首页
社区
课程
招聘
Patch注册ASProtect V1.X壳保护程序的方法
发表于: 2005-3-17 20:16 16118

Patch注册ASProtect V1.X壳保护程序的方法

fly 活跃值
85
2005-3-17 20:16
16118

Patch注册ASProtect V1.X壳保护程序的方法
            
           
            
下载页面:  http://www3.skycn.com/soft/10657.html
软件大小:  1750 KB
软件语言:  英文
软件类别:  国外软件 / 共享版 / 图标工具
应用平台:  Win9x/NT/2000/XP
加入时间:  2004-10-20 09:22:15
下载次数:  5317
推荐等级:  ****
开 发 商:  http://www.beeicons.com/
软件介绍:  Bee Icons 是一个图标工具,可以替换系统图标和已注册文件类型的图标!
            
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
            
【调试环境】:WinXP、OllyDbg、LordPE、WinHex
            
―――――――――――――――――――――――――――――――――
【脱壳过程】:
         
         
利用ASProtect的Pre-Dip来Patch注册其保护程序的方法在国外某些组织早已使用了。这个方法的意义在于能够直接Patch修改ASProtect加壳程序的内部代码,注册是指那些可以通过处理Pre-Dip来完成注册的加壳程序。本教程所介绍的方法只能Patch ASProtect V1.X壳保护程序,包括V1.23RC4、V1.3X等版本;但是不适用于ASProtect最新的V2.X壳保护程序,因为ASProtect V2.X壳特别针对这个方法加了校验。

关于Pre-Dip可以查阅《看雪论坛精华6》中lipton以及ASProtect目录下的相关教程。

下面以ASProtect V1.23RC4加壳的Bee Icons V4.01为例来进行演示。方法比较繁琐,分多次操作。
需要耐心和ASProtect脱壳基础。多多练习就可以成功,国内已有不少兄弟掌握此方法了。

设置Ollydbg忽略除了“内存访问异常”之外的所有其它异常选项。下面的各步除了特殊说明的,皆为这个异常选项设置。老规矩:用IsDebug V1.4插件去掉Ollydbg的调试器标志。
―――――――――――――――――――――――――――――――――
一、获得ASProtect注册名Pre-Dip处理的地址
            
        
00401000    68 01306100     push BeeIcons.00613001
//进入Ollydbg后暂停在这
00401005    E8 01000000     call BeeIcons.0040100B
0040100A    C3              retn

Shift+F9 运行N次,直至堆栈中第2次看见硬盘指纹:

0013FF3C    00FE4849  返回到 00FE4849
0013FF40    00FD3861
0013FF44    0013FFE0  指针到下一个 SEH 记录
0013FF48    00FE4C49  SE 句柄
0013FF4C    0013FF90
0013FF50    00FD0000
0013FF54    00FA0000
0013FF58    00FE4138
0013FF5C    010028C8  ASCII "wWDDDAAgLTg="

Alt+M打开内存查看窗口,在00401000段“设置内存访问断点”,Shift+F9通过异常,断下

0052FAB4    55              push ebp
//注意这个地址:0052FAB4  ★
0052FAB5    8BEC            mov ebp,esp
0052FAB7    8B45 08         mov eax,dword ptr ss:[ebp+8]
//[ebp+8]=[0013FF40]=00FD3861    注册名保存地址  ★
0052FABA    85C0            test eax,eax
0052FABC    74 0C           je short BeeIcons.0052FACA
0052FABE    8038 00         cmp byte ptr ds:[eax],0
0052FAC1    74 07           je short BeeIcons.0052FACA
0052FAC3    C605 681A5700 0>mov byte ptr ds:[571A68],1
0052FACA    8B15 5C1A5700   mov edx,dword ptr ds:[571A5C]
0052FAD0    8915 581A5700   mov dword ptr ds:[571A58],edx
0052FAD6    A3 5C1A5700     mov dword ptr ds:[571A5C],eax
0052FADB    5D              pop ebp
0052FADC    C2 0400         retn 4

