一个aspr的壳,难道是新版本?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

一个aspr的壳,难道是新版本?

发表于: 2004-5-27 03:03 8053

一个aspr的壳,难道是新版本?

草原猎豹

2004-5-27 03:03

8053

http://www.dzsoft.com/dzphp.htm
网上有pj版的,不过代码已经面目全非.
我查壳,aspr1.23rc4,但是用普通方法跟不下去,不知道是新版还是伪装?
还请大虾出面写脱文

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・6

支持

最新回复 (19)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼应该是新版不好脱 2004-5-27 03:13 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 3 楼最初由 fly 发布应该是新版不好脱网上还是有牛人能脱出来啊，强！ 2004-5-27 12:25 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 4 楼曾在DFCG回答过，不知为何帖子不见了，输入表的修复和aspr1.3b接近，走完pre-dip,在第39个异常多了一个anti-debug的异常，走完这个异常在过四个异常就能看到jmp eax(jmp oep) 2004-5-27 12:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 lipton 兄有空写个过程吧 2004-5-27 12:46 0
StudentII 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	StudentII 6 楼最初由 lipton 发布曾在DFCG回答过，不知为何帖子不见了，输入表的修复和aspr1.3b接近，走完pre-dip,在第39个异常多了一个anti-debug的异常，走完这个异常在过四个异常就能看到jmp eax(jmp oep) lipton兄差矣，1.4和1.3输入表的处理有很大的不同。这个软体如果你能顺利修复IAT，脱壳就完成了。走完pre-dip后ALT-M在代码段F2一下，之后程序就断在OEP了。 2004-5-27 13:45 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 7 楼偷走的代码修复的来吗 2004-5-27 19:08 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 8 楼我用的是OD1.10a,几个新版本和修改的版本都用不了，会非法操作，问过几个人都没有这种情况，可能是我的系统问题，因此过第39异常路子长了一点。第39异常 00D5C111 90 NOP 00D5C112 80F8 00 CMP AL,0 00D5C115 74 08 JE SHORT 00D5C11F 00D5C117 EB 01 JMP SHORT 00D5C11A 00D5C119 E8 31C040EB CALL EC16814F 00D5C11E 05 31C0EB01 ADD EAX,1EBC031 00D5C123 E8 31ED648F CALL 903AAE59 0012FE28 0012FE44 Pointer to next SEH record 0012FE2C 00D5C074 SE handler //bp 00d5C074 0012FE30 0012FF64 0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0 Shift+F9 00D5C074 55 PUSH EBP //断在此处 00D5C075 8BEC MOV EBP,ESP 00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 00D5C07A 33D2 XOR EDX,EDX 00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX 00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44] 00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX 00D5C08B 33D2 XOR EDX,EDX 00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX 00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48] 00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX 00D5C09C 33D2 XOR EDX,EDX 00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX 00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C] 00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX 00D5C0AD 33D2 XOR EDX,EDX 00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX 00D5C0B2 33C0 XOR EAX,EAX 00D5C0B4 5D POP EBP 00D5C0B5 C3 RETN //往系统领空 77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空，停在此处看堆栈 77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0] 77FB173C 8BE5 MOV ESP,EBP 77FB173E 5D POP EBP 77FB173F C2 1400 RETN 14 0012FA5C 0012FB3C 0012FA60 0012FE28 0012FA64 0012FB5C //看这里 0012FA68 0012FB14 0012FA6C 0012FE28 Pointer to next SEH