aspack加壳的DLL-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 2 楼 OD手脱，如果壳美对输入表和输出表处理的话，很简单:D 2004-5-27 14:31 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 3 楼错了，是asprotect1.23rc1的壳 2004-5-27 16:32 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 4 楼最初由 clide2000 发布错了，是asprotect1.23rc1的壳但我用PEID查是ASPACK的啊，再说你能不能写个破文啊？ 2004-5-28 09:48 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼最初由 xiluoyou 发布但我用PEID查是ASPACK的啊，再说你能不能写个破文啊？我也很菜啊，脱不出来的。我咋天试了一下只能找到oep脱出来，之后关于iat和重定位表（据看雪老师的第二本书中说asprotect1.23rc1并没有破坏重定位表，只要在文件中找到位置即可）修复就不行了。我调试时oep在10016264处,重定位表在73000处,size大概是2e00多吧（文件在家里不记得的），IAT的rav=1A000 size=200大概是样。有不对的地方还请指正。（目前还在iat修复中因为有些函数没有正常识别出来） 2004-5-28 11:35 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 6 楼从入口看,应该是aspack: 10077001 > 60 PUSHAD 10077002 E8 03000000 CALL MAIN.1007700A 10077007 -E9 EB045D45 JMP 556474F7 1007700C 55 PUSH EBP 1007700D C3 RETN 1007700E E8 01000000 CALL MAIN.10077014 10077013 EB 5D JMP SHORT MAIN.10077072 10077015 BB EDFFFFFF MOV EBX,-13 1007701A 03DD ADD EBX,EBP 1007701C 81EB 00700700 SUB EBX,77000 10077022 837D 25 00 CMP DWORD PTR SS:[EBP+25],0 10077026 895D 25 MOV DWORD PTR SS:[EBP+25],EBX 10077029 75 11 JNZ SHORT MAIN.1007703C 1007702B 8D45 2A LEA EAX,DWORD PTR SS:[EBP+2A] 1007702E 50 PUSH EAX 1007702F 53 PUSH EBX 10077030 FFB5 2D090000 PUSH DWORD PTR SS:[EBP+92D] 10077036 EB 1F JMP SHORT MAIN.10077057 10077038 0000 ADD BYTE PTR DS:[EAX],AL 1007703A 0000 ADD BYTE PTR DS:[EAX],AL 2004-5-28 19:35 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 7 楼从入口看应该是aspack:(注意隐藏od) 10077001 > 60 PUSHAD 10077002 E8 03000000 CALL MAIN.1007700A跟进 10077007 -E9 EB045D45 JMP 556474F7跳转 1007700C 55 PUSH EBP 1007700D C3 RETN 1007700E E8 01000000 CALL MAIN.10077014 10077013 EB 5D JMP SHORT MAIN.10077072 10077015 BB EDFFFFFF MOV EBX,-13 1007701A 03DD ADD EBX,EBP 1007701C 81EB 00700700 SUB EBX,77000 10077022 837D 25 00 CMP DWORD PTR SS:[EBP+25],0 10077026 895D 25 MOV DWORD PTR SS:[EBP+25],EBX 10077029 75 11 JNZ SHORT MAIN.1007703C 1007702B 8D45 2A LEA EAX,DWORD PTR SS:[EBP+2A] 1007702E 50 PUSH EAX 1007702F 53 PUSH EBX 10077030 FFB5 2D090000 PUSH DWORD PTR SS:[EBP+92D] 10077036 EB 1F JMP SHORT MAIN.10077057 10077038 0000 ADD BYTE PTR DS:[EAX],AL 1007703A 0000 ADD BYTE PTR DS:[EAX],AL call到这里： 1007700A 5D POP EBP ; MAIN.10077007 1007700B 45 INC EBP 1007700C 55 PUSH EBP 1007700D C3 RETN返回 jmp到这里： 1007700E E8 01000000 CALL MAIN.10077014跟进 10077013 EB 5D JMP SHORT MAIN.10077072 10077015 BB EDFFFFFF MOV EBX,-13 1007701A 03DD ADD EBX,EBP 1007701C 81EB 00700700 SUB EBX,77000 10077022 837D 25 00 CMP DWORD PTR SS:[EBP+25],0 10077026 895D 25 MOV DWORD PTR SS:[EBP+25],EBX call到这里：popad近在眼前，却不能F4,一步步来吧 10077014 5D POP EBP ; MAIN.10077013 10077015 BB EDFFFFFF MOV EBX,-13 1007701A 03DD ADD EBX,EBP 1007701C 81EB 00700700 SUB EBX,77000 10077022 837D 25 00 CMP DWORD PTR SS:[EBP+25],0 10077026 895D 25 MOV DWORD PTR SS:[EBP+25],EBX 10077029 75 11 JNZ SHORT MAIN.1007703C 1007702B 8D45 2A LEA EAX,DWORD PTR SS:[EBP+2A] 1007702E 50 PUSH EAX 1007702F 53 PUSH EBX 10077030 FFB5 2D090000 PUSH DWORD PTR SS:[EBP+92D] 10077036 EB 1F JMP SHORT MAIN.10077057跳转 10077038 0000 ADD BYTE PTR DS:[EAX],AL 1007703A 0000 ADD BYTE PTR DS:[EAX],AL 1007703C B8 78563412 MOV EAX,12345678 10077041 50 PUSH EAX 10077042 0345 25 ADD EAX,DWORD PTR SS:[EBP+25] 10077045 5B POP EBX 10077046 0BDB OR EBX,EBX 10077048 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 1007704C 61 POPAD 1007704D 75 06 JNZ SHORT MAIN.10077055 1007704F 6A 01 PUSH 1 10077051 58 POP EAX jmp到这里： 10077057 68 97B60C1D PUSH 1D0CB697 1007705C 66:8BF1 MOV SI,CX 1007705F 5B POP EBX 10077060 E8 13000000 CALL MAIN.10077078跟进 call到这里： 10077078 8BDE MOV EBX,ESI ; MAIN.1000CCA0 1007707A 5F POP EDI 1007707B BB 029C8906 MOV EBX,6899C02 10077080 81C7 67080000 ADD EDI,867 10077086 53 PUSH EBX 10077087 66:81C0 5AA9 ADD AX,0A95A 1007708C 5B POP EBX 1007708D 33D2 XOR EDX,EDX 1007708F 0FBFD9 MOVSX EBX,CX 10077092 8B0C17 MOV ECX,DWORD PTR DS:[EDI+EDX] 10077095 66:BB FE0E MOV BX,0EFE 10077099 81C1 3EF47259 ADD ECX,5972F43E 1007709F E9 0A000000 JMP MAIN.100770AE跳 jmp到这里： 100770AE 81F1 9F125142 XOR ECX,4251129F 100770B4 E8 13000000 CALL MAIN.100770CC跟进 100770B9 4F DEC EDI 100770BA DCE5 FSUBR ST(5),ST 100770BC BA 6BC86186 MOV EDX,8661C86B 100770C1 47 INC EDI 100770C2 ^74 9D JE SHORT MAIN.10077061 100770C4 12E3 ADC AH,BL 100770C6 ^E0 99 LOOPDNE SHORT MAIN.10077061 100770C8 5E POP ESI 100770C9 3F AAS 100770CA 0C 55 OR AL,55 call到这里： 100770CC 58 POP EAX 100770CD 81E9 EC8F2B36 SUB ECX,362B8FEC 100770D3 66:81EB 2F87 SUB BX,872F 100770D8 890C17 MOV DWORD PTR DS:[EDI+EDX],ECX 100770DB BB 2805907E MOV EBX,7E900528 100770E0 81EA BEE93126 SUB EDX,2631E9BE 100770E6 E8 0A000000 CALL MAIN.100770F5跟进 100770EB CA 3B58 RETF 583B ; 远距返回 call到这里： 100770F5 81D0 9CDDB94F ADC EAX,4FB9DD9C 100770FB 5E POP ESI 100770FC 81C2 BAE93126 ADD EDX,2631E9BA 10077102 66:81C3 074B ADD BX,4B07 10077107 81FA 50F8FFFF CMP EDX,-7B0 1007710D ^0F85 