|
ASProtect SKE 2.2 SDK中的API修复
好像脚本已经给出来了SDK的地址 |
|
ASProtect SKE 2.2 SDK中的API修复
PEID0.94查壳 ASProtect 2.1x SKE -> Alexey Solodovnikov 外部扫描 ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov * 插件VerA 0.15 扫描 Version: ASProtect 2.11 SKE build 03.13 Release [1] 跑完Aspr2.XX_unpacker_v1.0SC.osc,dump出来文件,然后修复IAT,发现6个无效指针 用leve1修复一个指针,CUT掉5个,FIX DUMP,这5个应该是ASPR的SDK 然后查找被偷的代码,用loadpe补上去.现在应该是要修复ASPR的SDK,怎么弄? 00BAF37A 访问违规: 正在写入到 [00000000] 00BAF3A5 断点位于 00BAF3A5 00BAF46F 访问违规: 正在写入到 [00000000] 00BAF4B3 断点位于 00BAF4B3 00B80024 断点位于 00B80024 这版的 Asprotect 其 SDk API 总数 = 0000000C GetRegistrationInformation 00451660 GetModeInformation 004516A0 GetTrialDays 004516E0 CheckKey 00451700 GetHardwareID 00451710 00B80156 断点位于 00B80156 00B80034 断点位于 00B80034 00B809D8 断点位于 00B809D8 00BB08E3 访问违规: 正在写入到 [00000000] 00BB095A 访问违规: 正在写入到 [00000000] 00BB0A5F 访问违规: 正在写入到 [00000000] 00BB0B2B 访问违规: 正在写入到 [00000000] 00BB0D5E 访问违规: 正在写入到 [00000000] 00BB0F62 访问违规: 正在写入到 [00000000] 00BAC73A INT3 命令位于00BAC73A 00B8DDE4 断点位于 00B8DDE4 00BAE1F0 访问违规: 正在写入到 [00000000] 00BAFAA5 访问违规: 正在写入到 [00000000] 00BA7D67 断点位于 00BA7D67 00BACCB4 硬件断点 1 位于 00BACCB4 00D90316 断点位于 00D90316 00B807D9 断点位于 00B807D9 00B8003E 断点位于 00B8003E 00B800F2 断点位于 00B800F2 00B80030 断点位于 00B80030 IAT 的地址 = 00452000 IAT 的相对地址 = 00052000 IAT 的大小 = 00000734 00B80079 断点位于 00B80079 OEP 的地址 = 0040F9AD OEP 的相对地址 = 0000F9AD |
|
ASProtect SKE 2.2 SDK中的API修复
正好遇到一个SDK的,学习ing............ |
|
[原创]终于挺过来了!附:ASPR脱壳录像
运行volx的脚本得到这个,好像是有SDK 脚本日志窗口 地址 信息 B9011A AsprAPIloc: 00BC34E8 B9011A Aspr1stthunk: 00452048 BBF2C9 1 个标准函数 B90024 这版的 Asprotect 其 SDk API 总数 = 0000000C B90024 GetRegistrationInformation 00451660 B90024 GetModeInformation 004516A0 B90024 GetTrialDays 004516E0 B90024 CheckKey 00451700 B90024 GetHardwareID 00451710 软件下载地址:hxxp://jerryxp.ys168.com/ |
|
[原创]终于挺过来了!附:ASPR脱壳录像
根据录像我到了最后一步不知怎么弄了.那个二进制代码是不是校验码? PEID0.94查壳 ASProtect 2.1x SKE -> Alexey Solodovnikov 外部扫描 ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov * 插件VerA 0.15 扫描 Version: ASProtect 2.11 SKE build 03.13 Release [1] OD载入之后停在此处 00401000 >/$ 68 01405000 push 00504001 00401005 |. E8 01000000 call 0040100B 0040100A \. C3 retn 0040100B $ C3 retn 0040100C B0 db B0 0040100D 91 db 91 0040100E 44 db 44 ; CHAR 'D' 0040100F FA db FA 00401010 A3 db A3 00401011 D1 db D1 00401012 . 06 db 06 00401013 . 38 65 2B 52 6>ascii "8e+R`? 