record 0012FA70 77FB1742 SE handler D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. bp 00D5C11F F9 (不是Shift+F9) 00D5C11F 31C0 XOR EAX,EAX //断在此处，往下走 00D5C121 EB 01 JMP SHORT 00D5C124 00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4] 00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8 00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8 00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续 00D5C478 33C0 XOR EAX,EAX //建新起源，从这里开始四个异常就是入口。 00D5C47A 5A POP EDX 00D5C47B 59 POP ECX 00D5C47C 59 POP ECX 00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX 00D5C480 68 9AC4D500 PUSH 0D5C49A 00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00D5C488 BA 02000000 MOV EDX,2 00D5C48D E8 2A71FEFF CALL 00D435BC 00D5C492 C3 RETN 在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP 没有偷代码 2004-5-27 19:15 0
iceplus 雪币： 227 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 96 粉丝 0 关注私信	iceplus 9 楼老天，关键是IAT修复 2004-5-28 20:01 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 10 楼强 2004-5-28 21:11 0
iceplus 雪币： 227 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 96 粉丝 0 关注私信	iceplus 11 楼自己写脱壳工具，以前的方法没用 2004-5-29 01:51 0
StudentII 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	StudentII 12 楼最初由 iceplus 发布自己写脱壳工具，以前的方法没用晕倒 2004-5-29 15:14 0
LOCKLOSE 雪币： 14870 活跃值： (4663) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 20 关注私信	LOCKLOSE 2 13 楼最初由 iceplus 发布自己写脱壳工具，以前的方法没用狂晕。。那就麻烦ICEPLUS兄弟写个脱壳工具吧。免得偶等菜菜手动脱它的时候晕菜了。。:o 2004-5-30 16:08 0
aiww 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	aiww 14 楼最初由 lipton 发布我用的是OD1.10a,几个新版本和修改的版本都用不了，会非法操作，问过几个人都没有这种情况，可能是我的系统问题，因此过第39异常路子长了一点。第39异常 00D5C111 90 NOP 00D5C112 80F8 00 CMP AL,0 00D5C115 74 08 JE SHORT 00D5C11F 00D5C117 EB 01 JMP SHORT 00D5C11A 00D5C119 E8 31C040EB CALL EC16814F 00D5C11E 05 31C0EB01 ADD EAX,1EBC031 00D5C123 E8 31ED648F CALL 903AAE59 0012FE28 0012FE44 Pointer to next SEH record 0012FE2C 00D5C074 SE handler //bp 00d5C074 0012FE30 0012FF64 0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0 Shift+F9 00D5C074 55 PUSH EBP //断在此处 00D5C075 8BEC MOV EBP,ESP 00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 00D5C07A 33D2 XOR EDX,EDX 00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX 00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44] 00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX 00D5C08B 33D2 XOR EDX,EDX 00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX 00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48] 00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX 00D5C09C 33D2 XOR EDX,EDX 00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX 00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C] 00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX 00D5C0AD 33D2 XOR EDX,EDX 00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX 00D5C0B2 33C0 XOR EAX,EAX 00D5C0B4 5D