7FFFFFFF JNZ MAIN.10077092 10077113 E9 08000000 JMP MAIN.10077120光标移到这里，F4,跳转 10077118 A0 591EFFCC MOV AL,BYTE PTR DS:[CCFF1E59] 1007711D 15 2A1B2613 ADC EAX,13261B2A 10077122 A0 1A35A9CF MOV AL,BYTE PTR DS:[CFA9351A] 10077127 AD LODS DWORD PTR DS:[ESI] 10077128 35 A9079D16 XOR EAX,169D07A9 1007712D BA FE293AC6 MOV EDX,C63A29FE 10077132 5A POP EDX jmp到这里： 10077120 0F86 16000000 JBE MAIN.1007713C跳 10077126 E8 0E000000 CALL MAIN.10077139 1007712B ^7E DF JLE SHORT MAIN.1007710C 1007712D 2C F5 SUB AL,0F5 1007712F 8AFB MOV BH,BL 10077131 1871 56 SBB BYTE PTR DS:[ECX+56],DH 10077134 D7 XLAT BYTE PTR DS:[EBX+AL] 10077135 C4AD E2738BDE LES EBP,FWORD PTR SS:[EBP+DE8B73E2] ; 修正的段位寄存器 1007713B 5A POP EDX 1007713C E8 0D000000 CALL MAIN.1007714E到这里:跟进 10077141 E1 06 LOOPDE SHORT MAIN.10077149 call到这里： 1007714E 50 PUSH EAX 1007714F BA 24EADB64 MOV EDX,64DBEA24 10077154 5B POP EBX 10077155 5E POP ESI 10077156 66:8BDE MOV BX,SI 10077159 81C6 8E070000 ADD ESI,78E 1007715F B8 45AD6574 MOV EAX,7465AD45 10077164 B9 CBA9752B MOV ECX,2B75A9CB 10077169 81F1 73A8752B XOR ECX,2B75A873 1007716F 66:8BC2 MOV AX,DX 10077172 FF36 PUSH DWORD PTR DS:[ESI] 10077174 68 C031857E PUSH 7E8531C0 10077179 58 POP EAX 1007717A 5F POP EDI 1007717B 0FBFD6 MOVSX EDX,SI 1007717E 81C7 8573CE5F ADD EDI,5FCE7385 10077184 68 F08A2873 PUSH 73288AF0 10077189 E8 14000000 CALL MAIN.100771A2跟进 1007718E 1C 25 SBB AL,25 10077190 FA CLI 10077191 AB STOS DWORD PTR ES:[EDI] 10077192 08A1 C687B4DD OR BYTE PTR DS:[ECX+DDB487C6],AH 10077198 52 PUSH EDX 10077199 2320 AND ESP,DWORD PTR DS:[EAX] 1007719B D99E 7F4C95AA FSTP DWORD PTR DS:[ESI+AA954C7F] 100771A1 9B WAIT call到这里： 100771A2 50 PUSH EAX 100771A3 5B POP EBX 100771A4 58 POP EAX 100771A5 5B POP EBX 100771A6 81F7 DAE5F74F XOR EDI,4FF7E5DA 100771AC 81EB 05A7AC0F SUB EBX,0FACA705 100771B2 81EF 0B7A3135 SUB EDI,35317A0B 100771B8 81F3 BDB12D72 XOR EBX,722DB1BD 100771BE 893E MOV DWORD PTR DS:[ESI],EDI 100771C0 B7 18 MOV BH,18 100771C2 83EE 04 SUB ESI,4 100771C5 8AE2 MOV AH,DL 100771C7 83E9 01 SUB ECX,1 100771CA 0F85 0E000000 JNZ MAIN.100771DE 100771D0 66:B8 F35E MOV AX,5EF3这里同上，用F4 100771D4 E9 1A000000 JMP MAIN.100771F3跳转 100771D9 29AE 4FDCE5B8 SUB DWORD PTR DS:[ESI+B8E5DC4F],EBP 100771DF 61 POPAD 100771E0 81A8 7EE98AFF FF>SUB DWORD PTR DS:[EAX+FF8AE97E],7447FFFF jmp到这里： 100771F3 66:8BCA MOV CX,DX 100771F6 E8 0C000000 CALL MAIN.10077207跟进 100771FB 24 8D AND AL,8D 100771FD 42 INC EDX 100771FE 53 PUSH EBX 100771FF 90 NOP 10077200 898E AFBC459A MOV DWORD PTR DS:[ESI+9A45BCAF],ECX 10077206 CB RETF ; 远距返回 call到这里： 10077207 0F8C 03000000 JL MAIN.10077210 1007720D 0FBFF9 MOVSX EDI,CX 10077210 5A POP EDX 10077211 66:8BF8 MOV DI,AX 10077214 81C2 D3060000 ADD EDX,6D3 1007721A 2BDB SUB EBX,EBX 1007721C B9 6D46A351 MOV ECX,51A3466D 10077221 8B341A MOV ESI,DWORD PTR DS:[EDX+EBX] 10077224 66:81C8 1C1A OR AX,1A1C 10077229 81F6 60F78278 XOR ESI,7882F760 1007722F 8BC2 MOV EAX,EDX 10077231 81C6 19C4626B ADD ESI,6B62C419 10077237 81EE DE4C2355 SUB ESI,55234CDE 1007723D 80D9 4C SBB CL,4C 10077240 56 PUSH ESI 10077241 0F87 11000000 JA MAIN.10077258 10077247 E9 0C000000 JMP MAIN.10077258方法同上，跳 jmp到这里： 10077258 8F041A POP DWORD PTR DS:[EDX+EBX] 1007725B 66:81DF BDD5 SBB DI,0D5BD 10077260 66:8BFE MOV DI,SI 10077263 83EB 04 SUB EBX,4 10077266 66:8BFB MOV DI,BX 10077269 81FB A8F9FFFF CMP EBX,-658 1007726F ^0F85 ACFFFFFF JNZ MAIN.10077221这里又跳回去里 10077275 66:81C8 6281 OR AX,8162这里F4,下面代码变化变化后： 10077275 66:81C8 6281 OR AX,8162 1007727A 81C7 89C4F05F ADD EDI,5FF0C489 10077280 E8 13000000 CALL MAIN.10077298跟进 10077285 AF SCAS DWORD PTR ES:[EDI] 10077286 BC 459ACBA8 MOV ESP,A8CB9A45 1007728B C166 A7 54 SHL DWORD PTR DS:[ESI-59],54 ; 移动常数超出 1..31 的范围 1007728F FD STD 10077290 F2: PREFIX REPNE: ; 多余的前缀 10077291 43 INC EBX 10077292 C0F9 3E SAR CL,3E ; 移动常数超出 1..31 的范围 call到这里： 10077298 51 PUSH ECX 10077299 E9 0C000000 JMP MAIN.100772AA 1007729E 846D A2 TEST BYTE PTR SS:[EBP-5E],CH 100772A1 33F0 XOR ESI,EAX 100772A3 69EE 8F1C25FA IMUL EBP,ESI,FA251C8F 100772A9 AB STOS DWORD PTR ES:[EDI] 100772AA 59 POP ECX 100772AB 58 POP EAX 100772AC 68 87D0F565 PUSH 65F5D087 100772B1 BE 23EE5473 MOV ESI,7354EE23 100772B6 5E POP ESI 100772B7 81C0 4A060000 ADD EAX,64A 100772BD 0F89 02000000 JNS MAIN.100772C5 100772C3 8BF9 MOV EDI,ECX 100772C5 33DB XOR EBX,EBX 100772C7 E8 0C000000 CALL MAIN.100772D8跟进 100772CC E4 4D IN AL,4D ; I/O 命令 100772CE 0213 ADD DL,BYTE PTR DS:[EBX] 100772D0 50 PUSH EAX 100772D1 49 DEC ECX 100772D2 4E DEC ESI 100772D3 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令 100772D4 7C 05 JL SHORT MAIN.100772DB [/code] call到这里： 100772D8 81E6 1484D80D AND ESI,0DD88414 100772DE 5F POP EDI 100772DF 8B1418 MOV EDX,DWORD PTR DS:[EAX+EBX] 100772E2 66:8BCA MOV CX,DX 100772E5 81C2 8C14417E ADD EDX,7E41148C 100772EB 8BF3 MOV ESI,EBX 100772ED 81C2 D5974006 ADD EDX,64097D5 100772F3 66:BF B096 MOV DI,96B0 100772F7 81C2 EABB815B ADD EDX,5B81BBEA 100772FD 66:81CE 86BB OR SI,0BB86 10077302 52 PUSH EDX 10077303 