[HaBo]

n!0

Anzeige

Hey,

ist es möglich etwas dagegen zu tun, dass nicht jeder "Stripper" eine datei, die mit asprotect gepackt ist sofort entpackt werden kann?

wenn ja, welche möglichkeiten gibt es?

ist es irgendwie möglich einer der ersten bytes zu verändern, dass die asprotect signatur in der datei nicht mehr gefunden wird?

fragen über fragen :P

lg

lone.wolf

Kurz und bündig: Nein!
Einem Auskenner gelingt es immer

Computer sind absolut deterministisch und somit auch all ihre Komponente bis auf ein paar Ausnahmen (Hashes, wobei sie nicht in die Kategorie "Protectors" fallen und nur in eine Richtung berechnet werden können) -> ergo sind alle Protections reversible - aber diese sind hier nicht in Betracht zu ziehen, da ja ein Protector zu einem späteren Zeitpunkt die Echse selbst zum Laufen bringt!

Btw, nur ein Gedanke - würde man Hashes in Kombination mit Protectors verwenden, so könnte man eine Echse so verschlüsseln, dass nur per richtigem Hash die Datei entschlüsselt werden kann... =D

MfG

CDW

Also "jeder Stripper" ist imho ziemlich übertrieben - so viele funktionierende (und halbwegs aktuelle) gibt es afaik nicht. Sogar OllyScripts für ASPro sollten sich noch in der überschaubaren Anzahl bewegen
Und nope. Es gibt zwar Signaturfaker (mir fällt da dotfix fakesigner ein, es gibt sichelrich auch noch andere) - allerdings kann man Asprotect schon recht schnell im Debugger ohne jegliche Analysetools erkennen (nur die genaue "Sub"version nicht).

Dazu hat man bei solchen Patchs noch zwei andere Probleme: zum einen muss ASProtect selbst nach dem Eingriff funktionieren (und das Ding hat interne CRC/Patchschutzeinrichtungen) zum anderen sind afaik viele Scripte (Stripper kenne ich eher nur 1) recht generisch. D.h es wird nicht irgendwie signaturbasierend geprüft, ob es sich tatsächlich um ASPro handelt.

Einfacher wäre es imho, wenn du im Programm ein paar Zusatzchecks einbaust (Dateigröße abfragen, wenn du kannst: Name der letzen Section auslesen oder SizeOfImageWert). Denn ob per Script oder Hand entpackte ASPro Dateien sind i.R größer und haben meistens eine zusätzliche Section angehängt, in der dann die neuen Imports stehen. Das heißt: letze Section heißt dann nicht mehr .aspr (oder so ähnlich) und die SizeOfImage vergrößert sich deutlich. Dein Check sollte dann zeitverzögert für den Absurz des Programms sorgen.
Damit solltest du die geplante "Zielgruppe" treffen (der Schutz wird gegen erfahrene Leute nicht helfen - das tun aber die anti-maßnahmen genausowenig )

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.