关于ASPack 2.12 脱壳后的自我效验-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

关于ASPack 2.12 脱壳后的自我效验

发表于: 2005-1-31 17:17 5185

关于ASPack 2.12 脱壳后的自我效验

limin520

2005-1-31 17:17

5185

PE查壳为ASPack 2.12 -> Alexey Solodovnikov [Overlay]
OD载入后脱壳根据 fly 大哥说的修复后缀后!程序运行自动跑飞!
然后用OD 载入脱壳后的程序存在自我效验!
在根据FLY大哥的关于去掉暗桩的办法试了几次!还是自己跑飞希望高手指点下!
然后用OD载入脱壳后的程序入口为
004AED9C GameGat.<ModuleEntryPoi> $  55                   push ebp
004AED9D                         .  8BEC                   mov ebp,esp
004AED9F                         .  83C4 F0                add esp,-10
004AEDA2                         .  53                   push ebx
004AEDA3                         .  B8 04EB4A00          mov eax,_GameGat.004AEB04
下 BP CreateFileA 断点 F9 运行程序在
77F9FF64                         8B1C24                   mov ebx,dword ptr ss:[esp]
77F9FF67                         51                      push ecx
77F9FF68                         53                      push ebx
77F9FF69                         E8 6F6CFFFF             call ntdll.77F96BDD
77F9FF6E                         0AC0                   or al,al
77F9FF70                         74 0C                   je short ntdll.77F9FF7E
出现异常  shint+F9 略过中断在 77E6838C kernel32.CreateFileA    55                      push ebp
77E6838D                         8BEC                   mov ebp,esp
77E6838F                         FF75 08                push dword ptr ss:[ebp+8]
77E68392                         E8 FDB9FFFF             call kernel32.77E63D94
77E68397                         85C0                   test eax,eax
77E68399                         0F84 E4900200          je kernel32.77E91483
继续运行回到程序领域
0041B968                         |.  837B 04 00             cmp dword ptr ds:[ebx+4],0
0041B96C                         |.  7D 48                jge short _GameGat.0041B9B6
0041B96E                         |.  8D55 E0                lea edx,dword ptr ss:[ebp-20]
0041B971                         |.  8BC6                   mov eax,esi
0041B973                         |.  E8 FCD1FEFF          call _GameGat.00408B74
0041B978                         |.  8B45 E0                mov eax,dword ptr ss:[ebp-20]
0041B97B                         |.  8945 EC                mov dword ptr ss:[ebp-14],eax
0041B97E                         |.  C645 F0 0B             mov byte ptr ss:[ebp-10],0B
0041B982                         |.  E8 D5AAFEFF          call _GameGat.0040645C             ; [GetLastError
0041B987                         |.  8D55 DC                lea edx,dword ptr ss:[ebp-24]
0041B98A                         |.  E8 21FCFEFF          call _GameGat.0040B5B0
0041B98F                         |.  8B45 DC                mov eax,dword ptr ss:[ebp-24]
0041B992                         |.  8945 F4                mov dword ptr ss:[ebp-C],eax
0041B995                         |.  C645 F8 0B             mov byte ptr ss:[ebp-8],0B
0041B999                         |.  8D45 EC                lea eax,dword ptr ss:[ebp-14]
0041B99C                         |.  50                   push eax
0041B99D                         |.  6A 01                push 1
0041B99F                         |.  8B0D 101F4B00          mov ecx,dword ptr ds:[4B1F10]       ;  _GameGat.00414DB4
0041B9A5                         |.  B2 01                mov dl,1
0041B9A7                         |.  A1 DC5F4100          mov eax,dword ptr ds:[415FDC]
0041B9AC                         |.  E8 2305FFFF          call _GameGat.0040BED4
0041B9B1                         |.  E8 AA80FEFF          call _GameGat.00403A60
0041B9B6                         |>  33C0                   xor eax,eax
0041B9B8                         |.  5A                   pop edx
0041B9B9                         |.  59                   pop ecx
0041B9BA                         |.  59                   pop ecx
0041B9BB                         |.  64:8910                mov dword ptr fs:[eax],edx
0041B9BE                         |.  68 D8B94100          push _GameGat.0041B9D8
0041B9C3                         |>  8D45 DC                lea eax,dword ptr ss:[ebp-24]
0041B9C6                         |.  BA 04000000          mov edx,4
0041B9CB                         |.  E8 FC86FEFF          call _GameGat.004040CC
0041B9D0                         \.  C3                   retn
0041B9D1                         .^ E9 5280FEFF          jmp _GameGat.00403A28
0041B9D6                         .^ EB EB                jmp short _GameGat.0041B9C3
0041B9D8                         .  8BC3                   mov eax,ebx
0041B9DA                         .  807D FF 00             cmp byte ptr ss:[ebp-1],0
0041B9DE                         .  74 0F                je short _GameGat.0041B9EF
0041B9E0                         .  E8 6B7CFEFF          call _GameGat.00403650
0041B9E5                         .  64:8F05 00000000       pop dword ptr fs:[0]
0041B9EC                         .  83C4 0C                add esp,0C
0041B9EF                         >  8BC3                   mov eax,ebx
0041B9F1                         .  5F                   pop edi
0041B9F2                         .  5E                   pop esi
0041B9F3                         .  5B                   pop ebx
0041B9F4                         .  8BE5                   mov esp,ebp
0041B9F6                         .  5D                   pop ebp
0041B9F7                         .  C2 0800                retn 8
0041B9FA                            8BC0                   mov eax,eax
0041B9FC                         .  53                   push ebx
0041B9FD                         .  56                   push esi
0041B9FE                         .  E8 5D7CFEFF          call _GameGat.00403660
0041BA03                         .  8BDA                   mov ebx,edx
我试了修改了几次还是不能取消暗桩!希望FLY大哥或者其他有经验的高手指点!