8F0418 POP DWORD PTR DS:[EAX+EBX] 10077306 B5 0D MOV CH,0D 10077308 E9 10000000 JMP MAIN.1007731D跳 jmp到这里： 1007731D 83EB 04 SUB EBX,4 10077320 81FB 80FAFFFF CMP EBX,-580 10077326 0F85 1C000000 JNZ MAIN.10077348 1007732C 66:BE 793D MOV SI,3D79这里F4 10077330 E9 1E000000 JMP MAIN.10077353跳 jmp到这里： 10077353 66:81D9 F67B SBB CX,7BF6 10077358 E8 0C000000 CALL MAIN.10077369跟进 1007735D 64:CD 82 INT 82 ; 多余的前缀 10077360 93 XCHG EAX,EBX 10077361 D0C9 ROR CL,1 10077363 CE INTO 10077364 EF OUT DX,EAX ; I/O 命令 call到这里： 10077369 56 PUSH ESI 1007736A 0FBFF9 MOVSX EDI,CX 1007736D 5F POP EDI 1007736E 5A POP EDX 1007736F 50 PUSH EAX 10077370 8AFE MOV BH,DH 10077372 5B POP EBX 10077373 81C2 72050000 ADD EDX,572 10077379 8ACC MOV CL,AH 1007737B 68 37010000 PUSH 137 10077380 66:81D3 E122 ADC BX,22E1 10077385 58 POP EAX 10077386 8B32 MOV ESI,DWORD PTR DS:[EDX] 10077388 0FBFDE MOVSX EBX,SI 1007738B 81C6 A3F88F4D ADD ESI,4D8FF8A3 10077391 56 PUSH ESI 10077392 E9 06000000 JMP MAIN.1007739D 10077397 B6 B7 MOV DH,0B7 10077399 24 8D AND AL,8D 1007739B 42 INC EDX 1007739C 53 PUSH EBX 1007739D 5B POP EBX 1007739E 81EE A0B72015 SUB ESI,1520B7A0 100773A4 81D9 A836C36D SBB ECX,6DC336A8 100773AA 81F6 591FA11C XOR ESI,1CA11F59 100773B0 8932 MOV DWORD PTR DS:[EDX],ESI 100773B2 66:8BCF MOV CX,DI 100773B5 83EA 03 SUB EDX,3 100773B8 8BCA MOV ECX,EDX 100773BA 4A DEC EDX 100773BB 68 978DEC75 PUSH 75EC8D97 100773C0 66:B9 336C MOV CX,6C33 100773C4 5B POP EBX 100773C5 81E8 01000000 SUB EAX,1 100773CB 0F85 12000000 JNZ MAIN.100773E3 100773D1 8BD9 MOV EBX,ECX 100773D3 E9 1F000000 JMP MAIN.100773F7 100773D8 87B4DD 522320D9 XCHG DWORD PTR SS:[EBP+EBX*8+D9202352],E> 100773DF 9E SAHF 100773E0 7F 4C JG SHORT MAIN.1007742E 100773E2 95 XCHG EAX,EBP 100773E3 66:B9 116C MOV CX,6C11 100773E7 ^E9 9AFFFFFF JMP MAIN.10077386 100773EC ^77 E4 JA SHORT MAIN.100773D2 100773EE 4D DEC EBP 100773EF 0213 ADD DL,BYTE PTR DS:[EBX] 100773F1 50 PUSH EAX 100773F2 49 DEC ECX 100773F3 4E DEC ESI 100773F4 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令 100773F5 7C 05 JL SHORT MAIN.100773FC 100773F7 AE SCAS BYTE PTR ES:[EDI] 100773F8 DE31 FIDIV WORD PTR DS:[ECX] 运用F4,F8来到这里： 100773F7 E8 00000000 CALL MAIN.100773FC跟进 100773FC 5D POP EBP到这里 100773FD 5B POP EBX 100773FE 895D 57 MOV DWORD PTR SS:[EBP+57],EBX 10077401 58 POP EAX 10077402 8985 C3030000 MOV DWORD PTR SS:[EBP+3C3],EAX 10077408 58 POP EAX 10077409 807D 56 01 CMP BYTE PTR SS:[EBP+56],1 1007740D 75 55 JNZ SHORT MAIN.10077464 1007740F 8985 DB030000 MOV DWORD PTR SS:[EBP+3DB],EAX 10077415 60 PUSHAD 10077416 8D45 2F LEA EAX,DWORD PTR SS:[EBP+2F] 10077419 50 PUSH EAX 1007741A 33C0 XOR EAX,EAX 1007741C 64:FF30 PUSH DWORD PTR FS:[EAX] 1007741F 64:8920 MOV DWORD PTR FS:[EAX],ESP 10077422 8BC3 MOV EAX,EBX 10077424 E8 A2020000 CALL MAIN.100776CB跟进 10077429 EB 1C JMP SHORT MAIN.10077447 1007742B 8B6424 08 MOV ESP,DWORD PTR SS:[ESP+8] 1007742F 64:67:8F06 0000 POP DWORD PTR FS:[0] 10077435 83C4 04 ADD ESP,4 10077438 61 POPAD 10077439 8D45 5B LEA EAX,DWORD PTR SS:[EBP+5B] 1007743C 50 PUSH EAX 1007743D FF55 57 CALL DWORD PTR SS:[EBP+57] 10077440 E8 9C020000 CALL MAIN.100776E1 10077445 EB 09 JMP SHORT MAIN.10077450 10077447 64:67:8F06 0000 POP DWORD PTR FS:[0] 1007744D 83C4 24 ADD ESP,24 10077450 EB 17 JMP SHORT MAIN.10077469 call到这里： 100776CB 25 0000FFFF AND EAX,FFFF0000 100776D0 05 00000100 ADD EAX,10000 100776D5 2D 00000100 SUB EAX,10000 100776DA 66:8138 4D5A CMP WORD PTR DS:[EAX],5A4D 100776DF ^75 F4 JNZ SHORT MAIN.100776D5 100776E1 60 PUSHAD 100776E2 8985 B2030000 MOV DWORD PTR SS:[EBP+3B2],EAX 100776E8 8BD0 MOV EDX,EAX 100776EA 8BD8 MOV EBX,EAX 100776EC 0340 3C ADD EAX,DWORD PTR DS:[EAX+3C] 100776EF 0358 78 ADD EBX,DWORD PTR DS:[EAX+78] 100776F2 899D B6020000 MOV DWORD PTR SS:[EBP+2B6],EBX 100776F8 8D9D 86030000 LEA EBX,DWORD PTR SS:[EBP+386] 100776FE 8DBD 9E030000 LEA EDI,DWORD PTR SS:[EBP+39E] 10077704 8B33 MOV ESI,DWORD PTR DS:[EBX] 10077706 89B5 36030000 MOV DWORD PTR SS:[EBP+336],ESI 1007770C E8 0B000000 CALL MAIN.1007771C 10077711 AB STOS DWORD PTR ES:[EDI] 10077712 83C3 04 ADD EBX,4 10077715 833B 00 CMP DWORD PTR DS:[EBX],0 10077718 ^75 EA JNZ SHORT MAIN.10077704 1007771A 61 POPAD 1007771B C3 RETN返回后，跳转跳到这里： 10077469 FC CLD 1007746A 8DB5 84000000 LEA ESI,DWORD PTR SS:[EBP+84] 10077470 AD LODS DWORD PTR DS:[ESI] 10077471 0BC0 OR EAX,EAX 10077473 74 1B JE SHORT MAIN.10077490跳跳到这里： 10077490 89A5 DF030000 MOV DWORD PTR SS:[EBP+3DF],ESP 10077496 6A 04 PUSH 4 10077498 68 00100000 PUSH 1000 1007749D FFB5 BE030000 PUSH DWORD PTR SS:[EBP+3BE] 100774A3 6A 00 PUSH 0 100774A5 FF95 AA030000 CALL DWORD PTR SS:[EBP+3AA] 100774AB 8985 75010000 MOV DWORD PTR SS:[EBP+175],EAX 100774B1 8B9D B6030000 MOV EBX,DWORD PTR SS:[EBP+3B6] 100774B7 039D C3030000 ADD EBX,DWORD PTR SS:[EBP+3C3] 100774BD 50 PUSH EAX 100774BE 53 PUSH EBX 100774BF E8 B5000000 CALL MAIN.10077579 100774C4 6A 04 PUSH 4 100774C6 68 00100000 PUSH 1000 100774CB FFB5 BE030000 PUSH DWORD PTR SS:[EBP+3BE] 100774D1 6A 00 