看堆栈:0013FF3C 返回到 00FE4849,Ctrl+G:00FE4849向上看看

00FE483F    A1 3866FE00     mov eax,dword ptr ds:[FE6638]
00FE4844    8B40 04         mov eax,dword ptr ds:[eax+4]
00FE4847    FFD0            call eax
//Call 0052FAB4
00FE4849    8B15 1865FE00   mov edx,dword ptr ds:[FE6518]

在转存中Ctrl+G:[0FE6638]+4
00FE7AB8  B4 FA 52 00     ★

记住:0052FAB4和00FE7AB8

―――――――――――――――――――――――――――――――――
二、第一次回溯:00FE7AB8

重新载入程序。忽略除了“内存访问异常”之外的所有其它异常选项,Shift+F9 运行1次

00FE41A4    3100            xor dword ptr ds:[eax],eax
//第1次内存异常

在转存中Ctrl+G:00FE7AB8,或者下命令:DB 00FE7AB8
选中00FE7AB8处4个字节,下“内存写入”断点。忽略所有异常,Shift+F9

00FD27A8    F3:AB           rep stos dword ptr es:[edi]
//第一次中断
00FD262B    F3:A5           rep movs dword ptr es:[edi],dword ptr ds:[esi]
//第二次中断
ds:[esi]=[00FF1613]=0012FAB4  ★
es:[edi]=[00FE7AB8]=00000000

0012FAB4=0052FAB4-基址0040000

如果在00FE7AB8处设置“内存访问”断点,就会跟踪到这里:
00FE444D    010C82          add dword ptr ds:[edx+eax*4],ecx; BeeIcons.00400000
//[00FE7AB8]=0012FAB4+00400000

记住:00FF1613

―――――――――――――――――――――――――――――――――
三、得到壳重定位后的基址 + 第二次回溯:00FF1613

重新载入程序。忽略所有异常,BP VirtualAlloc  然后把断点挪到VirtualAlloc的段尾
Shift+F9运行,观察壳所申请到的内存地址
――――――――――――――――――――――――
1、得到壳重定位后的基址

7C809A81    8BFF            mov edi,edi
//VirtualAlloc
7C809A83    55              push ebp
7C809A84    8BEC            mov ebp,esp
7C809A86    FF75 14         push dword ptr ss:[ebp+14]
7C809A89    FF75 10         push dword ptr ss:[ebp+10]
7C809A8C    FF75 0C         push dword ptr ss:[ebp+C]
7C809A8F    FF75 08         push dword ptr ss:[ebp+8]
7C809A92    6A FF           push -1
7C809A94    E8 09000000     call kernel32.VirtualAllocEx
7C809A99    5D              pop ebp
7C809A9A    C2 1000         retn 10
//这里下断

当我们在VirtualAlloc中断第2次,会发现申请的EAX返回值是00FD0000

0013FF90   0061352D  /CALL 到 VirtualAlloc 来自 BeeIcons.00613527
0013FF94   00000000  |Address = NULL
0013FF98   0001E000  |Size = 1E000 (122880.)
0013FF9C   00001000  |AllocationType = MEM_COMMIT
0013FFA0   00000004  \Protect = PAGE_READWRITE

00FD0000就是这个程序的壳重定位后的基址,F7,需要跟踪一下

00613527    FF95 DF030000   call dword ptr ss:[ebp+3DF]
0061352D    8985 BF010000   mov dword ptr ss:[ebp+1BF],eax
//[00613607]=00FD0000  ★
00613533    8B55 5B         mov edx,dword ptr ss:[ebp+5B]
00613536    8B85 BF010000   mov eax,dword ptr ss:[ebp+1BF]
0061353C    8902            mov dword ptr ds:[edx],eax
//[00613048]=00FD0000

记住:[00613607],保存壳重定位后的基址,或者[00613048]

