求助:脱ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov的壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 求助:脱ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov的壳 0.00雪花

发表于: 2010-7-1 18:47 9281

[旧帖] 求助:脱ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov的壳 0.00雪花

meiyutan

2010-7-1 18:47

9281

请问如何脱ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov的壳?

1\我先PEID V0.95查为ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
2\后用插件VeiA 0.15查为Version: [ Unknown! ], Signature: [ 9BCBD2C6 ]无法查到!
3\用PEID的外部扫描后得出:ASProtect v1.2x (New Strain) *
4\OD载入后用如下脚本:Aspr2.XX_unpacker_v1.0E.osc/Aspr2.XX_unpacker_v1.0SC.osc/Aspr2.XX_unpacker_v1.14aSC.osc/Aspr2.XX_unpacker_v1.15E.osc等在运行到如下代码时均出现提示:

04860000 60                pushad
04860001 9C                pushfd
04860002 68 00004000       push 400000                         ; ASCII "MZP"
04860007 68 00009A05       push 59A0000
0486000C 68 00009905       push 5990000
04860011 E8 EAFF1401       call 059B0000
04860016 8305 04018604 04 add dword ptr ds:[4860104],4
0486001D C605 7A008604 2D mov byte ptr ds:[486007A],2D
04860024 C705 00018604 0400>mov dword ptr ds:[4860100],59C0004
0486002E 68 00004000       push 400000                         ; ASCII "MZP"
04860033 68 04009A05       push 59A0004
04860038 68 04009905       push 5990004
0486003D E8 BEFF1401       call 059B0000
04860042 EB 5C             jmp short 048600A0
04860044 90                nop
04860045 90                nop
04860046 0000             add byte ptr ds:[eax],al
04860048 0000             add byte ptr ds:[eax],al
0486004A 0000             add byte ptr ds:[eax],al
0486004C 0000             add byte ptr ds:[eax],al
0486004E 0000             add byte ptr ds:[eax],al
04860050 8B15 00018604    mov edx,dword ptr ds:[4860100]
04860056 8B12             mov edx,dword ptr ds:[edx]
04860058 90                nop
04860059 90                nop
0486005A 8305 00018604 08 add dword ptr ds:[4860100],8
04860061  - E9 C2011501       jmp 059B0228
04860066 0000             add byte ptr ds:[eax],al
04860068 0000             add byte ptr ds:[eax],al
0486006A 0000             add byte ptr ds:[eax],al
0486006C 0000             add byte ptr ds:[eax],al
0486006E 90                nop
0486006F 90                nop
04860070 53                push ebx
04860071 8B1D 04018604    mov ebx,dword ptr ds:[4860104]
04860077 8913             mov dword ptr ds:[ebx],edx
04860079 8305 04018604 08 add dword ptr ds:[4860104],8
04860080 5B                pop ebx
04860081 90                nop
04860082 90                nop
04860083 64:FF35 00000000 push dword ptr fs:[0]
0486008A  - E9 D5001501       jmp 059B0164
0486008F 90                nop

换过多个OD均无效!

本人是菜鸟!还请各位高人指教帮助脱下此壳!

软件下载地址:http://u.115.com/file/f26a94440b
CRS.rar-----(提取码:f26a94440b)