PUSH 0 100774D3 FF95 AA030000 CALL DWORD PTR SS:[EBP+3AA] 100774D9 8985 79010000 MOV DWORD PTR SS:[EBP+179],EAX 100774DF 8B95 75010000 MOV EDX,DWORD PTR SS:[EBP+175] 100774E5 BB F8010000 MOV EBX,1F8 100774EA 8B7C1A 0C MOV EDI,DWORD PTR DS:[EDX+EBX+C] 100774EE 0BFF OR EDI,EDI 100774F0 74 1E JE SHORT MAIN.10077510 100774F2 8B4C1A 10 MOV ECX,DWORD PTR DS:[EDX+EBX+10] 100774F6 0BC9 OR ECX,ECX 100774F8 74 11 JE SHORT MAIN.1007750B 100774FA 03BD 79010000 ADD EDI,DWORD PTR SS:[EBP+179] 10077500 8B741A 14 MOV ESI,DWORD PTR DS:[EDX+EBX+14] 10077504 03F2 ADD ESI,EDX 10077506 C1F9 02 SAR ECX,2 10077509 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS> 1007750B 83C3 28 ADD EBX,28 1007750E ^EB DA JMP SHORT MAIN.100774EA 10077510 8B85 75010000 MOV EAX,DWORD PTR SS:[EBP+175] 10077516 50 PUSH EAX 10077517 8B95 79010000 MOV EDX,DWORD PTR SS:[EBP+179] 1007751D 52 PUSH EDX 1007751E 8B18 MOV EBX,DWORD PTR DS:[EAX] 10077520 03DA ADD EBX,EDX 10077522 8B85 9E030000 MOV EAX,DWORD PTR SS:[EBP+39E] 10077528 8903 MOV DWORD PTR DS:[EBX],EAX 1007752A 8B85 A2030000 MOV EAX,DWORD PTR SS:[EBP+3A2] 10077530 8943 04 MOV DWORD PTR DS:[EBX+4],EAX 10077533 8B85 A6030000 MOV EAX,DWORD PTR SS:[EBP+3A6] 10077539 8943 08 MOV DWORD PTR DS:[EBX+8],EAX 1007753C 5F POP EDI 1007753D 5E POP ESI 1007753E 8B46 04 MOV EAX,DWORD PTR DS:[ESI+4] 10077541 03C7 ADD EAX,EDI 10077543 8985 70010000 MOV DWORD PTR SS:[EBP+170],EAX 10077549 8D9D C3030000 LEA EBX,DWORD PTR SS:[EBP+3C3] 1007754F 53 PUSH EBX 10077550 6A 00 PUSH 0 10077552 6A 00 PUSH 0 10077554 6A 01 PUSH 1 10077556 57 PUSH EDI 10077557 8B5E 08 MOV EBX,DWORD PTR DS:[ESI+8] 1007755A 03DF ADD EBX,EDI 1007755C 53 PUSH EBX 1007755D 68 00800000 PUSH 8000 10077562 6A 00 PUSH 0 10077564 56 PUSH ESI 10077565 FF95 AE030000 CALL DWORD PTR SS:[EBP+3AE] 1007756B 68 00000000 PUSH 0 10077570 C3 RETN返回后不能用右键 F8向下会看到popad,ret到OEP,00b24784,可是dump出来后，不知道importREC 怎样修复 OEP添多少 2004-5-28 21:01 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 8 楼 aspr和aspack对dll的处理基本一样，我只能在修复输入表的时候看出来，这个是aspr OD载入忽略所有异常，bp 10077001，关闭loader，断在： 10077001 > 60 PUSHAD 10077002 E8 03000000 CALL main.1007700A 10077007 -E9 EB045D45 JMP 556474F7 1007700C 55 PUSH EBP 1007700D C3 RETN 1007700E E8 01000000 CALL main.10077014 10077013 EB 5D JMP SHORT main.10077072 10077015 BB EDFFFFFF MOV EBX,-13 1007700A 5D POP EBP 1007700B 45 INC EBP ; main.10077007 1007700C 55 PUSH EBP 1007700D C3 RETN 10077008 EB 04 JMP SHORT main.1007700E 1007700E E8 01000000 CALL main.10077014 10077014 5D POP EBP ; main.10077013 10077015 BB EDFFFFFF MOV EBX,-13 1007701A 03DD ADD EBX,EBP 1007701C 81EB 00700700 SUB EBX,77000 10077022 837D 25 00 CMP DWORD PTR SS:[EBP+25],0 10077026 895D 25 MOV DWORD PTR SS:[EBP+25],EBX 10077029 75 11 JNZ SHORT main.1007703C 1007702B 8D45 2A LEA EAX,DWORD PTR SS:[EBP+2A] 1007702E 50 PUSH EAX 1007702F 53 PUSH EBX 10077030 FFB5 2D090000 PUSH DWORD PTR SS:[EBP+92D] 10077036 EB 1F JMP SHORT main.10077057 10077038 0000 ADD BYTE PTR DS:[EAX],AL 1007703A 0010 ADD BYTE PTR DS:[EAX],DL 1007703C B8 64620100 MOV EAX,16264 10077041 50 PUSH EAX 10077042 0345 25 ADD EAX,DWORD PTR SS:[EBP+25] 10077045 5B POP EBX 10077046 0BDB OR EBX,EBX 10077048 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 1007704C 61 POPAD 1007704D 75 06 JNZ SHORT main.10077055 1007704F 6A 01 PUSH 1 10077051 58 POP EAX 10077052 C2 0C00 RETN 0C 10077055 50 PUSH EAX 10077056 C3 RETN 10016264 /. 55 PUSH EBP [b][color=red]//OEP[/color][/b] 10016265 \|. 8BEC MOV EBP,ESP 10016267 \|. 53 PUSH EBX 10016268 \|. 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 1001626B \|. 56 PUSH ESI 1001626C \|. 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 1001626F \|. 57 PUSH EDI 10016270 \|. 8B7D 10 MOV EDI,DWORD PTR SS:[EBP+10] 重新运行loader，用ImpRec pick main.dll，oep填00016264 有几个不能识别的函数用插件或者手工搞定 UE打开dumped_.dll，可以找到重定位表在00073000h，大小为2e56h，用LoadPe修复即可 2004-5-28 22:34 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 9 楼 Sonique 的一个插件dee2 dee2.dll 说是UPX 手动如何搞定呢:) 凑热闹咯 2004-5-28 23:10 0
iceplus 雪币： 227 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 96 粉丝 0 关注私信	iceplus 10 楼 UPX的DLL脱壳目前还没有教程，你写一个吧 2004-5-29 01:57 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 11 楼受教育;) 2004-5-29 09:06 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 12 楼哪里有loader下载 2004-5-29 09:34 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 13 楼最初由 CoolWolF 发布 aspr和aspack对dll的处理基本一样，我只能在修复输入表的时候看出来，这个是aspr 重新运行loader，用ImpRec pick main.dll，oep填00016264 有几个不能识别的函数用插件或者手工搞定 UE打开dumped_.dll，可以找到重定位表在00073000h，大小为2e56h，用LoadPe修复即可但有个问题啊，就是用什么插件找不能识别的函数啊?? 2004-5-29 09:48 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 14 楼最初由 noNaMe-mOnk 发布哪里有loader下载 OD从1.10b开始就自带loader了啊 2004-5-29 09:52 0
noNaMe-mOnk 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	noNaMe-mOnk 15 楼我会啦，哈哈哈。:D 插件用aspr的就行，多用几次。就差不多了不过： UE打开dumped_.dll，可以找到重定位表在00073000h，大小为2e56h，用LoadPe修复即可这句就不懂了 2004-5-29 10:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