――――――――――――――――――――――――
2、第二次回溯:00FF1613

OK,我们继续Shift+F9运行,观察壳所申请到的内存地址
这个需要不少次才看到EAX=00FF0000,某些时候需要中断2次EAX=00FF0000
取消7C809A9A处断点。在转存中Ctrl+G:00FF1613
选中00FF1613处4个字节,下“内存写入”断点。Shift+F9

00FD2645    F3:A5           rep movs dword ptr es:[edi],dword ptr ds:[esi]
//中断在这里
ds:[esi]=[00635587]=E0515542
es:[edi]=[00FF1614]=00000000
ds:[esi]=[00635583]=DB9F2C32
es:[edi]=[00FF1610]=00000000

00635586==>00FF1613  DB 42 55 51     ★

你可以用LordPE的FLC功能查看BeeIcons.exe的00635586(偏移000C5B86)处数据:DB 42 55 51
Good! ASProtect壳下面会对这些数据进行简单的运算,变换成0012FAB4

―――――――――――――――――――――――――――――――――
四、得到运算数据 + 求逆

选择00FF1613处的4个字节,设置“内存访问”断点。
Shift+F9,中断在00FD94BA处,开始运算

00FD946A    41              inc ecx
00FD946B    80E1 FF         and cl,0FF
00FD946E    33DB            xor ebx,ebx
00FD9470    8AD9            mov bl,cl
00FD9472    021418          add dl,byte ptr ds:[eax+ebx]
00FD9475    80E2 FF         and dl,0FF
00FD9478    33DB            xor ebx,ebx
00FD947A    8AD9            mov bl,cl
00FD947C    8A1C18          mov bl,byte ptr ds:[eax+ebx]
00FD947F    885D F7         mov byte ptr ss:[ebp-9],bl
00FD9482    8BF2            mov esi,edx
00FD9484    81E6 FF000000   and esi,0FF
00FD948A    33DB            xor ebx,ebx
00FD948C    8AD9            mov bl,cl
00FD948E    8D3C18          lea edi,dword ptr ds:[eax+ebx]
00FD9491    8A1C30          mov bl,byte ptr ds:[eax+esi]
00FD9494    881F            mov byte ptr ds:[edi],bl
00FD9496    8A5D F7         mov bl,byte ptr ss:[ebp-9]
00FD9499    881C30          mov byte ptr ds:[eax+esi],bl
00FD949C    33DB            xor ebx,ebx
00FD949E    8AD9            mov bl,cl
00FD94A0    8A1C18          mov bl,byte ptr ds:[eax+ebx]
00FD94A3    8BF2            mov esi,edx
00FD94A5    81E6 FF000000   and esi,0FF
00FD94AB    021C30          add bl,byte ptr ds:[eax+esi]
00FD94AE    80E3 FF         and bl,0FF
00FD94B1    885D F7         mov byte ptr ss:[ebp-9],bl
00FD94B4    8B5D FC         mov ebx,dword ptr ss:[ebp-4]
00FD94B7    8B75 F0         mov esi,dword ptr ss:[ebp-10]
00FD94BA    8A1C33          mov bl,byte ptr ds:[ebx+esi]
//中断在这里!依次取DB 42 55 51
00FD94BD    0FB675 F7       movzx esi,byte ptr ss:[ebp-9]
00FD94C1    321C30          xor bl,byte ptr ds:[eax+esi]
//异或      注意:记住运算的数据!
//①、BL=DB XOR 6F=B4
//②、BL=42 XOR B8=FA
//③、BL=55 XOR 47=12
//④、BL=51 XOR 51=00
运算结束得到:   ★
00FF1613  B4 FA 12 00  

BeeIcons.exe的000C5B86偏移地址处是DB425551,这个值正是上面进行运算的数据。
我们要把这里的0052FAB4(0012FAB4+0040000)改为运算后跳向可以写Patch代码的地址!
一般在PE文件偏移80-100间有段空白地址可以给我们利用
所以要修改这个运算后的Patch地址为00400080

