement direct en mΘmoire).
  Pour le Pe-Rebuilder et le dumper c'est l'oeuvre du chef :). Il a codΘ les fonctions dans le cadre de son programme ProcInfos. Je les est juste rajoutΘs (avec une petite modification).


V_Import Table RVA:
-------------------

  Cette version ne change la RVA de l'import table seulement pour les programmes qui ont une section .idata. Pour les autres une petite recherche personnel est encore nΘcessaire pour le moment (j'y travail). Pour les autres l'import table se situe dans la section .rdata. Comment trouver dans ce cas l'RVA et bien c'est trΦs simple. Avant tout chose je vous conseil de lire les excellents tuts d'EL Caracol sur la questions, sans eux je n'aurais rien pu faire. Vous ouvrez donc le prog dumper avec un Θditteur hexa et vous recherchez kernel32.dll. Vous notez α quel offset il se trouve, ex: 17dc8 et la vous effectuΘ une recherche sur c87d01 et lα vous notez l'offset α laquel il se trouve, ex :  177c4. Lα vous retrancher 34h α cet offset (ici: 17790) et vous obtenez l'rva de l'import table qu'il vous faut changer α l'aide de ProcInfos par exemple...


VI_Liste de test:
-----------------

Anti aspr a ΘtΘ testΘ avec succΦs sur :

Chameleon Clock 2.2b
Quick Icon Grabber 2.1
Aspack 2.1
Advanced Gif Optmizer v2.3
3d Exploration 1.2.5
Zvolume 3.04 (avec changement α la main de la RVA de l'import table)
Tous les progs de chez Elcom:
Advanced Zip Password Recovery vx.x
Advanced Arj Password Recovery v1.09
....

Anti Aspr ne fonctionne pas encore sur (ces progs sont protΘgΘs avec la derniΦre version d'asprotect je suppose):

DzSoft Perl Editor v3.0
Asprotect v1.0

Pour ces deux derniers j'ai bien un script pour effectuer le dump mais il n'y a pas de table d'import donc ...


VII_Contact :
-------------

Vous pouvez me contacter si vous avez des pbs ou si vous avez trouvΘ des bugs ou encore si vous avez une version d'asprotect non supportΘe α :

LuTiN NoIR:  [email protected]

pour le site c'est : http://www.multimania.com/cityofbitch

VIII_Greetz :
------------
 
Teeji : je te remercie pour ta dll ainsi que pour toute l'aide que tu a bien voulu
         m'apporter :). (c'est toi qui ma motiver pour le code asm et le reverse).
         Et puis pour avoir participer ΘnormΘment au projet :).         

Chistal: je te remercie pour ta motivation α faire avancer les choses. Sans tes tuts et le 
         soin que tu apportes dans tes explications, je ne me serais peut-Ωtre pas lancer 
         dans le cracking. 

MrPhilex: Pour les conversations avec toi sur icq :) et pour m'avoir lancer lα-dedans.

TaMaMBoLo: he pourquoi, tout simplement parce que tes drapeaux noirs m'ont appris
           ΘnormΘment.

Et puis α :

Dark-Angel, St_Thomas, Falcon, Pulsar, El Caracol, Lucifer48, TiPiaX, Jufox, BlackDruid, JB007, JFK202, +Frog's Print, +Spath, Mist, Lunatic, TiTi, Th3-KiinG, Wz0Ds et tout ceux que g oubliΘ ...


# 0 1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z