能力值:
( LV9,RANK:3410 )
2 楼
应该是新版
不好脱
能力值:
( LV9,RANK:170 )
3 楼
最初由 fly 发布 应该是新版 不好脱
网上还是有牛人能脱出来啊,强!
能力值:
( LV6,RANK:90 )
4 楼
曾在DFCG回答过,不知为何帖子不见了,输入表的修复和aspr1.3b接近,走完pre-dip,在第39个异常多了一个anti-debug的异常,走完这个异常在过四个异常就能看到jmp eax(jmp oep)
能力值:
( LV9,RANK:3410 )
5 楼
lipton 兄有空写个过程吧
能力值:
( LV2,RANK:10 )
6 楼
最初由 lipton 发布 曾在DFCG回答过,不知为何帖子不见了,输入表的修复和aspr1.3b接近,走完pre-dip,在第39个异常多了一个anti-debug的异常,走完这个异常在过四个异常就能看到jmp eax(jmp oep)
lipton兄差矣,1.4和1.3输入表的处理有很大的不同。这个软体如果你能顺利修复IAT,脱壳就完成了。走完pre-dip后ALT-M在代码段F2一下,之后程序就断在OEP了。
能力值:
( LV9,RANK:170 )
7 楼
偷走的代码修复的来吗
能力值:
( LV6,RANK:90 )
8 楼
我用的是OD1.10a,几个新版本和修改的版本都用不了,会非法操作,问过几个人都没有这种情况,可能是我的
系统问题,因此过第39异常路子长了一点。
第39异常
00D5C111 90 NOP
00D5C112 80F8 00 CMP AL,0
00D5C115 74 08 JE SHORT 00D5C11F
00D5C117 EB 01 JMP SHORT 00D5C11A
00D5C119 E8 31C040EB CALL EC16814F
00D5C11E 05 31C0EB01 ADD EAX,1EBC031
00D5C123 E8 31ED648F CALL 903AAE59
0012FE28 0012FE44 Pointer to next SEH record
0012FE2C 00D5C074 SE handler //bp 00d5C074
0012FE30 0012FF64
0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0
Shift+F9
00D5C074 55 PUSH EBP //断在此处
00D5C075 8BEC MOV EBP,ESP
00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
00D5C07A 33D2 XOR EDX,EDX
00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX
00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44]
00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX
00D5C08B 33D2 XOR EDX,EDX
00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX
00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48]
00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX
00D5C09C 33D2 XOR EDX,EDX
00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX
00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C]
00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX
00D5C0AD 33D2 XOR EDX,EDX
00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX
00D5C0B2 33C0 XOR EAX,EAX
00D5C0B4 5D POP EBP
00D5C0B5 C3 RETN //往系统领空
77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空,停在此处看堆栈
77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0]
77FB173C 8BE5 MOV ESP,EBP
77FB173E 5D POP EBP
77FB173F C2 1400 RETN 14
0012FA5C 0012FB3C
0012FA60 0012FE28
0012FA64 0012FB5C //看这里
0012FA68 0012FB14
0012FA6C 0012FE28 Pointer to next SEH record
0012FA70 77FB1742 SE handler
D 12FA64+0B8
0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?.
