首页
社区
课程
招聘
一个aspr的壳,难道是新版本?
发表于: 2004-5-27 03:03 8053

一个aspr的壳,难道是新版本?

2004-5-27 03:03
8053
http://www.dzsoft.com/dzphp.htm
网上有pj版的,不过代码已经面目全非.
我查壳,aspr1.23rc4,但是用普通方法跟不下去,不知道是新版还是伪装?
还请大虾出面写脱文

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (19)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
应该是新版
不好脱
2004-5-27 03:13
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
3
最初由 fly 发布
应该是新版
不好脱


网上还是有牛人能脱出来啊,强!
2004-5-27 12:25
0
雪    币: 227
活跃值: (160)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
曾在DFCG回答过,不知为何帖子不见了,输入表的修复和aspr1.3b接近,走完pre-dip,在第39个异常多了一个anti-debug的异常,走完这个异常在过四个异常就能看到jmp eax(jmp oep)
2004-5-27 12:30
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
lipton 兄有空写个过程吧
2004-5-27 12:46
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
最初由 lipton 发布
曾在DFCG回答过,不知为何帖子不见了,输入表的修复和aspr1.3b接近,走完pre-dip,在第39个异常多了一个anti-debug的异常,走完这个异常在过四个异常就能看到jmp eax(jmp oep)


lipton兄差矣,1.4和1.3输入表的处理有很大的不同。这个软体如果你能顺利修复IAT,脱壳就完成了。走完pre-dip后ALT-M在代码段F2一下,之后程序就断在OEP了。
2004-5-27 13:45
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
偷走的代码修复的来吗
2004-5-27 19:08
0
雪    币: 227
活跃值: (160)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
我用的是OD1.10a,几个新版本和修改的版本都用不了,会非法操作,问过几个人都没有这种情况,可能是我的
系统问题,因此过第39异常路子长了一点。

第39异常
00D5C111   90                    NOP
00D5C112   80F8 00               CMP AL,0
00D5C115   74 08                 JE SHORT 00D5C11F
00D5C117   EB 01                 JMP SHORT 00D5C11A
00D5C119   E8 31C040EB           CALL EC16814F
00D5C11E   05 31C0EB01           ADD EAX,1EBC031
00D5C123   E8 31ED648F           CALL 903AAE59

0012FE28   0012FE44      Pointer to next SEH record
0012FE2C   00D5C074      SE handler                 //bp 00d5C074
0012FE30   0012FF64
0012FE34   00D5C373      RETURN to 00D5C373 from 00D5C0D0

Shift+F9

00D5C074   55                    PUSH EBP           //断在此处      
00D5C075   8BEC                  MOV EBP,ESP
00D5C077   8B45 10               MOV EAX,DWORD PTR SS:[EBP+10]
00D5C07A   33D2                  XOR EDX,EDX
00D5C07C   8950 04               MOV DWORD PTR DS:[EAX+4],EDX
00D5C07F   8B15 444BD600         MOV EDX,DWORD PTR DS:[D64B44]
00D5C085   8990 C4000000         MOV DWORD PTR DS:[EAX+C4],EDX
00D5C08B   33D2                  XOR EDX,EDX
00D5C08D   8950 08               MOV DWORD PTR DS:[EAX+8],EDX
00D5C090   8B15 484BD600         MOV EDX,DWORD PTR DS:[D64B48]
00D5C096   8990 B4000000         MOV DWORD PTR DS:[EAX+B4],EDX
00D5C09C   33D2                  XOR EDX,EDX
00D5C09E   8950 0C               MOV DWORD PTR DS:[EAX+C],EDX
00D5C0A1   8B15 4C4BD600         MOV EDX,DWORD PTR DS:[D64B4C]
00D5C0A7   8990 B8000000         MOV DWORD PTR DS:[EAX+B8],EDX
00D5C0AD   33D2                  XOR EDX,EDX
00D5C0AF   8950 10               MOV DWORD PTR DS:[EAX+10],EDX
00D5C0B2   33C0                  XOR EAX,EAX
00D5C0B4   5D                    POP EBP
00D5C0B5   C3                    RETN              //往系统领空