学问学问!不懂就问!希望大家不要笑我 !
程序下载地址!  下载
http://www.26266.com/download/downloadx.asp?downid=1&id=639

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (10)
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2 楼 bp ExitProcess 2005-1-31 17:26 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 3 楼好的我在试试 2005-1-31 17:48 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 4 楼测试结果修改 cmp dword ptr ds:[ebx+4],1 程序仍然跑飞!! 希望高手路过指点! 2005-2-1 11:36 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 5 楼 004AC07F \|. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 004AC082 \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC087 \|. E8 F092FFFF CALL dumped_.004A537C 004AC08C \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC091 \|. E8 A290FFFF CALL dumped_.004A5138 004AC096 \|. 84C0 TEST AL,AL 004AC098 75 0C JNZ SHORT dumped_.004AC0A6/////改为JMP! 004AC09A \|. A1 CC224B00 MOV EAX,DWORD PTR DS:[4B22CC] 004AC09F \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 004AC0A1 \|. E8 32FFFCFF CALL dumped_.0047BFD8 004AC0A6 \|> 33C0 XOR EAX,EAX 004AC0A8 \|. 5A POP EDX 004AC0A9 \|. 59 POP ECX 004AC0AA \|. 59 POP ECX 2005-2-1 15:30 0
lucktiger 雪币： 5844 活跃值： (2677) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 6 楼 csjwaman 你是怎样找到的？ 2005-2-1 16:05 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 7 楼老大说说你怎么找到的可以吗? 2005-2-3 19:49 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 8 楼看雪的文章把我头都看大了！快没信心了！大哥能不能把ASPack 2.12 -> Alexey Solodovnikov用OD脱壳的全过程详细写出来。最好能做成教学，以供我们这种大大大大大大菜鸟学习 2005-2-4 11:04 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 9 楼最初由 sassy 发布看雪的文章把我头都看大了！快没信心了！大哥能不能把ASPack 2.12 -> Alexey Solodovnikov用OD脱壳的全过程详细写出来。最好能做成教学，以供我们这种大大大大大大菜鸟学习单单aspack的很简单，加上overlay和效验就很难讲了 2005-2-4 11:10 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 10 楼对的我也是这么想的啊! 2005-2-4 11:16 0
lucktiger 雪币： 5844 活跃值： (2677) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 11 楼我已经解决了下断点bp CreateFileA 断下以后，返回慢慢跟踪就来到这里： 004AC07F \|. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 004AC082 \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC087 \|. E8 F092FFFF CALL dumped_.004A537C 004AC08C \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC091 \|. E8 A290FFFF CALL dumped_.004A5138 004AC096 \|. 84C0 TEST AL,AL 004AC098 75 0C JNZ SHORT dumped_.004AC0A6/////改为JMP! 004AC09A \|. A1 CC224B00 MOV EAX,DWORD PTR DS:[4B22CC] 004AC09F \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 004AC0A1 \|. E8 32FFFCFF CALL dumped_.0047BFD8 004AC0A6 \|> 33C0 XOR EAX,EAX 004AC0A8 \|. 5A POP EDX 004AC0A9 \|. 59 POP ECX 004AC0AA \|. 59 POP ECX 详细的就懒的写了。 2005-2-4 13:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