bp 00D5C11F
F9 (不是Shift+F9)
00D5C11F 31C0 XOR EAX,EAX //断在此处,往下走
00D5C121 EB 01 JMP SHORT 00D5C124
00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4]
00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8
00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8
00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续
00D5C478 33C0 XOR EAX,EAX //建新起源,从这里开始四个异常就是入口。
00D5C47A 5A POP EDX
00D5C47B 59 POP ECX
00D5C47C 59 POP ECX
00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX
00D5C480 68 9AC4D500 PUSH 0D5C49A
00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
00D5C488 BA 02000000 MOV EDX,2
00D5C48D E8 2A71FEFF CALL 00D435BC
00D5C492 C3 RETN
在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP
没有偷代码
能力值:
( LV2,RANK:10 )
9 楼
老天,关键是IAT修复
能力值:
( LV2,RANK:10 )
10 楼
强
能力值:
( LV2,RANK:10 )
11 楼
自己写脱壳工具,以前的方法没用
能力值:
( LV2,RANK:10 )
12 楼
最初由 iceplus 发布 自己写脱壳工具,以前的方法没用
晕倒
能力值:
( LV7,RANK:100 )
13 楼
最初由 iceplus 发布 自己写脱壳工具,以前的方法没用
狂晕。。那就麻烦ICEPLUS兄弟写个脱壳工具吧。免得偶等菜菜手动脱它的时候晕菜了。。:o
能力值:
( LV2,RANK:10 )
14 楼
最初由 lipton 发布 我用的是OD1.10a,几个新版本和修改的版本都用不了,会非法操作,问过几个人都没有这种情况,可能是我的 系统问题,因此过第39异常路子长了一点。 第39异常 00D5C111 90 NOP 00D5C112 80F8 00 CMP AL,0 00D5C115 74 08 JE SHORT 00D5C11F 00D5C117 EB 01 JMP SHORT 00D5C11A 00D5C119 E8 31C040EB CALL EC16814F 00D5C11E 05 31C0EB01 ADD EAX,1EBC031 00D5C123 E8 31ED648F CALL 903AAE59 0012FE28 0012FE44 Pointer to next SEH record 0012FE2C 00D5C074 SE handler //bp 00d5C074 0012FE30 0012FF64 0012FE34 00D5C373 RETURN to 00D5C373 from 00D5C0D0 Shift+F9 00D5C074 55 PUSH EBP //断在此处 00D5C075 8BEC MOV EBP,ESP 00D5C077 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 00D5C07A 33D2 XOR EDX,EDX 00D5C07C 8950 04 MOV DWORD PTR DS:[EAX+4],EDX 00D5C07F 8B15 444BD600 MOV EDX,DWORD PTR DS:[D64B44] 00D5C085 8990 C4000000 MOV DWORD PTR DS:[EAX+C4],EDX 00D5C08B 33D2 XOR EDX,EDX 00D5C08D 8950 08 MOV DWORD PTR DS:[EAX+8],EDX 00D5C090 8B15 484BD600 MOV EDX,DWORD PTR DS:[D64B48] 00D5C096 8990 B4000000 MOV DWORD PTR DS:[EAX+B4],EDX 00D5C09C 33D2 XOR EDX,EDX 00D5C09E 8950 0C MOV DWORD PTR DS:[EAX+C],EDX 00D5C0A1 8B15 4C4BD600 MOV EDX,DWORD PTR DS:[D64B4C] 00D5C0A7 8990 B8000000 MOV DWORD PTR DS:[EAX+B8],EDX 00D5C0AD 33D2 XOR EDX,EDX 00D5C0AF 8950 10 MOV DWORD PTR DS:[EAX+10],EDX 00D5C0B2 33C0 XOR EAX,EAX 00D5C0B4 5D POP EBP 00D5C0B5 C3 RETN //往系统领空 77FB172E 64:8B25 00000000 MOV ESP,DWORD PTR FS:[0] //系统领空,停在此处看堆栈 77FB1735 64:8F05 00000000 POP DWORD PTR FS:[0] 77FB173C 8BE5 MOV ESP,EBP 77FB173E 5D POP EBP 77FB173F C2 1400 RETN 14 0012FA5C 0012FB3C 0012FA60 0012FE28 0012FA64 0012FB5C //看这里 0012FA68 0012FB14 0012FA6C 0012FE28 Pointer to next SEH record 0012FA70 77FB1742 SE handler D 12FA64+0B8 0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?. bp 00D5C11F F9 (不是Shift+F9) 00D5C11F 31C0 XOR EAX,EAX //断在此处,往下走 00D5C121 EB 01 JMP SHORT 00D5C124 00D5C467 FF45 FC INC DWORD PTR SS:[EBP-4] 00D5C46A 8345 F4 08 ADD DWORD PTR SS:[EBP-C],8 00D5C46E 837D FC 08 CMP DWORD PTR SS:[EBP-4],8 00D5C472 ^0F85 71FFFFFF JNZ 00D5C3E9 //如果没有检测完则继续 00D5C478 33C0 XOR EAX,EAX //建新起源,从这里开始四个异常就是入口。 00D5C47A 5A POP EDX 00D5C47B 59 POP ECX 00D5C47C 59 POP ECX 00D5C47D 64:8910 MOV DWORD PTR FS:[EAX],EDX 00D5C480 68 9AC4D500 PUSH 0D5C49A 00D5C485 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00D5C488 BA 02000000 MOV EDX,2 00D5C48D E8 2A71FEFF CALL 00D435BC 00D5C492 C3 RETN 在00D5c478位置按 Alt+M,在401000处下F2可以快速到达OEP 没有偷代码
请教lipton大虾能详细解释一下
D 12FA64+0B8
0012FC14 1F C1 D5 00 1B 00 00 00 46 02 00 00 28 FE 12 00 琳....F..(?.
