|
[求助]代码变形,请多指教阿,在线等,多谢!!!!!!!!!!!!
最初由 takken4 发布 你的程序代码地址怎么这么怪啊。一般都在00400000 - 01xxxxxx 之间。 oep 也在这范围内。 |
|
[求助]代码变形,请多指教阿,在线等,多谢!!!!!!!!!!!!
最初由 takken4 发布 你把所有的区段先dump 下来,其中就包括 00F00000 - 00F60000 这些。之所以选择用这些区段而不需要其它,是逐步试验出来的。 在调试dump 整理后的程序时,看它代码会跑到哪个区段,那就选择这个区段。 不同asprotect 处理过的程序,可能要选择的区段不同。用SDK + 注册模块 处理过的 要选择区段更多, asprotect 代码段也不止一个。 另外一个方法是 把dump 下来的所有区段都加进去,一般有20-30个吧, 看能不能运行,然后再进一步试着逐步精减。 要注意备份,因为在使用 lordPE 的rebuild 功能时,可能会导致文件尾的 IDT 表损坏。 |
|
Apsprotect 2.1X我快疯了![求助]
看 原贴中的跟帖啊 http://bbs.pediy.com/showthread.php?s=&threadid=19307 --------------------------------------------------------- (9) 第二次,设 ESI=2 ,F2->中断设在 0054B05E,按 F9,使 CODE 重新定位 IAT ADDRESS 会停在这句上,因为GetProcAddress已经修正,在重新定位时候已经找不到了, 要手工改。 0054B0B5--EB FE JMP SHORT MultiTra.0054B0B5 --------------------------------------------------------- |
|
Apsprotect 2.1X我快疯了![求助]
1) 0054B021--81FB 0000EA00 CMP EBX,0EA0000 ;是否 ASPR 解瘁位址?? //这个0EA0000是怎么找出来的要详细说明 我待脱壳的软件有两个0110000和F90000不知道用哪个,同时这个好像还是变的,不同时间分析也会变! 简单的方法,在这行设断点,看EBX的值,多看几次,这值差不多相同, 然后把这值替换文中的“0EA0000”就可以了。 2)0054B03C--81FB 08D25400 CMP EBX,MultiTra.0054D208 ;是否在原?IAT位址惯? //这个地方我是最不能理解的了,我怀疑可能0054D208为ita表结束位置,但我想知道怎么样确定这个结束位置的 需要详细说明!本人笨啊! 简单的方法,在这行设断点,在数据区查看EBX处的值,上下翻看,就发现是 这附近是个ita表,把表头地址替换0054D208,表末地址替换下行的0054E208 3) 0054B0B5--EB FE JMP SHORT MultiTra.0054B0B5//这个地方很奇怪如果执行到这个地方感觉就在这个地方循环那下面的汇编又有什么用呢 根本无法执行了 还是作者笔误!? 不是笔误,可以在这句设断点,这段功能是搜索,可能会出现搜索不到的情况, 那就需要在这里手工修正。 4) 0054B0D0--B9 2C085C00 MOV ECX,MultiTra.005C082C ;IAT 劫束位址 //同样是需要明白如何确定ITA及其大小的! 这个005C082C要改的,看上面在005C0000搜索程序代码段生成的iat表, 这个005C082C是iat结尾了,不同程序这个值不同。 我是几个月前学习这个帖子的,现在只能记得大概了。 还有就是,对于有些使用Apsprotect 2.1X的程序,像使用SDK + 注册模块的, 上面这段代码生成的iat并不全,除程序原代码段外,在Apsprotect 壳中也有一些iat 数据需要整理。 |
|
|
|
[求助]如果软件使用ASProtect 2.1x SKE的注册模块,在没有key的情况下,能否脱壳?
crackproof 书中介绍 asprotect 时候说,没有注册key 不可能正确解开 注册模块,因为解密的参数是由注册key 而来的。 所以我认为,如果没有注册key,脱壳肯定就脱不出注册模块了,非注册模块则可能脱壳。有注册key的话,就都可以脱了。 crackproof : http://www.nostarch.com/frameset.php?startat=crackproof |
|
[求助]有关asprotect的问题
请问 SKE 的意思是? |
|
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code
最初由 chasgone 发布 附件中的这个 XP1_DUMP 是已经脱壳的了,如要测试需下载原版软件。 |
|
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code
最初由 thdzhqg 发布 这个返回点的运行地址不是固定的,几乎每次运行都不一样。你可以用ctrl+f9 一下走到这里。 |
|
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code
在昨天试出来了,我照着SYSCOM的所说步骤,一步步做下来,反复了几次也把壳脱了,发现之前修复版本运行不正常是因为full dump后有些多余的块没有去掉,里面的数据没有清除,导致脱壳后运行错误。 解决方法:或删除 或清零 。暂时在使用中没有发现问题。 所遇到的不同处: 1) IAT 里面没有 ADVAPI32.RegCreateKeyExA , 如果遇到“(12) 修正 4 ?,盍先解瘁的 API ”问题,那需要另外在iat里添加。 2)我使用ImportREC 修复IAT,发现不需要修正offset. 所以下面这2句可免。 0054B0BC--2D 00005C00 SUB EAX,MultiTra.005C0000 0054B0C1--05 00105C00 ADD EAX,5C1000 ;修正 OFFSET |
|
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code
最初由 okdodo 发布 我也遇到类似的,直接下断失效,需要在最后一次异常时候像你说的这样操作。 |
|
关于 ASProtect 2.1x SKE 脱壳
最初由 okdodo 发布 我照着SYSCOM的帖子“ASProtect 2.1x SKE + Delphi + Stolen Code ”所说步骤,一步步做下来,反复了几次也把壳脱了,发现之前修复版本运行不正常是因为full dump后有些多余的块没有去掉,里面的数据没有清除,导致脱壳后运行 错误。 后来试着同样方法脱一个使用ASProtect 2.1x SKE SDK的有注册版功能的软件, 我已经有完全注册版本了,结果脱出来的软件虽可初始运行,但后期运行发生异常,在Ollydbg里面还看到出现新线程等等信息,并且还经常有校验注册的情况,脱出来的块有>20个。像这种情况也是,INLINE PATCH可行,完全脱壳就 比较困难了。 |
|
关于 ASProtect 2.1x SKE 脱壳
最初由 okdodo 发布 用的是哪个例子? 方法是INLINE PATCH吗? |
|
[原创]RORDbg V0.25 (下载本帖附件)
最初由 Kernel64 发布 独特的好软件!支持!顶! |
|
Myshell.asm的错误更正及在VC中融合masm32编译的方法
最初由 wwwddd 发布 刚才又重新看了一下,是我疏漏了。在代码中改这个值就可以了。 “ _WJQ_USE_COMMAND_LINE EQU 1 ; 1=编译成命令行方式,否则编译成函数方式 ” |
|
Inject your code to a Portable Executable file by ashkbiz
该作者在codeproject 的另篇文章。 http://www.codeproject.com/cpp/peprotector1.asp Make your owner PE Protector Part 1: Your first EXE Protector By Ashkbiz Danehkar This article describes how you can make your own PE Protector by the aid of Visual C++ Compiler. |
|
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code
最初由 CHUNNAN 发布 你在run到这一行(00BD77BE)的时候搜索: 00BD77BE--RETN <==== 返回到 00EA02CD => OEP 檫始 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值