|
菜鸟学习脱壳之ASProtect 2.1x SKE简单加壳的98NOTEPAD(MC++)
最初由 thdzhqg 发布 要多次F9,多次中断,才能看到ESI的几个值,中断一次只能看到其中的一个值 |
|
菜鸟学习脱壳之ASProtect 2.1x SKE简单加壳的98NOTEPAD(MC++)
最初由 wangcai 发布 看到了,可以OD载入脱壳后的dumped_,F9运行,打开后点->文件->打开,停在以下代码处, 00404FAA $- FF25 1C654000 jmp dword ptr ds:[<&comdlg32.CommDlgE>; comdlg32.CommDlgExtendedError 00404FB0 FF15 18654000 call dword ptr ds:[<&comdlg32.GetSave>; comdlg32.GetSaveFileNameA 00404FB6 FF15 14654000 call dword ptr ds:[<&comdlg32.PageSet>; comdlg32.PageSetupDlgA 00404FBC $- FF25 10654000 jmp dword ptr ds:[<&comdlg32.FindText>; comdlg32.FindTextA 00404FC2 FF15 0C654000 call dword ptr ds:[<&comdlg32.ChooseF>; comdlg32.ChooseFontA 00404FC8 FF15 08654000 call dword ptr ds:[<&comdlg32.GetOpen>; comdlg32.GetOpenFileNameA 00404FCE FF15 20654000 call dword ptr ds:[<&comdlg32.GetFile>; comdlg32.GetFileTitleA 00404FD4 . 0000 add byte ptr ds:[eax],al----------停在这里 对比没有加壳的NOTEPAD发现从00404AA到00404FCE处应该全部是jmp,但是脱壳后的dumped_有的jmp已经变成call,将call修改为jmp,程序正常运行.应该是到OEP后patch中: 0164001D 81FA D04F4000 cmp edx,404FD0 ---------404FD0这个数值太大的原因.应该是多少,还在寻找 |
|
[求助]Aspr 2.1 SKE,答疑解惑。。。。高手进来看下
00975BE0 E8 A316A9FF CALL GGJ.00407288-----是这个吗?重要数据① 这个不是 重要数据① 重要数据①是指call到壳里去的 一般都是这个样子call 00D00000,这里是00D00000(其中前面三个00D可以是别的,后面的5个一般都是0),如何找这个,可以参考loveboom,syscom,林海雪源等大大的文章. 问题三,如何确定IAT的确定IAT的结束位置: 把修改代码写进去: 01640000 - 0F84 F37548FF je 00AC75F9------这个是00AC75F6 处jmp的地址 01640006 81FE 89000000 cmp esi,89 0164000C - 0F84 427648FF je 00AC7654 01640012 BE 89000000 mov esi,89 01640017 - E9 387648FF jmp 00AC7654 写好代码后,取消00AC75F2及00AC75F4 两处的断点,F9运行中断在00AC7989,中断后取消断点 看看数据窗口,是不是得到所有的IAT了? 这个时候才好确定,因为这时所有的IAT都出来了. 问题四:关于ESI值的变化 如何确定要更改的,那三个数字. (就是其中两个跳转有效,如何辩别哪个数字对应的是IAT加密。) 这个问题困扰偶好久了,不知是什么原理。。。 脱壳到达这里后: 00AC75F2 3BF0 cmp esi,eax 00AC75F4 75 5E jnz short 00AC7654 每人的机子不一样数值也不一样,我这里的esi有三个值96,77,89(这几个数值好象每天都不一样),其中esi的值为77,89时00AC75F4处的 跳转成立,但两个数中只有当esi=77时才会对IAT进行加密,这时对照OD左下角数据框,看IAT是否出现,要一个一个数值看,你可以在上面的两个地址00AC75F2和00AC75F4 都下断,比较容易看出esi等于哪个数值时,IAT被加密了.如果你还不明白,可以参考我的动画<配套脱壳动画在bbs.chinapyg.com视频区> 因此只要将77改为89就可以避开IAT加密了 |
|
[求助]哪位老师能够指点一下ASProtect 2.1x SKE壳到ESI分情况时如何判断哪个需要改
脱壳到达这里后 00AC75F2 3BF0 cmp esi,eax 00AC75F4 75 5E jnz short 00AC7654 每人的机子不一样数值也不一样,我这里的esi有三个值96,77,89(这几个数值好象每天都不一样),其中esi的值为77,89时00AC75F4处的 跳转成立,但两个数中只有当esi=77时才会对IAT进行加密,因此只要将77改为89就可以避开IAT加密了 |
|
|
|
|
|
[原创]ASProtect 2.1x SKE之木马克星5.50 build 2403 脱壳分析
看了这个教程,我觉得自己也可以驼这个壳了(无stolen code) |
|
(高手就不要看了!)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]
强贴,学习ing~~~~~~~~~~~~~,多谢楼主 |
|
[求助]代码变形,请多指教阿,在线等,多谢!!!!!!!!!!!!
最初由 takken4 发布 不是我打击你,这个不是垃圾壳................ |
|
[通告]任命loveboom为『加壳与脱壳』版主
支持~~~~~~~~~~~~~~~ |
|
[求助]为什么脱壳不成功?
[QUOTE]最初由 qduwg 发布 TO:kanxue: asprotect 是2.1的版本。CASPER里面说能够脱掉的呀。可是失败了。怎么办? 可以????????????????????/ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值