+0B8是根据什么 d5c11f这个异常入口是如何得到的?
能力值:
( LV6,RANK:90 )
15 楼
实在不好意思,我一开始就答所非问。
to aiww
请看《看学精华三》
《如何跟踪Asprotect壳》
作者litt
时间2001-4-13
或《加密与解密》第二版SEH篇
能力值:
( LV4,RANK:50 )
16 楼
最初由 lipton 发布 实在不好意思,我一开始就答所非问。 to aiww 请看《看学精华三》 《如何跟踪Asprotect壳》 作者litt 时间2001-4-13 或《加密与解密》第二版SEH篇
作者是ljtt大侠吧。
能力值:
( LV2,RANK:10 )
17 楼
果然是ljtt大虾吗 久仰大名
不管是不是 要谢谢lipton或ljtt 大虾指点 本来对这个论坛有些失望了 这里好象很排挤新人啊 郁闷
能力值:
( LV9,RANK:3410 )
18 楼
最初由 aiww 发布 果然是ljtt大虾吗 久仰大名 不管是不是 要谢谢lipton或ljtt 大虾指点 本来对这个论坛有些失望了 这里好象很排挤新人啊 郁闷 受不了,帮你脱外挂就算是帮助新人?
这里只是探讨脱壳技术,而不接受脱壳申请!没有删贴已经算是比较客气了
能力值:
( LV2,RANK:10 )
19 楼
最初由 fly 发布 受不了,帮你脱外挂就算是帮助新人? 这里只是探讨脱壳技术,而不接受脱壳申请!没有删贴已经算是比较客气了
to fly
我想你误会我的意思了,你可以仔细看我的帖子,我只是想让指点一下思路一两句话也可以啊,并不是请求帮我脱壳,我原本不打算把附件传上来,但是我看到一个帖子启示我把附件传上来
http://bbs.pediy.com/showthread.php?s=&threadid=1447
最初由 LOCKLOSE 发布 都不把要脱的文件放上来让人上哪里去帮忙啊.难道随便找一个就脱,那样的话找教程啊.如果想让坛子里的人帮忙就附带上要脱壳的文件,不然怎么帮哦~:o
你可以再看我的原贴,这是脱壳申请吗
最初由 aiww 发布 我想脱的是包里的TGII_0623.exe 用peid 查看 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov 但是用看学工具里下载的脱壳机caspr110不能识别,stripper 脱下来之后不能运行 我脱壳经验太少,不知道怎么有效的下断点,只能一句一句用od跟,这样可太累了,这个壳是不停的产生读写内存异常,od忽略内存读写异常后,就能加载运行,大虾有空帮看看指点一下 谢谢!!
下次拜托你没看清楚就不要动不动就删帖的话,并且我传的附件实在是很老的一个外挂而且是破解过的又加的壳,不脱也可以正常使用,根本不会破坏谁的利益,也不会给谁带来利益不用这么敏感
能力值:
( LV9,RANK:3410 )
20 楼
那您的贴子算是什么类型的?
您在帖子中说了多少你的手动脱壳过程?
之所以对帖子有要求是为了保护论坛
另外:至于删贴的标准我想还不需要您来提醒吧