noNaMe-mOnk

雪币： 218

活跃值： (70)

能力值：

( LV2，RANK：10 )

在线值：

发帖

12

回帖

77

粉丝

0

关注

私信

noNaMe-mOnk: 2 楼

OD手脱，如果壳美对输入表和输出表处理的话，很简单:D

2004-5-27 14:31

0

clide2000

雪币： 301

活跃值： (300)

能力值：

( LV9，RANK：290 )

在线值：

发帖

56

回帖

1209

粉丝

2

关注

私信

clide2000 7: 3 楼

错了，是asprotect1.23rc1的壳

2004-5-27 16:32

0

xiluoyou

雪币： 241

活跃值： (160)

能力值：

( LV2，RANK：10 )

在线值：

发帖

26

回帖

238

粉丝

1

关注

私信

xiluoyou: 4 楼

最初由 clide2000 发布
错了，是asprotect1.23rc1的壳

但我用PEID查是ASPACK的啊，再说你能不能写个破文啊？

2004-5-28 09:48

0

clide2000

雪币： 301

活跃值： (300)

能力值：

( LV9，RANK：290 )

在线值：

发帖

56

回帖

1209

粉丝

2

关注

私信

clide2000 7: 5 楼

最初由 xiluoyou 发布

但我用PEID查是ASPACK的啊，再说你能不能写个破文啊？

我也很菜啊，脱不出来的。我咋天试了一下只能找到oep脱出来，之后关于iat和重定位表（据看雪老师的第二本书中说asprotect1.23rc1并没有破坏重定位表，只要在文件中找到位置即可）修复就不行了。
我调试时oep在10016264处,重定位表在73000处,size大概是2e00多吧（文件在家里不记得的），IAT的rav=1A000 size=200大概是样。有不对的地方还请指正。（目前还在iat修复中因为有些函数没有正常识别出来）

2004-5-28 11:35

0

noNaMe-mOnk

雪币： 218

活跃值： (70)

能力值：

( LV2，RANK：10 )

在线值：

发帖

12

回帖

77

粉丝

0

关注

私信

noNaMe-mOnk: 6 楼

从入口看,应该是aspack:
10077001 > 60             PUSHAD
10077002 E8 03000000    CALL MAIN.1007700A
10077007  -E9 EB045D45    JMP 556474F7
1007700C 55             PUSH EBP
1007700D C3             RETN
1007700E E8 01000000    CALL MAIN.10077014
10077013 EB 5D          JMP SHORT MAIN.10077072
10077015 BB EDFFFFFF    MOV EBX,-13
1007701A 03DD          ADD EBX,EBP
1007701C 81EB 00700700 SUB EBX,77000
10077022 837D 25 00    CMP DWORD PTR SS:[EBP+25],0
10077026 895D 25       MOV DWORD PTR SS:[EBP+25],EBX
10077029 75 11          JNZ SHORT MAIN.1007703C
1007702B 8D45 2A       LEA EAX,DWORD PTR SS:[EBP+2A]
1007702E 50             PUSH EAX
1007702F 53             PUSH EBX
10077030 FFB5 2D090000 PUSH DWORD PTR SS:[EBP+92D]
10077036 EB 1F          JMP SHORT MAIN.10077057
10077038 0000          ADD BYTE PTR DS:[EAX],AL
1007703A 0000          ADD BYTE PTR DS:[EAX],AL