00401019 0C db 0C 0040101A E8 db E8 0040101B F0 db F0 0040101C 09 db 09 0040101D 90 nop 0040101E BA db BA 0040101F 5F db 5F ; CHAR '_' 00401020 96 db 96 00401021 49 db 49 ; CHAR 'I' 00401022 34 db 34 ; CHAR '4' 00401023 0F db 0F 00401024 D8 db D8 00401025 26 db 26 ; CHAR '&' 00401026 4E db 4E ; CHAR 'N' 00401027 80 db 80 00401028 A0 db A0 00401029 . 25 2B7DED08 and eax, 8ED7D2B 运行脚本 Aspr2.XX_IATfixer_v2.2s.osc 脚本日志窗口 地址 信息 401000 imgbase: 00400000 401000 imgbasefromdisk: 00400000 401000 tmp1: 004001E0 401000 1stsecsize: 00051000 401000 1stsecbase: 00401000 | (程序文件名).<模块入口点> 401000 tmp1: 004002A8 | ASCII ".adata" 401000 lastsecsize: 00001000 401000 lastsecbase: 00548000 401000 isdll: 00000000 B8277B dllimgbase: 00B80000 B8277B tmp4: 00BAF7D3 BAF7D3 thunkstop: 00BAEE06 BAF7D3 APIpoint3: 00BABA93 BAF7D3 thunkpt: 00BA7895 BAF7D3 patch1: 00BA75F4 BAF7D3 tmp2: 0000003B BAF7D3 thunkdataloc: 00B80200 BAF7D3 tmp2: 00BAF524 BAF7D3 tmp3: 000035FF BA7895 ESIaddr: 00BF0D68 BA7895 ESIpara1: 75375E3A BA7895 ESIpara2: 75385E3A BA7895 ESIpara3: 753A5E3A BA7895 ESIpara4: 74345E3A BA7895 nortype: 00000001 B80102 tmp2: 00000001 B80102 tmp3: 0045272C B80102 iatendaddr: 00452730 B80102 iatstartaddr: 00452000 B80102 iatstart_rva: 00052000 B80102 patch3: 00BA7757 BAEE06 writept2: 00BABAD2 BAEE06 tmp1: 00BAF4B7 BAEE06 tmp2: 00BAF4DD BAEE06 transit1: 00BAF4DE BABAD2 EBXaddr: 00BF0EB8 BABAD2 FF15flag: 000000C8 BABAD2 type1API: 00000001 BAF4DE tmp2: 00BAA71B BAF4DE func1: call 00BAB338 BAF4DE func2: call 00BAA0C4 BAF4DE func3: call 00BAADEC BAF4DE func4: call 00BA7174 BAF4DE v1.32: 00000000 BAF4DE v2.0x: 00000000 B80034 E8count: 000000FC B80034 SCafterAPIcount: 0000000B B80034 tmp1: 00BAAA19 B80034 func1: call 00B8254C B80034 func2: call 00B85FB0 B80034 ori1: 00BB3560 B80034 func3: call 00B93E9C BACCB4 iatstartaddr: 00452000 BACCB4 iatstart_rva: 00052000 BACCB4 iatsize: 00000734 D90316 OEP_rva: 0000F9AD 用LoadPE DUMP出来dumped.exe 用ImportREC修复,发现无效指针,CUT掉 分析进程... 模块已载入: c:\windows\system32\ntdll.dll 模块已载入: c:\windows\system32\kernel32.dll 模块已载入: c:\windows\system32\user32.dll 模块已载入: c:\windows\system32\gdi32.dll 模块已载入: c:\windows\system32\comdlg32.dll 模块已载入: c:\windows\system32\shlwapi.dll 模块已载入: c:\windows\system32\advapi32.dll 模块已载入: c:\windows\system32\rpcrt4.dll 模块已载入: c:\windows\system32\msvcrt.dll 模块已载入: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 