|
[原创]ASProtect.SKE.2.11 stolen code解密
求教!!!! 大哥你後面的说明 我看不明白 小弟我下面这样的注释理解 对吗? } 00A8897D 33C0 xor eax, eax 00A8897F 8A43 04 mov al, [ebx+4] 00A88982 8B55 F8 mov edx, [ebp-8] 00A88985 8B5482 40 mov edx, [edx+eax*4+40] 00A88989 8BC6 mov eax, esi 00A8898B FFD2 call edx 该call返回后是跳转类型: eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73….. 00A8898D 8BD8 mov ebx, eax 00A8898F 8B4D 10 mov ecx, [ebp+10] 00A88992 8BD3 mov edx, ebx 00A88994 8B45 F8 mov eax, [ebp-8] 00A88997 E8 74FBFFFF call 00A88510 在00A88997 call 00A88510进行比较 <----- 原来的是00A88937 00A8899C 84C0 test al, al 00A8899E 74 17 je short 00A889B7 00A8899E处如果不跳的话可来到: <----- 原来的是00A8893E 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A8894F处eax就是原jxx跳后的地址。 00A8899E处,如果跳的话可来到: <----- 原来的是(跳的话可来到:) 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 00A88962处eax就是原jxx不跳后的地址。 }//第二层返回 }//第一层返回 可是这行为何是这样啊? 00A8899E 74 17 je short 00A889B7 为何不是这样呢? 00A8899E 74 xx je short 00A88957 >>>>>还是这片码的地址全贴错了?<<<<<<<< 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF |
|
[原创]脱掉Aspr 2.1X SKE壳(exe&dll) Plus stolen code 修复
菜鸟恳求扫忙 一些大侠们的缩辞用语 以下理解对否? OD = OllyDbg ??? IR = ImportREC ??? VM = Virtual Machine (code) ??? 好文章。。。。 但是stolen_code修复还原 还是没看懂 要是stolen_code修复还原 能更多些深入 更多实际对比例子 就更红火了 谢谢 |
|
[原创]ASProtect 2.3 SKE Build0319 Beta脱壳手记(无stolen OEP有stolen code)
绝顶好文 唯 技术扎实 文笔流畅 思绪敏锐 绝顶聪名 胸襟宽大 乐於助人 者 才能写出这无价实用的巨高质量好文 谢谢你 |
|
(高手就不要看了!)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]
多处不懂, 特虚心求教, 谢谢先... ⑴、分配二块内存,一块要足够大,看雪老大的HideOD这时有点力不从心,用其它的插件,大小是原文件code段的大小,我这是00240000; 为何要这么大, 是要搜索整个 "code" sectors(原程序+ASPr壳)的全部code空间吗? HideOD's AllocMem不能用, 那到底是用哪个插件? 能否言明 这片大内存是用来还原stolen-code的吗? stolen-code可以靠自几添写的程序来自动完成? 还是只能靠手工完成?
这是利用中途拦截法吗? Call一下esi是啥目的? 这是修改原程序码了, 那要是有自校验功能怎么突破?
还原这个跳转表是不是不等於先前的IAT表还原, 他的内涵和IAT的内涵有相关吗? |
|
Asprotect 2.XX SKE IAT Fixer v1.02.
先感谢大牛的巨作, 让蔡鸟我也可以练练拨壳功 下面是问题 用这脚本跟踪一个aspr2.1x保护的程序 得出OEP处偷码, 某些call API处也有偷码 得到一个"SCafAPI.bin"存放这些讯息. Q1. 这个"SCafAPI.bin"文件怎么用? Q2. call [API] <---- "SCafAPI.bin" 中的每一个DWord,指的是这种行的地址吗? mov xxxxxx <---- 偷码是指偷这行的码吗? 还是啥? 要如何复原? Q3. OEP处偷码好像很大一片, 全乱了怎么还原? 有无教程可跟学呀! 谢谢 |
|
Asprotect 2.XX SKE IAT Fixer v1.02.
最初由 guozhenjjj 发布 哈哈! 还长得真相 0.92的能刷掉? 还有用处吗? 菜鸟愚问,恳请回答 谢谢 |
|
(高手就不要看了!)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]
学习中, up up up |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值