2004-5-28 19:35

0

noNaMe-mOnk

雪币： 218

活跃值： (70)

能力值：

( LV2，RANK：10 )

在线值：

发帖

12

回帖

77

粉丝

0

关注

私信

noNaMe-mOnk: 7 楼

从入口看应该是aspack:(注意隐藏od)

10077001 > 60               PUSHAD
10077002   E8 03000000      CALL MAIN.1007700A跟进
10077007  -E9 EB045D45      JMP 556474F7跳转
1007700C   55               PUSH EBP
1007700D   C3               RETN
1007700E   E8 01000000      CALL MAIN.10077014
10077013   EB 5D            JMP SHORT MAIN.10077072
10077015   BB EDFFFFFF      MOV EBX,-13
1007701A   03DD             ADD EBX,EBP
1007701C   81EB 00700700    SUB EBX,77000
10077022   837D 25 00       CMP DWORD PTR SS:[EBP+25],0
10077026   895D 25          MOV DWORD PTR SS:[EBP+25],EBX
10077029   75 11            JNZ SHORT MAIN.1007703C
1007702B   8D45 2A          LEA EAX,DWORD PTR SS:[EBP+2A]
1007702E   50               PUSH EAX
1007702F   53               PUSH EBX
10077030   FFB5 2D090000    PUSH DWORD PTR SS:[EBP+92D]
10077036   EB 1F            JMP SHORT MAIN.10077057
10077038   0000             ADD BYTE PTR DS:[EAX],AL
1007703A   0000             ADD BYTE PTR DS:[EAX],AL

call到这里：

1007700A   5D               POP EBP                                  ; MAIN.10077007
1007700B   45               INC EBP
1007700C   55               PUSH EBP
1007700D   C3               RETN返回

jmp到这里：

1007700E   E8 01000000      CALL MAIN.10077014跟进
10077013   EB 5D            JMP SHORT MAIN.10077072
10077015   BB EDFFFFFF      MOV EBX,-13
1007701A   03DD             ADD EBX,EBP
1007701C   81EB 00700700    SUB EBX,77000
10077022   837D 25 00       CMP DWORD PTR SS:[EBP+25],0
10077026   895D 25          MOV DWORD PTR SS:[EBP+25],EBX

call到这里：popad近在眼前，却不能F4,一步步来吧

10077014   5D               POP EBP                                  ; MAIN.10077013
10077015   BB EDFFFFFF      MOV EBX,-13
1007701A   03DD             ADD EBX,EBP
1007701C   81EB 00700700    SUB EBX,77000
10077022   837D 25 00       CMP DWORD PTR SS:[EBP+25],0
10077026   895D 25          MOV DWORD PTR SS:[EBP+25],EBX
10077029   75 11            JNZ SHORT MAIN.1007703C
1007702B   8D45 2A          LEA EAX,DWORD PTR SS:[EBP+2A]
1007702E   50               PUSH EAX
1007702F   53               PUSH EBX
10077030   FFB5 2D090000    PUSH DWORD PTR SS:[EBP+92D]
10077036   EB 1F            JMP SHORT MAIN.10077057跳转
10077038   0000             ADD BYTE PTR DS:[EAX],AL
1007703A   0000             ADD BYTE PTR DS:[EAX],AL
1007703C   B8 78563412      MOV EAX,12345678
10077041   50               PUSH EAX
10077042   0345 25          ADD EAX,DWORD PTR SS:[EBP+25]
10077045   5B               POP EBX
10077046   0BDB             OR EBX,EBX
10077048   894424 1C        MOV DWORD PTR SS:[ESP+1C],EAX
1007704C   61               POPAD
1007704D   75 06            JNZ SHORT MAIN.10077055
1007704F   6A 01            PUSH 1
10077051   58               POP EAX

jmp到这里：

10077057   68 97B60C1D      PUSH 1D0CB697
1007705C   66:8BF1          MOV SI,CX
1007705F   5B               POP EBX
10077060   E8 13000000      CALL MAIN.10077078跟进

call到这里：

10077078   8BDE             MOV EBX,ESI                              ; MAIN.1000CCA0
1007707A   5F               POP EDI
1007707B   BB 029C8906      MOV EBX,6899C02
10077080   81C7 67080000    ADD EDI,867
10077086   53               PUSH EBX
10077087   66:81C0 5AA9     ADD AX,0A95A
1007708C   5B               POP EBX
1007708D   33D2             XOR EDX,EDX
1007708F   0FBFD9           MOVSX EBX,CX
10077092   8B0C17           MOV ECX,DWORD PTR DS:[EDI+EDX]
10077095   66:BB FE0E       MOV BX,0EFE
10077099   81C1 3EF47259    ADD ECX,5972F43E
1007709F   E9 0A000000      JMP MAIN.100770AE跳

jmp到这里：

100770AE   81F1 9F125142    XOR ECX,4251129F
100770B4   E8 13000000      CALL MAIN.100770CC跟进
100770B9   4F               DEC EDI
100770BA   DCE5             FSUBR ST(5),ST
100770BC   BA 6BC86186      MOV EDX,8661C86B
100770C1   47               INC EDI
100770C2  ^74 9D            JE SHORT MAIN.10077061
100770C4   12E3             ADC AH,BL
100770C6  ^E0 99            LOOPDNE SHORT MAIN.10077061
100770C8   5E               POP ESI
100770C9   3F               AAS
100770CA   0C 55            OR AL,55

call到这里：

100770CC   58               POP EAX
100770CD   81E9 EC8F2B36    SUB ECX,362B8FEC
100770D3   66:81EB 2F87     SUB BX,872F
100770D8   890C17           MOV DWORD PTR DS:[EDI+EDX],ECX
100770DB   BB 2805907E      MOV EBX,7E900528
100770E0   81EA BEE93126    SUB EDX,2631E9BE
100770E6   E8 0A000000      CALL MAIN.100770F5跟进
100770EB   CA 3B58          RETF 583B                                ; 远距返回

call到这里：

100770F5   81D0 9CDDB94F    ADC EAX,4FB9DD9C
100770FB   5E               POP ESI
100770FC   81C2 BAE93126    ADD EDX,2631E9BA
10077102   66:81C3 074B     ADD BX,4B07
10077107   81FA 50F8FFFF    CMP EDX,-7B0
1007710D  ^0F85 7FFFFFFF    JNZ MAIN.10077092
10077113   E9 08000000      JMP MAIN.10077120光标移到这里，F4,跳转
10077118   A0 591EFFCC      MOV AL,BYTE PTR DS:[CCFF1E59]
1007711D   15 2A1B2613      ADC EAX,13261B2A
10077122   A0 1A35A9CF      MOV AL,BYTE PTR DS:[CFA9351A]
10077127   AD               LODS DWORD PTR DS:[ESI]
10077128   35 A9079D16      XOR EAX,169D07A9
1007712D   BA FE293AC6      MOV EDX,C63A29FE
10077132   5A               POP EDX