POP EBP 00D5C0B5 C3 RETN //往系统领空 77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空，停在此处看堆栈 77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0] 77FB173C 8BE5 MOV ESP,EBP 77FB173E 5D POP EBP 77FB173F C2 1400 RETN 14 0012FA5C 0012FB3C 0012FA60 0012FE28 0012FA64 0012FB5C //看这里 0012FA68 0012FB14 0012FA6C 0012FE28 Pointer to next SEH record 0012FA70 77FB1742 SE handler D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. bp 00D5C11F F9 (不是Shift+F9) 00D5C11F 31C0 XOR EAX,EAX //断在此处，往下走 00D5C121 EB 01 JMP SHORT 00D5C124 00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4] 00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8 00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8 00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续 00D5C478 33C0 XOR EAX,EAX //建新起源，从这里开始四个异常就是入口。 00D5C47A 5A POP EDX 00D5C47B 59 POP ECX 00D5C47C 59 POP ECX 00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX 00D5C480 68 9AC4D500 PUSH 0D5C49A 00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00D5C488 BA 02000000 MOV EDX,2 00D5C48D E8 2A71FEFF CALL 00D435BC 00D5C492 C3 RETN 在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP 没有偷代码请教lipton大虾能详细解释一下 D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. ＋0B8是根据什么 d5c11f这个异常入口是如何得到的？ 2004-5-30 19:17 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 15 楼实在不好意思，我一开始就答所非问。 to aiww 请看《看学精华三》《如何跟踪Asprotect壳》作者litt 时间2001－4－13 或《加密与解密》第二版SEH篇 2004-5-30 21:48 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 16 楼最初由 lipton 发布实在不好意思，我一开始就答所非问。 to aiww 请看《看学精华三》《如何跟踪Asprotect壳》作者litt 时间2001－4－13 或《加密与解密》第二版SEH篇作者是ljtt大侠吧。 2004-5-30 22:01 0
aiww 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	aiww 17 楼果然是ljtt大虾吗久仰大名不管是不是要谢谢lipton或ljtt 大虾指点本来对这个论坛有些失望了这里好象很排挤新人啊郁闷 2004-5-31 06:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼最初由 aiww 发布果然是ljtt大虾吗久仰大名不管是不是要谢谢lipton或ljtt 大虾指点本来对这个论坛有些失望了这里好象很排挤新人啊郁闷受不了，帮你脱外挂就算是帮助新人？这里只是探讨脱壳技术，而不接受脱壳申请！没有删贴已经算是比较客气了 2004-5-31 11:40 0
aiww 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	aiww 19 楼最初由 fly 发布受不了，帮你脱外挂就算是帮助新人？这里只是探讨脱壳技术，而不接受脱壳申请！没有删贴已经算是比较客气了 to fly 我想你误会我的意思了，你可以仔细看我的帖子，我只是想让指点一下思路一两句话也可以啊，并不是请求帮我脱壳，我原本不打算把附件传上来，但是我看到一个帖子启示我把附件传上来 http://bbs.pediy.com/showthread.php?s=&threadid=1447 最初由 LOCKLOSE 发布都不把要脱的文件放上来让人上哪里去帮忙啊.难道随便找一个就脱,那样的话找教程啊.如果想让坛子里的人帮忙就附带上要脱壳的文件,不然怎么帮哦~:o 你可以再看我的原贴，这是脱壳申请吗最初由 aiww 发布我想脱的是包里的TGII_0623.exe 用peid 查看 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov 但是用看学工具里下载的脱壳机caspr110不能识别，stripper 脱下来之后不能运行我脱壳经验太少，不知道怎么有效的下断点，只能一句一句用od跟，这样可太累了，这个壳是不停的产生读写内存异常，od忽略内存读写异常后，就能加载运行，大虾有空帮看看指点一下谢谢！！下次拜托你没看清楚就不要动不动就删帖的话，并且我传的附件实在是很老的一个外挂而且是破解过的又加的壳，不脱也可以正常使用，根本不会破坏谁的利益，也不会给谁带来利益不用这么敏感 2004-5-31 23:53 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼那您的贴子算是什么类型的？您在帖子中说了多少你的手动脱壳过程？之所以对帖子有要求是为了保护论坛另外：至于删贴的标准我想还不需要您来提醒吧 2004-6-1 01:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