limin520

发帖

165

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2 楼 bp ExitProcess 2005-1-31 17:26 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 3 楼好的我在试试 2005-1-31 17:48 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 4 楼测试结果修改 cmp dword ptr ds:[ebx+4],1 程序仍然跑飞!! 希望高手路过指点! 2005-2-1 11:36 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 5 楼 004AC07F \|. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 004AC082 \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC087 \|. E8 F092FFFF CALL dumped_.004A537C 004AC08C \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC091 \|. E8 A290FFFF CALL dumped_.004A5138 004AC096 \|. 84C0 TEST AL,AL 004AC098 75 0C JNZ SHORT dumped_.004AC0A6/////改为JMP! 004AC09A \|. A1 CC224B00 MOV EAX,DWORD PTR DS:[4B22CC] 004AC09F \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 004AC0A1 \|. E8 32FFFCFF CALL dumped_.0047BFD8 004AC0A6 \|> 33C0 XOR EAX,EAX 004AC0A8 \|. 5A POP EDX 004AC0A9 \|. 59 POP ECX 004AC0AA \|. 59 POP ECX 2005-2-1 15:30 0
lucktiger 雪币： 5844 活跃值： (2677) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 6 楼 csjwaman 你是怎样找到的？ 2005-2-1 16:05 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 7 楼老大说说你怎么找到的可以吗? 2005-2-3 19:49 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 8 楼看雪的文章把我头都看大了！快没信心了！大哥能不能把ASPack 2.12 -> Alexey Solodovnikov用OD脱壳的全过程详细写出来。最好能做成教学，以供我们这种大大大大大大菜鸟学习 2005-2-4 11:04 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 9 楼最初由 sassy 发布看雪的文章把我头都看大了！快没信心了！大哥能不能把ASPack 2.12 -> Alexey Solodovnikov用OD脱壳的全过程详细写出来。最好能做成教学，以供我们这种大大大大大大菜鸟学习单单aspack的很简单，加上overlay和效验就很难讲了 2005-2-4 11:10 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 10 楼对的我也是这么想的啊! 2005-2-4 11:16 0
lucktiger 雪币： 5844 活跃值： (2677) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 11 楼我已经解决了下断点bp CreateFileA 断下以后，返回慢慢跟踪就来到这里： 004AC07F \|. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 004AC082 \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC087 \|. E8 F092FFFF CALL dumped_.004A537C 004AC08C \|. A1 24084E00 MOV EAX,DWORD PTR DS:[4E0824] 004AC091 \|. E8 A290FFFF CALL dumped_.004A5138 004AC096 \|. 84C0 TEST AL,AL 004AC098 75 0C JNZ SHORT dumped_.004AC0A6/////改为JMP! 004AC09A \|. A1 CC224B00 MOV EAX,DWORD PTR DS:[4B22CC] 004AC09F \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 004AC0A1 \|. E8 32FFFCFF CALL dumped_.0047BFD8 004AC0A6 \|> 33C0 XOR EAX,EAX 004AC0A8 \|. 5A POP EDX 004AC0A9 \|. 59 POP ECX 004AC0AA \|. 59 POP ECX 详细的就懒的写了。 2005-2-4 13:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复