jmp到这里：

10077120   0F86 16000000    JBE MAIN.1007713C跳
10077126   E8 0E000000      CALL MAIN.10077139
1007712B  ^7E DF            JLE SHORT MAIN.1007710C
1007712D   2C F5            SUB AL,0F5
1007712F   8AFB             MOV BH,BL
10077131   1871 56          SBB BYTE PTR DS:[ECX+56],DH
10077134   D7               XLAT BYTE PTR DS:[EBX+AL]
10077135   C4AD E2738BDE    LES EBP,FWORD PTR SS:[EBP+DE8B73E2]      ; 修正的段位寄存器
1007713B   5A               POP EDX
1007713C   E8 0D000000      CALL MAIN.1007714E到这里:跟进
10077141   E1 06            LOOPDE SHORT MAIN.10077149

call到这里：


1007714E   50               PUSH EAX
1007714F   BA 24EADB64      MOV EDX,64DBEA24
10077154   5B               POP EBX
10077155   5E               POP ESI
10077156   66:8BDE          MOV BX,SI
10077159   81C6 8E070000    ADD ESI,78E
1007715F   B8 45AD6574      MOV EAX,7465AD45
10077164   B9 CBA9752B      MOV ECX,2B75A9CB
10077169   81F1 73A8752B    XOR ECX,2B75A873
1007716F   66:8BC2          MOV AX,DX
10077172   FF36             PUSH DWORD PTR DS:[ESI]
10077174   68 C031857E      PUSH 7E8531C0
10077179   58               POP EAX
1007717A   5F               POP EDI
1007717B   0FBFD6           MOVSX EDX,SI
1007717E   81C7 8573CE5F    ADD EDI,5FCE7385
10077184   68 F08A2873      PUSH 73288AF0
10077189   E8 14000000      CALL MAIN.100771A2跟进
1007718E   1C 25            SBB AL,25
10077190   FA               CLI
10077191   AB               STOS DWORD PTR ES:[EDI]
10077192   08A1 C687B4DD    OR BYTE PTR DS:[ECX+DDB487C6],AH
10077198   52               PUSH EDX
10077199   2320             AND ESP,DWORD PTR DS:[EAX]
1007719B   D99E 7F4C95AA    FSTP DWORD PTR DS:[ESI+AA954C7F]
100771A1   9B               WAIT

call到这里：

100771A2   50               PUSH EAX
100771A3   5B               POP EBX
100771A4   58               POP EAX
100771A5   5B               POP EBX
100771A6   81F7 DAE5F74F    XOR EDI,4FF7E5DA
100771AC   81EB 05A7AC0F    SUB EBX,0FACA705
100771B2   81EF 0B7A3135    SUB EDI,35317A0B
100771B8   81F3 BDB12D72    XOR EBX,722DB1BD
100771BE   893E             MOV DWORD PTR DS:[ESI],EDI
100771C0   B7 18            MOV BH,18
100771C2   83EE 04          SUB ESI,4
100771C5   8AE2             MOV AH,DL
100771C7   83E9 01          SUB ECX,1
100771CA   0F85 0E000000    JNZ MAIN.100771DE
100771D0   66:B8 F35E       MOV AX,5EF3这里同上，用F4
100771D4   E9 1A000000      JMP MAIN.100771F3跳转
100771D9   29AE 4FDCE5B8    SUB DWORD PTR DS:[ESI+B8E5DC4F],EBP
100771DF   61               POPAD
100771E0   81A8 7EE98AFF FF>SUB DWORD PTR DS:[EAX+FF8AE97E],7447FFFF

jmp到这里：

100771F3   66:8BCA          MOV CX,DX
100771F6   E8 0C000000      CALL MAIN.10077207跟进
100771FB   24 8D            AND AL,8D
100771FD   42               INC EDX
100771FE   53               PUSH EBX
100771FF   90               NOP
10077200   898E AFBC459A    MOV DWORD PTR DS:[ESI+9A45BCAF],ECX
10077206   CB               RETF                                     ; 远距返回

call到这里：

10077207   0F8C 03000000    JL MAIN.10077210
1007720D   0FBFF9           MOVSX EDI,CX
10077210   5A               POP EDX
10077211   66:8BF8          MOV DI,AX
10077214   81C2 D3060000    ADD EDX,6D3
1007721A   2BDB             SUB EBX,EBX
1007721C   B9 6D46A351      MOV ECX,51A3466D
10077221   8B341A           MOV ESI,DWORD PTR DS:[EDX+EBX]
10077224   66:81C8 1C1A     OR AX,1A1C
10077229   81F6 60F78278    XOR ESI,7882F760
1007722F   8BC2             MOV EAX,EDX
10077231   81C6 19C4626B    ADD ESI,6B62C419
10077237   81EE DE4C2355    SUB ESI,55234CDE
1007723D   80D9 4C          SBB CL,4C
10077240   56               PUSH ESI
10077241   0F87 11000000    JA MAIN.10077258
10077247   E9 0C000000      JMP MAIN.10077258方法同上，跳

jmp到这里：

10077258   8F041A           POP DWORD PTR DS:[EDX+EBX]
1007725B   66:81DF BDD5     SBB DI,0D5BD
10077260   66:8BFE          MOV DI,SI
10077263   83EB 04          SUB EBX,4
10077266   66:8BFB          MOV DI,BX
10077269   81FB A8F9FFFF    CMP EBX,-658
1007726F  ^0F85 ACFFFFFF    JNZ MAIN.10077221这里又跳回去里
10077275   66:81C8 6281     OR AX,8162这里F4,下面代码变化

变化后：

10077275   66:81C8 6281     OR AX,8162
1007727A   81C7 89C4F05F    ADD EDI,5FF0C489
10077280   E8 13000000      CALL MAIN.10077298跟进
10077285   AF               SCAS DWORD PTR ES:[EDI]
10077286   BC 459ACBA8      MOV ESP,A8CB9A45
1007728B   C166 A7 54       SHL DWORD PTR DS:[ESI-59],54             ; 移动常数超出 1..31 的范围
1007728F   FD               STD
10077290   F2:              PREFIX REPNE:                            ; 多余的前缀
10077291   43               INC EBX
10077292   C0F9 3E          SAR CL,3E                                ; 移动常数超出 1..31 的范围

call到这里：

10077298 51             PUSH ECX
10077299 E9 0C000000    JMP MAIN.100772AA
1007729E 846D A2       TEST BYTE PTR SS:[EBP-5E],CH
100772A1 33F0          XOR ESI,EAX
100772A3 69EE 8F1C25FA IMUL EBP,ESI,FA251C8F
100772A9 AB             STOS DWORD PTR ES:[EDI]
100772AA 59             POP ECX
100772AB 58             POP EAX
100772AC 68 87D0F565    PUSH 65F5D087
100772B1 BE 23EE5473    MOV ESI,7354EE23
100772B6 5E             POP ESI
100772B7 81C0 4A060000 ADD EAX,64A
100772BD 0F89 02000000 JNS MAIN.100772C5
100772C3 8BF9          MOV EDI,ECX
100772C5 33DB          XOR EBX,EBX
100772C7 E8 0C000000    CALL MAIN.100772D8跟进
100772CC E4 4D          IN AL,4D                               ; I/O 命令
100772CE 0213          ADD DL,BYTE PTR DS:[EBX]
100772D0 50             PUSH EAX
100772D1 49             DEC ECX
100772D2 4E             DEC ESI
100772D3 6F             OUTS DX,DWORD PTR ES:[EDI]             ; I/O 命令
100772D4 7C 05          JL SHORT MAIN.100772DB