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

PWWW.jpg （30.11kb，255次下载）

收藏・0

免费・0

支持

最新回复 (10)
logkiller 雪币： 7905 活跃值： (3081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 776 粉丝 1 关注私信	logkiller 2 楼本想试试，但是网吧系统实在不待见米人，下载不了米人也下载不了程序了 2010-7-1 22:30 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 3 楼用Kopia Aspr2.XX_unpacker_v1.15cE.osc 可以，但有偷代码。 2010-8-18 16:23 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 4 楼偷了再补上嘛 2010-8-18 16:50 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 5 楼请问一下怎么补呢？能教一教吗？ 2010-8-19 10:33 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 6 楼提取码不存在或已过期。 2010-8-19 10:44 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 7 楼 Log data 地址消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' +BP-OLLY - Ver 2.0 beta 4 by RedH@wK http://redhawk.hispadominio.com Nonameo's ApiBreak Copyright (C) 2005 Nonameo API断点设置工具 - Ver 1.2 by 蓝色光芒 Bookmarks sample plugin v1.06 (plugin demo) Copyright (C) 2001, 2002 Oleh Yuschuk CleanupEx v1.12.108 by Gigapede DeJunk plugin v0.12 by flyfancy 异常计数器插件 [v 0.1b] 由 ZeetreX IDAFicator 1.2.12.5 #\|IDAFicator plugin for Ollydbg 1.10 By Zool@nder \| AT4RE #\|www.AT4RE.com IsDebugPresent plugin v1.4 (SV 2oo3) MemoryManage beta Copyright (C) 2004 pLayAr 有任何建议请发邮件至 playar0709@21cn.net ODbgScript v1.65.2 chinese version by hnhuqiong http://bbs.pediy.com or http://www.unpack.cn ODbgScript v1.78.3 http://odbgscript.sf.net OllyDump v3.00.110 by Gigapede OllyMachine v0.20 由罗聪编写编译于2004年12月7日 14:32:15 StrongOD - v0.3.3.625 Coded by 海风月影[CUG][RCT] Compiled on Apr 28 2010 14:31:31 Fix PeBug In 0x5C671 Fix PeBug In 0x5D827 Fix PeBug In 0x5D8B7 Fix PeBug In 0xC870A Fix FindFileOffset In 0x45DF58 Fix AnalyseModule In 0x45C374 Fix Guardmemory In 0x46207C KernelMode Enable! HookSSDT Successful! 超级字串参考 v0.12 Written by Luo Cong Compiled on Dec 14 2006, 04:52:21 自动添加注释插件 v0.01 红尘岁月倾情制作正在扫描导入库 '.\LIB\MFC42.Lib' 已解析出 6384 个序号正在扫描导入库 '.\LIB\mfc71.Lib' 已解析出 6442 个序号文件 'D:\Program Files\鹏为2010\CRM2010.exe' ID 000012F4 的新进程已创建 00401000 ID 000016E8 的主线程已创建 003A0000 Module D:\Program Files\鹏为2010\dbrtl70.bpl 00400000 Module D:\Program Files\鹏为2010\CRM2010.exe 02B30000 Module D:\Program Files\鹏为2010\vcl70.bpl 02C90000 Module D:\Program Files\鹏为2010\hydra_core_d7.bpl 02D80000 Module D:\Program Files\鹏为2010\generalfun.dll 02DF0000 Module D:\Program Files\鹏为2010\kingcrm.dll 02E70000 Module D:\Program Files\鹏为2010\entest.dll 02EF0000 Module D:\Program Files\鹏为2010\faxintf.dll 02F40000 Module D:\Program Files\鹏为2010\designide70.bpl 02FF0000 Module D:\Program Files\鹏为2010\vclactnband70.bpl 03040000 Module D:\Program Files\鹏为2010\qtintf70.dll 03430000 Module D:\Program Files\鹏为2010\cxlibraryvcld7.bpl 034D0000 Module D:\Program Files\鹏为2010\dxthemed7.bpl 034F0000 Module D:\Program Files\鹏为2010\remobjects_core_d7.bpl 036D0000 Module D:\Program Files\鹏为2010\dxgdiplusd7.bpl 10000000 Module D:\Program Files\鹏为2010\cms.dll 40000000 Module D:\Program Files\鹏为2010\rtl70.bpl 40220000 Module D:\Program Files\鹏为2010\vclx70.bpl 40370000 Module D:\Program Files\鹏为2010\xmlrtl70.bpl 5FDD0000 Module