模块已载入: c:\windows\system32\shell32.dll 模块已载入: c:\windows\system32\winspool.drv 模块已载入: c:\windows\system32\oledlg.dll 模块已载入: c:\windows\system32\ole32.dll 模块已载入: c:\windows\system32\oleaut32.dll 模块已载入: c:\windows\system32\wsock32.dll 模块已载入: c:\windows\system32\ws2_32.dll 模块已载入: c:\windows\system32\ws2help.dll 模块已载入: c:\windows\system32\wininet.dll 模块已载入: c:\windows\system32\crypt32.dll 模块已载入: c:\windows\system32\msasn1.dll 模块已载入: c:\windows\system32\imm32.dll 模块已载入: c:\windows\system32\lpk.dll 模块已载入: c:\windows\system32\usp10.dll 模块已载入: c:\windows\system32\version.dll 模块已载入: e:\crack\ucfir16f\remote.dll 模块已载入: e:\crack\ucfir16f\remoteex2.dll 获取关联模块完成. 镜像基址:00400000 大小:00149000 IAT 读取成功. rva:00052134 来自模块:ntdll.dll 序号:032C 名称:SetStdHandle rva:00052130 来自模块:ntdll.dll 序号:02F8 名称:HeapSize rva:000521CC 来自模块:ntdll.dll 序号:006D 名称:RtlAllocateHeap rva:000521D8 来自模块:ntdll.dll 序号:01AD 名称:RtlFreeHeap rva:000521E0 来自模块:ntdll.dll 序号:0297 名称:RtlUnwind rva:000522A0 来自模块:ntdll.dll 序号:0176 名称:RtlRestoreLastWin32Error rva:000522AC 来自模块:ntdll.dll 序号:01E9 名称:RtlLeaveCriticalSection rva:000522B0 来自模块:ntdll.dll 序号:0241 名称:RtlDeleteCriticalSection rva:000522CC 来自模块:ntdll.dll 序号:03B0 名称:RtlEnterCriticalSection rva:00052384 来自模块:ntdll.dll 序号:005D 名称:RtlGetLastWin32Error rva:000526C0 来自模块:ws2_32.dll 序号:006F 名称:recv rva:000526BC 来自模块:ws2_32.dll 序号:0004 名称:WSAGetLastError rva:000526B8 来自模块:ws2_32.dll 序号:0017 名称:connect rva:000526B4 来自模块:ws2_32.dll 序号:0009 名称:socket rva:000526B0 来自模块:ws2_32.dll 序号:0001 名称:htons rva:000526AC 来自模块:ws2_32.dll 序号:000D 名称:accept rva:000526A8 来自模块:ws2_32.dll 序号:0002 名称:listen rva:000526C4 来自模块:ws2_32.dll 序号:0010 名称:closesocket rva:000526C8 来自模块:ws2_32.dll 序号:0003 名称:send rva:000526CC 来自模块:ws2_32.dll 序号:0013 名称:WSAStartup rva:000526D0 来自模块:ws2_32.dll 序号:0073 名称:gethostbyname rva:000526D4 来自模块:ws2_32.dll 序号:0034 名称:WSACleanup rva:000526D8 来自模块:ws2_32.dll 序号:0074 名称:inet_addr --------------------------------------------------------------------------------------------------------------------------- 当前输入表: D (十进制:13) 个有效模块 (已添加: +D (十进制:+13)) 1BF (十进制:447) 个输入函数. (已添加: +1BF (十进制:+447)) (6 (十进制:6) 个未解决的指针) (已添加: +6 (十进制:+6)) 修复dumped.exe得到dumped_.exe,运行,出现"发现问题需要关闭",脚本也提示有偷代码. 找到被偷的代码段,用LoadPE修复之,还是运行不了.然后录像里看不太明白.不知如何弄了. |
|
|
|
THEMIDA脚本(for IAT restore)
成功脱壳,但是脱出来运行不了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值