求逆00000080(00400080-00400000)如下:
①、BL=80 XOR 6F=EF
②、BL=00 XOR B8=B8
③、BL=00 XOR 47=47
④、BL=00 XOR 51=51

使用WinHex修改BeeIcons.exe偏移000C5B86处的DB425551为:EFB84751
另存为fly.eXe,第六步时需要在里面进行最终的修改

―――――――――――――――――――――――――――――――――
五、RegOpenKeyExA

得到上面的地址运算数据后,我们还要得到壳通过读取注册表中的信息判断是否过期的地方。
Ctrl+F在“整个段块”搜索命令:push 20019

00FD961D    68 19000200     push 20019
//找到这里
00FD9622    6A 00           push 0
00FD9624    8BC7            mov eax,edi
00FD9626    E8 31A2FFFF     call 00FD385C
00FD962B    50              push eax
00FD962C    56              push esi
00FD962D    E8 C6BAFFFF     call 00FD50F8 ; jmp to advapi32.RegOpenKeyExA
//Call RegOpenKeyExA
00FD9632    85C0            test eax,eax
00FD9634    0F85 84000000   jnz 00FD96BE

call 00FD50F8就是call RegOpenKeyExA
点右键,搜索全部命令:call 00FD50F8
地址       反汇编           注释
00FD962D   call 00FD50F8    jmp to advapi32.RegOpenKeyExA
00FD970A   call 00FD50F8    jmp to advapi32.RegOpenKeyExA
00FD9776   call 00FD50F8    jmp to advapi32.RegOpenKeyExA
00FD9829   call 00FD50F8    jmp to advapi32.RegOpenKeyExA
00FD9911   call 00FD50F8    jmp to advapi32.RegOpenKeyExA

一般修改后面3个CALL后的跳转就行了:
00FD9776    E8 7DB9FFFF     call 00FD50F8 ; jmp to advapi32.RegOpenKeyExA
00FD977B    85C0            test eax,eax
00FD977D    75 66           jnz short 00FD97E5
//修改①、  jmp short 00FD97E5

00FD9829    E8 CAB8FFFF     call 00FD50F8 ; jmp to advapi32.RegOpenKeyExA
00FD982E    85C0            test eax,eax
00FD9830    0F85 93000000   jnz 00FD98C9
//修改②、  jmp 00FD98C9

00FD9911    E8 E2B7FFFF     call 00FD50F8 ; jmp to advapi32.RegOpenKeyExA
00FD9916    85C0            test eax,eax
00FD9918    75 30           jnz short 00FD994A
//修改③、  jmp 00FD994A

记住这三个需要修改的地方:00FD977D、00FD9830、00FD9918

―――――――――――――――――――――――――――――――――
六、Patch最终处理

用Ollydbg载入第四步保存的fly.eXe,忽略所有异常
直接下断:BP 400080,Shift+F9后中断下来

00400080    0000            add byte ptr ds:[eax],al
//中断

OK,ASProtect成功到达我们指定的地点!现在写入Patch代码:

00400080    A1 07366100     mov eax,dword ptr ds:[613607]
//[613607]中是第三步得到的壳重定位后的基址

00400085    C680 7D970000 E>mov byte ptr ds:[eax+977D],0EB
//这三句是修改壳通过读取注册表中的信息判断是否过期的地方
//修改①、  jmp 00FD97E5
0040008C    C780 30980000 E>mov dword ptr ds:[eax+9830],94E9
//修改②、  jmp 00FD98C9
00400096    C680 18990000 E>mov byte ptr ds:[eax+9918],0E9
//修改③、  jmp 00FD994A

0040009D    55              push ebp
0040009E    8BEC            mov ebp,esp
//上面2句是把0052FAB4和0052FAB5代码挪到这里执行
004000A0    B8 C0004000     mov eax,004000C0 ; ASCII "fly"
//直接在004000C0处写入注册名:fly
004000A5    E9 10FA1200     jmp 0052FABA
//跳回去继续流程

从Ollydbg中“二进制复制”如下:
A1 07 36 61 00 C6 80 7D 97 00 00 EB C7 80 30 98 00 00 E9 94 00 00 C6 80 18 99 00 00 E9 55 8B EC
B8 C0 00 40 00 E9 10 FA 12 00

前面所有的工作只为了这里写入的几行代码,而这几行代码则使得这个使用ASProtect保护的程序变成了注册版!