C:\WINDOWS\system32\netapi32.dll 71A10000 Module C:\WINDOWS\system32\WS2HELP.dll 71A20000 Module C:\WINDOWS\system32\WS2_32.dll 71A40000 Module C:\WINDOWS\system32\wsock32.dll 71A90000 Module C:\WINDOWS\system32\mpr.dll 72F70000 Module C:\WINDOWS\system32\winspool.drv 74C90000 Module C:\WINDOWS\system32\oledlg.dll 76300000 Module C:\WINDOWS\system32\imm32.dll 76320000 Module C:\WINDOWS\system32\comdlg32.dll 765E0000 Module C:\WINDOWS\system32\CRYPT32.dll 76680000 Module C:\WINDOWS\system32\wininet.dll 76990000 Module C:\WINDOWS\system32\ole32.dll 76B10000 Module C:\WINDOWS\system32\winmm.dll 76DB0000 Module C:\WINDOWS\system32\MSASN1.dll 770F0000 Module C:\WINDOWS\system32\oleaut32.dll 77180000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 77BD0000 Module C:\WINDOWS\system32\version.dll 77BE0000 Module C:\WINDOWS\system32\msvcrt.dll 77D10000 Module C:\WINDOWS\system32\user32.dll 77DA0000 Module C:\WINDOWS\system32\advapi32.dll 77E50000 Module C:\WINDOWS\system32\RPCRT4.dll 77EF0000 Module C:\WINDOWS\system32\GDI32.dll 77F40000 Module C:\WINDOWS\system32\SHLWAPI.dll 77FC0000 Module C:\WINDOWS\system32\Secur32.dll 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 7D590000 Module C:\WINDOWS\system32\SHELL32.dll 7E6D0000 Module C:\WINDOWS\system32\hhctrl.ocx 62C20000 Module C:\WINDOWS\system32\lpk.dll 73FA0000 Module C:\WINDOWS\system32\usp10.dll 68BF0000 Module C:\WINDOWS\system32\mui\0804\hhctrlui.dll 75E00000 Module C:\WINDOWS\system32\sxs.dll 00401000 程序入口点 IsDebugPresent hidden 5ADC0000 Module C:\WINDOWS\system32\uxtheme.dll 7C80176F 断点位于 kernel32.GetSystemTime freeloc adress = 04360000 freeloc size = 00020000 04241217 断点位于 04241217 04241118 断点位于 04241118 04236426 断点位于 04236426 0436011A 断点位于 0436011A AsprAPIloc: 042466BC 04240EF2 断点位于 04240EF2 04241002 断点位于 04241002 04241034 断点位于 04241034 0424109F 断点位于 0424109F Delphi initialization table address 010A1190 04221564 断点位于 04221564 04221564 断点位于 04221564 04221564 断点位于 04221564 057A023D 断点位于 057A023D 0436002E 断点位于 0436002E 04360077 断点位于 04360077 043600C5 断点位于 043600C5 04360250 断点位于 04360250 0420F390 断点位于 0420F390 0423707F 断点位于 0423707F 0424066C 硬件断点 1 位于 0424066C 057703B9 断点位于 057703B9 newphysec04840000 043607D9 断点位于 043607D9 0436003E 断点位于 0436003E 043600F2 断点位于 043600F2 04360030 断点位于 04360030 Address of IAT = 010DD090 RVA of IAT = 00CDD090 Size of IAT = 00005684 04360079 断点位于 04360079 Address of OEP = 010A4600 RVA of OEP = 00CA4600 提示：“There are stolen code, check IAT data in log window” 软件下载地址： http://download.17crm.com/download/Client_2010.exe http://download.17crm.com/download/服务器端2010.rar 2010-8-19 15:18 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 8 楼请问如何补段，哪位大侠能指导一下，谢谢！能出个教程就最好了。 2010-8-23 10:45 0
aikoaiko 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	aikoaiko 9 楼我也碰到一个这样的 2010-8-25 12:04 0
xuzhengdao 雪币： 459 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 189 粉丝 0 关注私信	xuzhengdao 10 楼下载不了了。为啥不用附件传？ 2010-8-27 09:14 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 11 楼用下载软件可以下的。这个壳搞得人都憔悴了。 2010-8-27 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