草原猎豹

发帖

153

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼应该是新版不好脱 2004-5-27 03:13 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 3 楼最初由 fly 发布应该是新版不好脱网上还是有牛人能脱出来啊，强！ 2004-5-27 12:25 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 4 楼曾在DFCG回答过，不知为何帖子不见了，输入表的修复和aspr1.3b接近，走完pre-dip,在第39个异常多了一个anti-debug的异常，走完这个异常在过四个异常就能看到jmp eax(jmp oep) 2004-5-27 12:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 lipton 兄有空写个过程吧 2004-5-27 12:46 0
StudentII 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	StudentII 6 楼最初由 lipton 发布曾在DFCG回答过，不知为何帖子不见了，输入表的修复和aspr1.3b接近，走完pre-dip,在第39个异常多了一个anti-debug的异常，走完这个异常在过四个异常就能看到jmp eax(jmp oep) lipton兄差矣，1.4和1.3输入表的处理有很大的不同。这个软体如果你能顺利修复IAT，脱壳就完成了。走完pre-dip后ALT-M在代码段F2一下，之后程序就断在OEP了。 2004-5-27 13:45 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 7 楼偷走的代码修复的来吗 2004-5-27 19:08 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 8 楼我用的是OD1.10a,几个新版本和修改的版本都用不了，会非法操作，问过几个人都没有这种情况，可能是我的系统问题，因此过第39异常路子长了一点。第39异常 00D5C111 90 NOP 00D5C112 80F8 00 CMP AL,0 00D5C115 74 08 JE SHORT 00D5C11F 00D5C117 EB 01 JMP SHORT 00D5C11A 00D5C119 E8 31C040EB CALL EC16814F 00D5C11E 05 31C0EB01 ADD EAX,1EBC031 00D5C123 E8 31ED648F CALL 903AAE59 0012FE28 0012FE44 Pointer to next SEH record 0012FE2C 00D5C074 SE handler //bp 00d5C074 0012FE30 0012FF64 0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0 Shift+F9 00D5C074 55 PUSH EBP //断在此处 00D5C075 8BEC MOV EBP,ESP 00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 00D5C07A 33D2 XOR EDX,EDX 00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX 00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44] 00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX 00D5C08B 33D2 XOR EDX,EDX 00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX 00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48] 00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX 00D5C09C 33D2 XOR EDX,EDX 00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX 00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C] 00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX 00D5C0AD 33D2 XOR EDX,EDX 00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX 00D5C0B2 33C0 XOR EAX,EAX 00D5C0B4 5D POP EBP 00D5C0B5 C3 RETN //往系统领空 77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空，停在此处看堆栈 77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0] 77FB173C 8BE5 MOV ESP,EBP 77FB173E 5D POP EBP 77FB173F C2 1400 RETN 14 0012FA5C 0012FB3C 0012FA60 0012FE28 0012FA64 0012FB5C //看这里 0012FA68 0012FB14 0012FA6C 0012FE28 Pointer to next SEH record 0012FA70 77FB1742 SE handler D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. bp 00D5C11F F9 (不是Shift+F9) 00D5C11F 31C0 XOR EAX,EAX //断在此处，往下走 00D5C121 EB 01 JMP SHORT 00D5C124 00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4] 00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8 00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8 00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续 00D5C478 33C0 XOR EAX,EAX //建新起源，从这里开始四个异常就是入口。 00D5C47A 5A POP EDX 00D5C47B 59 POP ECX 00D5C47C 59 POP ECX 00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX 00D5C480 68 9AC4D500 PUSH 0D5C49A 00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00D5C488 BA 02000000 MOV EDX,2 00D5C48D E8 2A71FEFF CALL 00D435BC 00D5C492 C3 RETN 在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP 没有偷代码 2004-5-27 19:15 0
iceplus 雪币： 227 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 96 粉丝 0 关注私信	iceplus 9 楼老天，关键是IAT修复 2004-5-28 20:01 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 10 楼强 2004-5-28 21:11 0
iceplus 雪币： 227 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 96 粉丝 0 关注私信	iceplus 11 楼自己写脱壳工具，以前的方法没用 2004-5-29 01:51 0
StudentII 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	StudentII 12 楼最初由 iceplus 发布自己写脱壳工具，以前的方法没用晕倒 2004-5-29 15:14 0
LOCKLOSE 雪币： 14870 活跃值： (4663) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 20 关注私信	LOCKLOSE 2 13 楼最初由 iceplus 发布自己写脱壳工具，以前的方法没用狂晕。。那就麻烦ICEPLUS兄弟写个脱壳工具吧。免得偶等菜菜手动脱它的时候晕菜了。。:o 2004-5-30 16:08 0