至于制作Patch,可以随意选择补丁工具,看你的喜好了。我选择t.p.e制作了通用的文件补丁。
Game !



―――――――――――――――――――――――――――――――――   
                                
         ,     _/
        /| _.-~/            \_     ,        青春都一晌
       ( /~   /              \~-._ |\
       `\\  _/                \   ~\ )          忍把浮名
   _-~~~-.)  )__/;;,.          \_  //'
  /'_,\   --~   \ ~~~-  ,;;\___(  (.-~~~-.        换了破解轻狂
`~ _( ,_..--\ (     ,;'' /    ~--   /._`\
  /~~//'   /' `~\         ) /--.._, )_  `~
  "  `~"  "      `"      /~'`\    `\\~~\   
                         "     "   "~'  ""

              UnPacked By :  fly
               2005-03-16 20:00


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (42)
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
2
搬个椅子坐下来学习
2005-3-17 20:19
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2005-3-17 20:30
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢FLY!
2005-3-17 20:31
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
牛!
2005-3-17 20:34
0
雪    币: 202
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
总算是看完了~!!~!~!
2005-3-17 20:44
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
7
努力学习~
2005-3-17 21:19
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
8
学习,学习!
2005-3-17 21:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
hahaha finally u release this tutorial ...:)
2005-3-17 21:34
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
10
我也要来捧场
2005-3-17 21:42
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
学习中!好东东呀!
2005-3-18 02:27
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
12
最初由 stephenteh 发布
hahaha finally u release this tutorial ...:)

2005-3-18 09:16
0
雪    币: 239
活跃值: (478)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
13
哈哈,此方法终于公开了,谢谢FLY!
2005-3-18 09:37
0
雪    币: 420
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
精华中的精华啊
2005-3-18 09:59
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
15
支持,但暂时还看不大明白!
2005-3-18 13:55
0
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
16
好文,学习了。
2005-3-18 17:50
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
17
学习,学习!
2005-3-19 14:37
0
雪    币: 420
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
附件:PatchASProtect.rar
做了个PDF,大家好下载仔细学习,
2005-3-20 09:45
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ywb
19
真强,但我不敢不懂装懂!
2005-3-20 10:39
0
雪    币: 219
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
小飞好历害...
2005-3-20 17:09
0
雪    币: 266
活跃值: (191)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
最初由 1anyh 发布
小飞好历害...


哈哈,"小飞"~
2005-3-20 18:27
0
雪    币: 420
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
小飞是小李,还是阿飞啊?
2005-3-20 18:57
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
23
下载页面:  http://yncnc.onlinedown.net/soft/25235.htm
软件大小:  1264KB
软件语言:  英文
软件类别:  共享版/MP3 制作
应用平台:  Win9x/NT/2000/XP
加入时间:  2005-3-19 19:54:57
下载次数:  1153
推荐等级:  ****
软件介绍:  标签编辑器

有兴趣的兄弟试试
应该也可以直接Patch注册的


2005-3-20 19:10
0
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
24
[CUG] CHAINA UNPACK GROUP
还有中国脱壳组织啊!
2005-3-20 19:50
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
25
fly 老大请恕我蠢,Ultra Tag Editor V2.0.8怎么用Patch的方法?它跟起来与Bee Icon不一样。
2005-3-20 19:54
0
游客
登录 | 注册 方可回帖
返回
//