meiyutan

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
logkiller 雪币： 7905 活跃值： (3081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 776 粉丝 1 关注私信	logkiller 2 楼本想试试，但是网吧系统实在不待见米人，下载不了米人也下载不了程序了 2010-7-1 22:30 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 3 楼用Kopia Aspr2.XX_unpacker_v1.15cE.osc 可以，但有偷代码。 2010-8-18 16:23 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 4 楼偷了再补上嘛 2010-8-18 16:50 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 5 楼请问一下怎么补呢？能教一教吗？ 2010-8-19 10:33 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 6 楼提取码不存在或已过期。 2010-8-19 10:44 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 7 楼 Log data 地址消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' +BP-OLLY - Ver 2.0 beta 4 by RedH@wK http://redhawk.hispadominio.com Nonameo's ApiBreak Copyright (C) 2005 Nonameo API断点设置工具 - Ver 1.2 by 蓝色光芒 Bookmarks sample plugin v1.06 (plugin demo) Copyright (C) 2001, 2002 Oleh Yuschuk CleanupEx v1.12.108 by Gigapede DeJunk plugin v0.12 by flyfancy 异常计数器插件 [v 0.1b] 由 ZeetreX IDAFicator 1.2.12.5 #\|IDAFicator plugin for Ollydbg 1.10 By Zool@nder \| AT4RE #\|www.AT4RE.com IsDebugPresent plugin v1.4 (SV 2oo3) MemoryManage beta Copyright (C) 2004 pLayAr 有任何建议请发邮件至 playar0709@21cn.net ODbgScript v1.65.2 chinese version by hnhuqiong http://bbs.pediy.com or http://www.unpack.cn ODbgScript v1.78.3 http://odbgscript.sf.net OllyDump v3.00.110 by Gigapede OllyMachine v0.20 由罗聪编写编译于2004年12月7日 14:32:15 StrongOD - v0.3.3.625 Coded by 海风月影[CUG][RCT] Compiled on Apr 28 2010 14:31:31 Fix PeBug In 0x5C671 Fix PeBug In 0x5D827 Fix PeBug In 0x5D8B7 Fix PeBug In 0xC870A Fix FindFileOffset In 0x45DF58 Fix AnalyseModule In 0x45C374 Fix Guardmemory In 0x46207C KernelMode Enable! HookSSDT Successful! 超级字串参考 v0.12 Written by Luo Cong Compiled on Dec 14 2006, 04:52:21 自动添加注释插件 v0.01 红尘岁月倾情制作正在扫描导入库 '.\LIB\MFC42.Lib' 已解析出 6384 个序号正在扫描导入库 '.\LIB\mfc71.Lib' 已解析出 6442 个序号文件 'D:\Program Files\鹏为2010\CRM2010.exe' ID 000012F4 的新进程已创建 00401000 ID 000016E8 的主线程已创建 003A0000 Module D:\Program Files\鹏为2010\dbrtl70.bpl 00400000 Module D:\Program Files\鹏为2010\CRM2010.exe 02B30000 Module D:\Program Files\鹏为2010\vcl70.bpl 02C90000 Module D:\Program Files\鹏为2010\hydra_core_d7.bpl 02D80000 Module D:\Program Files\鹏为2010\generalfun.dll 02DF0000 Module D:\Program Files\鹏为2010\kingcrm.dll 02E70000 Module D:\Program Files\鹏为2010\entest.dll 02EF0000 Module D:\Program Files\鹏为2010\faxintf.dll 02F40000 Module D:\Program Files\鹏为2010\designide70.bpl 02FF0000 Module D:\Program Files\鹏为2010\vclactnband70.bpl 03040000 Module D:\Program Files\鹏为2010\qtintf70.dll 03430000 Module D:\Program Files\鹏为2010\cxlibraryvcld7.bpl 034D0000 Module D:\Program Files\鹏为2010\dxthemed7.bpl 034F0000 Module D:\Program Files\鹏为2010\remobjects_core_d7.bpl 036D0000 Module D:\Program Files\鹏为2010\dxgdiplusd7.bpl 10000000 Module D:\Program Files\鹏为2010\cms.dll 40000000 Module D:\Program Files\鹏为2010\rtl70.bpl 40220000 Module D:\Program Files\鹏为2010\vclx70.bpl 40370000 Module D:\Program Files\鹏为2010\xmlrtl70.bpl 5FDD0000 Module C:\WINDOWS\system32\netapi32.dll 