|
[求助]ASProtect脱壳后补区段问题
我也遇到这个问题,用lordpe豪华版by yode(thanks)补区段, 选择从磁盘载入,到第三段时提示“头部无可用空间”。 我想可能是pe文件头空间不够,不能添加区段索引(暂且这样叫,不知对不对)了吧,正在研究解决办法 |
|
VB程序 ASProtect 2.11 SKE build 03.13 Release [1]壳,脱壳过程中遇到困难[求助]
CALL壳部分用FF15换掉FF25成功 感谢各位,继续研究15和25的问题 继续啃kanxue的大作 |
|
VB程序 ASProtect 2.11 SKE build 03.13 Release [1]壳,脱壳过程中遇到困难[求助]
最初由 cyto 发布 恩,正在拜读kanxue大侠的《Asprotect SKE 2.2 的Advanced Import protection保护技术浅析》 |
|
VB程序 ASProtect 2.11 SKE build 03.13 Release [1]壳,脱壳过程中遇到困难[求助]
问题三:仔细查看发现程序在访问CC401208,应该是00401208,把00401B08 $- FF25 08124000 jmp [<&msvbvm60.ThunRTMain>] ; msvbvm60.ThunRTMain处重新写jmp [00401208]解决。 新问题二:可能程序有自校验,运行到12fb24报错“应用程序发生异常unknown software exception (0xc0000096),位置为0x0012fb24。” 0012FB1E 14 00 adc al, 0 0012FB20 30FB xor bl, bh 0012FB22 1200 adc al, [eax] 0012FB24 6E outs dx, byte ptr es:[edi] 0012FB25 3D 40007CFE cmp eax, FE7C0040 0012FB2A 14 00 adc al, 0 0012FB2C 8C3B mov [ebx], seg? ; 未定义的段寄存器 0012FB2E 40 inc eax 0012FB2F 007CFB 12 add [ebx+edi*8+12], bh 0012FB33 007D AE add [ebp-52], bh 继续学习………………………… |
|
VB程序 ASProtect 2.11 SKE build 03.13 Release [1]壳,脱壳过程中遇到困难[求助]
问题一:将补丁补在00E075F2 3BF0 cmp esi, eax就不再报错了,不知什么原因。 问题二:确实为CALL壳,避过IAT加密后,来到OEP。 查找下面代码(不在OEP段,在IAT加密段) 00E07188 8945 F0 mov [ebp-10], eax 00E0718B B8 00070000 mov eax, 700 00E07190 E8 B7B3FDFF call 00DE254C 在call处patch为jmp 010a0036 在010a0000处补代码 BA 00 10 40 00 80 3A E875 128B42 0103C283C0 053D 0000040175 03EB 0C904281FA 0040410072 E0EB FE8915 00010A0160FFE29090909090909060B8 0010400090391075 208B0D 00010A01C701 FF2500008941 0261908B15 00010A01909090EB BE9090909083C0 043D 941240007E D2EB E3 大意参考(表示感谢)+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++ //********************** Start of Code in Object BinaryCode ************** :00000000 mov edx, 00401000 ;.code 搜?-檫始位址 :00000005 cmp byte ptr [edx], E8 ; 'E8'== CALL :00000008 jne 0000001E :0000000A mov eax, dword ptr [edx+01] :0000000D add eax, edx :0000000F add eax, 00000005 :00000014 cmp eax, 00CE0000 <=比蒉,是否? ASPR 解瘁咄入? :00000019 jne 0000001E :0000001B pushad :0000001C jmp edx <=;咄入-ASPR 解瘁咄入? :0000001E inc edx :0000001F cmp edx, 0041A000 <=code 搜?-劫束位址 :00000025 jbe 00000005 :00000027 jmp 00000027 :00000029 mov ecx, 0041A000 <=Import Table 檫始位址 :0000002E cmp dword ptr [ecx], edx :00000030 jne 0000004F :00000032 mov dword ptr [00419FF0], ecx <=保存 API 入口位址 :00000038 add esp, 000000FC :0000003E popad :0000003F mov ebx, dword ptr [00419FF0] <=取出 API 入口位址 :00000045 mov dword ptr [edx+02], ebx <=修正 API 入口位址 :00000048 mov word ptr [edx], 15FF <=修正 OP CODE :0000004D jmp 0000001E :0000004F add ecx, 00000004 :00000052 cmp ecx, 0041A730 <=Import Table 劫束位址 :00000058 jl 0000002E 010a0000新建EIP运行,稍等后暂停。查看反汇编CALL壳代码已被替换。 LORDPE修复镜像大小,仍然修复前后大小相同 (新问题一)??? 问题三:依旧,不是才运行就报错,第一次可以成功call,单步到后边一个call中才报错。 |
|
VB程序 ASProtect 2.11 SKE build 03.13 Release [1]壳,脱壳过程中遇到困难[求助]
最初由 fly 发布 用Aspr2.XX_IATfixer_v1.02.osc一番运算后提示“Import table is fixed,youcan dump the file now or later.check the address and size of IAT in log window” 查看LOG窗口: iatstartaddr: 00401000 | 逆风飞扬.<模块入口点> iatsize: 0000035C 继续运行脚本,Stolen codes start, press OK button to add comments 确定Commands are added 确定后停在01020259 /EB 02 jmp short 0102025D ; 000401B10 000401B10和我找到的OEP一样。然后DD 00401000发现和没有运行脚本前相同,00401124处仍然加密,用Import获取输入表均显示无效。 |
|
Asprotect 2.XX SKE IAT Fixer v1.02.
最近脱asprotect2.11遇到麻烦,学习一下 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值