aiww 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	aiww 14 楼最初由 lipton 发布我用的是OD1.10a,几个新版本和修改的版本都用不了，会非法操作，问过几个人都没有这种情况，可能是我的系统问题，因此过第39异常路子长了一点。第39异常 00D5C111 90 NOP 00D5C112 80F8 00 CMP AL,0 00D5C115 74 08 JE SHORT 00D5C11F 00D5C117 EB 01 JMP SHORT 00D5C11A 00D5C119 E8 31C040EB CALL EC16814F 00D5C11E 05 31C0EB01 ADD EAX,1EBC031 00D5C123 E8 31ED648F CALL 903AAE59 0012FE28 0012FE44 Pointer to next SEH record 0012FE2C 00D5C074 SE handler //bp 00d5C074 0012FE30 0012FF64 0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0 Shift+F9 00D5C074 55 PUSH EBP //断在此处 00D5C075 8BEC MOV EBP,ESP 00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 00D5C07A 33D2 XOR EDX,EDX 00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX 00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44] 00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX 00D5C08B 33D2 XOR EDX,EDX 00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX 00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48] 00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX 00D5C09C 33D2 XOR EDX,EDX 00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX 00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C] 00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX 00D5C0AD 33D2 XOR EDX,EDX 00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX 00D5C0B2 33C0 XOR EAX,EAX 00D5C0B4 5D POP EBP 00D5C0B5 C3 RETN //往系统领空 77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空，停在此处看堆栈 77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0] 77FB173C 8BE5 MOV ESP,EBP 77FB173E 5D POP EBP 77FB173F C2 1400 RETN 14 0012FA5C 0012FB3C 0012FA60 0012FE28 0012FA64 0012FB5C //看这里 0012FA68 0012FB14 0012FA6C 0012FE28 Pointer to next SEH record 0012FA70 77FB1742 SE handler D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. bp 00D5C11F F9 (不是Shift+F9) 00D5C11F 31C0 XOR EAX,EAX //断在此处，往下走 00D5C121 EB 01 JMP SHORT 00D5C124 00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4] 00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8 00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8 00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续 00D5C478 33C0 XOR EAX,EAX //建新起源，从这里开始四个异常就是入口。 00D5C47A 5A POP EDX 00D5C47B 59 POP ECX 00D5C47C 59 POP ECX 00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX 00D5C480 68 9AC4D500 PUSH 0D5C49A 00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00D5C488 BA 02000000 MOV EDX,2 00D5C48D E8 2A71FEFF CALL 00D435BC 00D5C492 C3 RETN 在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP 没有偷代码请教lipton大虾能详细解释一下 D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. ＋0B8是根据什么 d5c11f这个异常入口是如何得到的？ 2004-5-30 19:17 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 15 楼实在不好意思，我一开始就答所非问。 to aiww 请看《看学精华三》《如何跟踪Asprotect壳》作者litt 时间2001－4－13 或《加密与解密》第二版SEH篇 2004-5-30 21:48 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 16 楼最初由 lipton 发布实在不好意思，我一开始就答所非问。 to aiww 请看《看学精华三》《如何跟踪Asprotect壳》作者litt 时间2001－4－13 或《加密与解密》第二版SEH篇作者是ljtt大侠吧。 2004-5-30 22:01 0
aiww 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	aiww 17 楼果然是ljtt大虾吗久仰大名不管是不是要谢谢lipton或ljtt 大虾指点本来对这个论坛有些失望了这里好象很排挤新人啊郁闷 2004-5-31 06:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼最初由 aiww 发布果然是ljtt大虾吗久仰大名不管是不是要谢谢lipton或ljtt 大虾指点本来对这个论坛有些失望了这里好象很排挤新人啊郁闷受不了，帮你脱外挂就算是帮助新人？这里只是探讨脱壳技术，而不接受脱壳申请！没有删贴已经算是比较客气了 2004-5-31 11:40 0
aiww 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	aiww 19 楼最初由 fly 发布受不了，帮你脱外挂就算是帮助新人？这里只是探讨脱壳技术，而不接受脱壳申请！没有删贴已经算是比较客气了 to fly 我想你误会我的意思了，你可以仔细看我的帖子，我只是想让指点一下思路一两句话也可以啊，并不是请求帮我脱壳，我原本不打算把附件传上来，但是我看到一个帖子启示我把附件传上来 http://bbs.pediy.com/showthread.php?s=&threadid=1447 最初由 LOCKLOSE 发布都不把要脱的文件放上来让人上哪里去帮忙啊.难道随便找一个就脱,那样的话找教程啊.如果想让坛子里的人帮忙就附带上要脱壳的文件,不然怎么帮哦~:o 你可以再看我的原贴，这是脱壳申请吗最初由 aiww 发布我想脱的是包里的TGII_0623.exe 用peid 查看 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov 但是用看学工具里下载的脱壳机caspr110不能识别，stripper 脱下来之后不能运行我脱壳经验太少，不知道怎么有效的下断点，只能一句一句用od跟，这样可太累了，这个壳是不停的产生读写内存异常，od忽略内存读写异常后，就能加载运行，大虾有空帮看看指点一下谢谢！！下次拜托你没看清楚就不要动不动就删帖的话，并且我传的附件实在是很老的一个外挂而且是破解过的又加的壳，不脱也可以正常使用，根本不会破坏谁的利益，也不会给谁带来利益不用这么敏感 2004-5-31 23:53 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼那您的贴子算是什么类型的？您在帖子中说了多少你的手动脱壳过程？之所以对帖子有要求是为了保护论坛另外：至于删贴的标准我想还不需要您来提醒吧 2004-6-1 01:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复