71A10000 Module C:\WINDOWS\system32\WS2HELP.dll 71A20000 Module C:\WINDOWS\system32\WS2_32.dll 71A40000 Module C:\WINDOWS\system32\wsock32.dll 71A90000 Module C:\WINDOWS\system32\mpr.dll 72F70000 Module C:\WINDOWS\system32\winspool.drv 74C90000 Module C:\WINDOWS\system32\oledlg.dll 76300000 Module C:\WINDOWS\system32\imm32.dll 76320000 Module C:\WINDOWS\system32\comdlg32.dll 765E0000 Module C:\WINDOWS\system32\CRYPT32.dll 76680000 Module C:\WINDOWS\system32\wininet.dll 76990000 Module C:\WINDOWS\system32\ole32.dll 76B10000 Module C:\WINDOWS\system32\winmm.dll 76DB0000 Module C:\WINDOWS\system32\MSASN1.dll 770F0000 Module C:\WINDOWS\system32\oleaut32.dll 77180000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 77BD0000 Module C:\WINDOWS\system32\version.dll 77BE0000 Module C:\WINDOWS\system32\msvcrt.dll 77D10000 Module C:\WINDOWS\system32\user32.dll 77DA0000 Module C:\WINDOWS\system32\advapi32.dll 77E50000 Module C:\WINDOWS\system32\RPCRT4.dll 77EF0000 Module C:\WINDOWS\system32\GDI32.dll 77F40000 Module C:\WINDOWS\system32\SHLWAPI.dll 77FC0000 Module C:\WINDOWS\system32\Secur32.dll 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 7D590000 Module C:\WINDOWS\system32\SHELL32.dll 7E6D0000 Module C:\WINDOWS\system32\hhctrl.ocx 62C20000 Module C:\WINDOWS\system32\lpk.dll 73FA0000 Module C:\WINDOWS\system32\usp10.dll 68BF0000 Module C:\WINDOWS\system32\mui\0804\hhctrlui.dll 75E00000 Module C:\WINDOWS\system32\sxs.dll 00401000 程序入口点 IsDebugPresent hidden 5ADC0000 Module C:\WINDOWS\system32\uxtheme.dll 7C80176F 断点位于 kernel32.GetSystemTime freeloc adress = 04360000 freeloc size = 00020000 04241217 断点位于 04241217 04241118 断点位于 04241118 04236426 断点位于 04236426 0436011A 断点位于 0436011A AsprAPIloc: 042466BC 04240EF2 断点位于 04240EF2 04241002 断点位于 04241002 04241034 断点位于 04241034 0424109F 断点位于 0424109F Delphi initialization table address 010A1190 04221564 断点位于 04221564 04221564 断点位于 04221564 04221564 断点位于 04221564 057A023D 断点位于 057A023D 0436002E 断点位于 0436002E 04360077 断点位于 04360077 043600C5 断点位于 043600C5 04360250 断点位于 04360250 0420F390 断点位于 0420F390 0423707F 断点位于 0423707F 0424066C 硬件断点 1 位于 0424066C 057703B9 断点位于 057703B9 newphysec04840000 043607D9 断点位于 043607D9 0436003E 断点位于 0436003E 043600F2 断点位于 043600F2 04360030 断点位于 04360030 Address of IAT = 010DD090 RVA of IAT = 00CDD090 Size of IAT = 00005684 04360079 断点位于 04360079 Address of OEP = 010A4600 RVA of OEP = 00CA4600 提示：“There are stolen code, check IAT data in log window” 软件下载地址： http://download.17crm.com/download/Client_2010.exe http://download.17crm.com/download/服务器端2010.rar 2010-8-19 15:18 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 8 楼请问如何补段，哪位大侠能指导一下，谢谢！能出个教程就最好了。 2010-8-23 10:45 0
aikoaiko 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	aikoaiko 9 楼我也碰到一个这样的 2010-8-25 12:04 0
xuzhengdao 雪币： 459 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 189 粉丝 0 关注私信	xuzhengdao 10 楼下载不了了。为啥不用附件传？ 2010-8-27 09:14 0
jarphi 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jarphi 11 楼用下载软件可以下的。这个壳搞得人都憔悴了。 2010-8-27 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复