77FB172E   64:8B25 00000000      MOV ESP,DWORD PTR FS:[0]  //系统领空,停在此处看堆栈
77FB1735   64:8F05 00000000      POP DWORD PTR FS:[0]
77FB173C   8BE5                  MOV ESP,EBP
77FB173E   5D                    POP EBP
77FB173F   C2 1400               RETN 14

0012FA5C   0012FB3C
0012FA60   0012FE28
0012FA64   0012FB5C           //看这里
0012FA68   0012FB14
0012FA6C   0012FE28      Pointer to next SEH record
0012FA70   77FB1742      SE handler

D 12FA64+0B8
0012FC14  1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00  琳....F..(?.

bp 00D5C11F
F9 (不是Shift+F9)
00D5C11F   31C0                  XOR EAX,EAX        //断在此处,往下走
00D5C121   EB 01                 JMP SHORT 00D5C124

00D5C467   FF45 FC               INC DWORD PTR SS:[EBP-4]
00D5C46A   8345 F4 08            ADD DWORD PTR SS:[EBP-C],8
00D5C46E   837D FC 08            CMP DWORD PTR SS:[EBP-4],8
00D5C472  ^0F85 71FFFFFF         JNZ 00D5C3E9       //如果没有检测完则继续
00D5C478   33C0                  XOR EAX,EAX        //建新起源,从这里开始四个异常就是入口。
00D5C47A   5A                    POP EDX
00D5C47B   59                    POP ECX
00D5C47C   59                    POP ECX
00D5C47D   64:8910               MOV DWORD PTR FS:[EAX],EDX
00D5C480   68 9AC4D500           PUSH 0D5C49A
00D5C485   8D45 EC               LEA EAX,DWORD PTR SS:[EBP-14]
00D5C488   BA 02000000           MOV EDX,2
00D5C48D   E8 2A71FEFF           CALL 00D435BC
00D5C492   C3                    RETN

在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP
没有偷代码
2004-5-27 19:15
0
雪    币: 227
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
老天,关键是IAT修复
2004-5-28 20:01
0
雪    币: 218
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
2004-5-28 21:11
0
雪    币: 227
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
自己写脱壳工具,以前的方法没用
2004-5-29 01:51
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最初由 iceplus 发布
自己写脱壳工具,以前的方法没用


晕倒
2004-5-29 15:14
0
雪    币: 14870
活跃值: (4663)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
13
最初由 iceplus 发布
自己写脱壳工具,以前的方法没用

狂晕。。那就麻烦ICEPLUS兄弟写个脱壳工具吧。免得偶等菜菜手动脱它的时候晕菜了。。:o
2004-5-30 16:08
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
最初由 lipton 发布
我用的是OD1.10a,几个新版本和修改的版本都用不了,会非法操作,问过几个人都没有这种情况,可能是我的
系统问题,因此过第39异常路子长了一点。

第39异常
00D5C111 90 NOP
00D5C112 80F8 00 CMP AL,0
00D5C115 74 08 JE SHORT 00D5C11F
00D5C117 EB 01 JMP SHORT 00D5C11A
00D5C119 E8 31C040EB CALL EC16814F
00D5C11E 05 31C0EB01 ADD EAX,1EBC031
00D5C123 E8 31ED648F CALL 903AAE59

0012FE28 0012FE44 Pointer to next SEH record
0012FE2C 00D5C074 SE handler //bp 00d5C074
0012FE30 0012FF64
0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0

Shift+F9

00D5C074 55 PUSH EBP //断在此处
00D5C075 8BEC MOV EBP,ESP
00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
00D5C07A 33D2 XOR EDX,EDX
00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX
00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44]
00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX
00D5C08B 33D2 XOR EDX,EDX
00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX
00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48]
00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX
00D5C09C 33D2 XOR EDX,EDX
00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX
00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C]
00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX
00D5C0AD 33D2 XOR EDX,EDX
00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX
00D5C0B2 33C0 XOR EAX,EAX
00D5C0B4 5D POP EBP
00D5C0B5 C3 RETN //往系统领空

77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空,停在此处看堆栈
77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0]
77FB173C 8BE5 MOV ESP,EBP
77FB173E 5D POP EBP
77FB173F C2 1400 RETN 14

