本软件是一个过期的外挂..本着学习的目地
各位大侠,我实在是搞不定了,希望有人能帮我看看.
PEID显示:"ASProtect v1.23 RC1 *"
VerA0.15显示为:Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]
用论坛的脚本试着脱,会提示有偷窃代码,我不知道怎么修复,脱完后,程序不可运行.
还有一个细节,就是我有用OD调试几次后,,,居然不出登陆界面了.取而代之的是出现一个对话框,,估计是发现OD了.用anti-rdtsc对抗也无效...
用脚本脱后的LOG记录:
AsprApiloc: 00DD267C
1 standard function
Address of IAT = 00504000
RVA of IAT = 00104000
Size of IAT = 00000858
Address of OEP=004DB898
RVA of OEP = 000DB898
OD载入的效果如下:
00401000 > 68 01206C00 PUSH MyTest.006C2001
00401005 E8 01000000 CALL MyTest.0040100B
0040100A C3 RETN
0040100B C3 RETN
0040100C 393F CMP DWORD PTR DS:[EDI],EDI
0040100E 43 INC EBX
0040100F 35 D5CEF608 XOR EAX,8F6CED5
00401014 8801 MOV BYTE PTR DS:[ECX],AL
00401016 4B DEC EBX
00401017 8920 MOV DWORD PTR DS:[EAX],ESP
00401019 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令
0040101A 6C INS BYTE PTR ES:[EDI],DX ; I/O 命令
0040101B 290D 0A13FA57 SUB DWORD PTR DS:[57FA130A],ECX
00401021 41 INC ECX
00401022 - 73 97 JNB SHORT MyTest.00400FBB
00401024 4E DEC ESI
00401025 8295 05411C8C 9>ADC BYTE PTR SS:[EBP+8C1C4105],-66
0040102C 7A 8D JPE SHORT MyTest.00400FBB
0040102E A5 MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ES>
0040102F C4E9 LES EBP,ECX ; 非法使用寄存器
00401031 B9 6719F3B5 MOV ECX,B5F31967
00401036 8B55 C4 MOV EDX,DWORD PTR SS:[EBP-3C]
00401039 BB C918B880 MOV EBX,80B818C9
0040103E 33F3 XOR ESI,EBX
00401040 C7 ??? ; 未知命令
[课程]Android-CTF解题方法汇总!