0012FA5C 0012FB3C
0012FA60 0012FE28
0012FA64 0012FB5C //看这里
0012FA68 0012FB14
0012FA6C 0012FE28 Pointer to next SEH record
0012FA70 77FB1742 SE handler

D 12FA64+0B8
0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?.

bp 00D5C11F
F9 (不是Shift+F9)
00D5C11F 31C0 XOR EAX,EAX //断在此处,往下走
00D5C121 EB 01 JMP SHORT 00D5C124

00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4]
00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8
00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8
00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续
00D5C478 33C0 XOR EAX,EAX //建新起源,从这里开始四个异常就是入口。
00D5C47A 5A POP EDX
00D5C47B 59 POP ECX
00D5C47C 59 POP ECX
00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX
00D5C480 68 9AC4D500 PUSH 0D5C49A
00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
00D5C488 BA 02000000 MOV EDX,2
00D5C48D E8 2A71FEFF CALL 00D435BC
00D5C492 C3 RETN

在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP
没有偷代码


请教lipton大虾能详细解释一下
D 12FA64+0B8
0012FC14  1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00  琳....F..(?.

+0B8是根据什么 d5c11f这个异常入口是如何得到的?
2004-5-30 19:17
0
雪    币: 227
活跃值: (160)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
15
实在不好意思,我一开始就答所非问。

to aiww
请看《看学精华三》
《如何跟踪Asprotect壳》
作者litt
时间2001-4-13
或《加密与解密》第二版SEH篇
2004-5-30 21:48
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
最初由 lipton 发布
实在不好意思,我一开始就答所非问。

to aiww
请看《看学精华三》
《如何跟踪Asprotect壳》
作者litt
时间2001-4-13
或《加密与解密》第二版SEH篇


作者是ljtt大侠吧。
2004-5-30 22:01
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
果然是ljtt大虾吗 久仰大名
不管是不是 要谢谢lipton或ljtt 大虾指点 本来对这个论坛有些失望了 这里好象很排挤新人啊 郁闷
2004-5-31 06:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
18
最初由 aiww 发布
果然是ljtt大虾吗 久仰大名
不管是不是 要谢谢lipton或ljtt 大虾指点 本来对这个论坛有些失望了 这里好象很排挤新人啊 郁闷


受不了,帮你脱外挂就算是帮助新人?
这里只是探讨脱壳技术,而不接受脱壳申请!没有删贴已经算是比较客气了
2004-5-31 11:40
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
最初由 fly 发布



受不了,帮你脱外挂就算是帮助新人?
这里只是探讨脱壳技术,而不接受脱壳申请!没有删贴已经算是比较客气了


to fly
我想你误会我的意思了,你可以仔细看我的帖子,我只是想让指点一下思路一两句话也可以啊,并不是请求帮我脱壳,我原本不打算把附件传上来,但是我看到一个帖子启示我把附件传上来
http://bbs.pediy.com/showthread.php?s=&threadid=1447
最初由 LOCKLOSE 发布
都不把要脱的文件放上来让人上哪里去帮忙啊.难道随便找一个就脱,那样的话找教程啊.如果想让坛子里的人帮忙就附带上要脱壳的文件,不然怎么帮哦~:o


你可以再看我的原贴,这是脱壳申请吗
最初由 aiww 发布
我想脱的是包里的TGII_0623.exe
用peid 查看 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov

但是用看学工具里下载的脱壳机caspr110不能识别,stripper 脱下来之后不能运行

我脱壳经验太少,不知道怎么有效的下断点,只能一句一句用od跟,这样可太累了,这个壳是不停的产生读写内存异常,od忽略内存读写异常后,就能加载运行,大虾有空帮看看指点一下 谢谢!!


下次拜托你没看清楚就不要动不动就删帖的话,并且我传的附件实在是很老的一个外挂而且是破解过的又加的壳,不脱也可以正常使用,根本不会破坏谁的利益,也不会给谁带来利益不用这么敏感
2004-5-31 23:53
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
20
那您的贴子算是什么类型的?
您在帖子中说了多少你的手动脱壳过程?

之所以对帖子有要求是为了保护论坛
另外:至于删贴的标准我想还不需要您来提醒吧
2004-6-1 01:32
0
游客
登录 | 注册 方可回帖
返回
//