[/code]
call到这里：

100772D8   81E6 1484D80D    AND ESI,0DD88414
100772DE   5F               POP EDI
100772DF   8B1418           MOV EDX,DWORD PTR DS:[EAX+EBX]
100772E2   66:8BCA          MOV CX,DX
100772E5   81C2 8C14417E    ADD EDX,7E41148C
100772EB   8BF3             MOV ESI,EBX
100772ED   81C2 D5974006    ADD EDX,64097D5
100772F3   66:BF B096       MOV DI,96B0
100772F7   81C2 EABB815B    ADD EDX,5B81BBEA
100772FD   66:81CE 86BB     OR SI,0BB86
10077302   52               PUSH EDX
10077303   8F0418           POP DWORD PTR DS:[EAX+EBX]
10077306   B5 0D            MOV CH,0D
10077308   E9 10000000      JMP MAIN.1007731D跳

jmp到这里：

1007731D   83EB 04          SUB EBX,4
10077320   81FB 80FAFFFF    CMP EBX,-580
10077326   0F85 1C000000    JNZ MAIN.10077348
1007732C   66:BE 793D       MOV SI,3D79这里F4
10077330   E9 1E000000      JMP MAIN.10077353跳

jmp到这里：

10077353   66:81D9 F67B     SBB CX,7BF6
10077358   E8 0C000000      CALL MAIN.10077369跟进
1007735D   64:CD 82         INT 82                                   ; 多余的前缀
10077360   93               XCHG EAX,EBX
10077361   D0C9             ROR CL,1
10077363   CE               INTO
10077364   EF               OUT DX,EAX                               ; I/O 命令

call到这里：

10077369   56               PUSH ESI
1007736A   0FBFF9           MOVSX EDI,CX
1007736D   5F               POP EDI
1007736E   5A               POP EDX
1007736F   50               PUSH EAX
10077370   8AFE             MOV BH,DH
10077372   5B               POP EBX
10077373   81C2 72050000    ADD EDX,572
10077379   8ACC             MOV CL,AH
1007737B   68 37010000      PUSH 137
10077380   66:81D3 E122     ADC BX,22E1
10077385   58               POP EAX
10077386   8B32             MOV ESI,DWORD PTR DS:[EDX]
10077388   0FBFDE           MOVSX EBX,SI
1007738B   81C6 A3F88F4D    ADD ESI,4D8FF8A3
10077391   56               PUSH ESI
10077392   E9 06000000      JMP MAIN.1007739D
10077397   B6 B7            MOV DH,0B7
10077399   24 8D            AND AL,8D
1007739B   42               INC EDX
1007739C   53               PUSH EBX
1007739D   5B               POP EBX
1007739E   81EE A0B72015    SUB ESI,1520B7A0
100773A4   81D9 A836C36D    SBB ECX,6DC336A8
100773AA   81F6 591FA11C    XOR ESI,1CA11F59
100773B0   8932             MOV DWORD PTR DS:[EDX],ESI
100773B2   66:8BCF          MOV CX,DI
100773B5   83EA 03          SUB EDX,3
100773B8   8BCA             MOV ECX,EDX
100773BA   4A               DEC EDX
100773BB   68 978DEC75      PUSH 75EC8D97
100773C0   66:B9 336C       MOV CX,6C33
100773C4   5B               POP EBX
100773C5   81E8 01000000    SUB EAX,1
100773CB   0F85 12000000    JNZ MAIN.100773E3
100773D1   8BD9             MOV EBX,ECX
100773D3   E9 1F000000      JMP MAIN.100773F7
100773D8   87B4DD 522320D9  XCHG DWORD PTR SS:[EBP+EBX*8+D9202352],E>
100773DF   9E               SAHF
100773E0   7F 4C            JG SHORT MAIN.1007742E
100773E2   95               XCHG EAX,EBP
100773E3   66:B9 116C       MOV CX,6C11
100773E7  ^E9 9AFFFFFF      JMP MAIN.10077386
100773EC  ^77 E4            JA SHORT MAIN.100773D2
100773EE   4D               DEC EBP
100773EF   0213             ADD DL,BYTE PTR DS:[EBX]
100773F1   50               PUSH EAX
100773F2   49               DEC ECX
100773F3   4E               DEC ESI
100773F4   6F               OUTS DX,DWORD PTR ES:[EDI]               ; I/O 命令
100773F5   7C 05            JL SHORT MAIN.100773FC
100773F7   AE               SCAS BYTE PTR ES:[EDI]
100773F8   DE31             FIDIV WORD PTR DS:[ECX]

运用F4,F8来到这里：

100773F7   E8 00000000      CALL MAIN.100773FC跟进
100773FC   5D               POP EBP到这里
100773FD   5B               POP EBX
100773FE   895D 57          MOV DWORD PTR SS:[EBP+57],EBX
10077401   58               POP EAX
10077402   8985 C3030000    MOV DWORD PTR SS:[EBP+3C3],EAX
10077408   58               POP EAX
10077409   807D 56 01       CMP BYTE PTR SS:[EBP+56],1
1007740D   75 55            JNZ SHORT MAIN.10077464
1007740F   8985 DB030000    MOV DWORD PTR SS:[EBP+3DB],EAX
10077415   60               PUSHAD
10077416   8D45 2F          LEA EAX,DWORD PTR SS:[EBP+2F]
10077419   50               PUSH EAX
1007741A   33C0             XOR EAX,EAX
1007741C   64:FF30          PUSH DWORD PTR FS:[EAX]
1007741F   64:8920          MOV DWORD PTR FS:[EAX],ESP
10077422   8BC3             MOV EAX,EBX
10077424   E8 A2020000      CALL MAIN.100776CB跟进
10077429   EB 1C            JMP SHORT MAIN.10077447
1007742B   8B6424 08        MOV ESP,DWORD PTR SS:[ESP+8]
1007742F   64:67:8F06 0000  POP DWORD PTR FS:[0]
10077435   83C4 04          ADD ESP,4
10077438   61               POPAD
10077439   8D45 5B          LEA EAX,DWORD PTR SS:[EBP+5B]
1007743C   50               PUSH EAX
1007743D   FF55 57          CALL DWORD PTR SS:[EBP+57]
10077440   E8 9C020000      CALL MAIN.100776E1
10077445   EB 09            JMP SHORT MAIN.10077450
10077447   64:67:8F06 0000  POP DWORD PTR FS:[0]
1007744D   83C4 24          ADD ESP,24
10077450   EB 17            JMP SHORT MAIN.10077469

call到这里：

100776CB   25 0000FFFF      AND EAX,FFFF0000
100776D0   05 00000100      ADD EAX,10000
100776D5   2D 00000100      SUB EAX,10000
100776DA   66:8138 4D5A     CMP WORD PTR DS:[EAX],5A4D
100776DF  ^75 F4            JNZ SHORT MAIN.100776D5
100776E1   60               PUSHAD
100776E2   8985 B2030000    MOV DWORD PTR SS:[EBP+3B2],EAX
100776E8   8BD0             MOV EDX,EAX
100776EA   8BD8             MOV EBX,EAX
100776EC   0340 3C          ADD EAX,DWORD PTR DS:[EAX+3C]
100776EF   0358 78          ADD EBX,DWORD PTR DS:[EAX+78]
100776F2   899D B6020000    MOV DWORD PTR SS:[EBP+2B6],EBX
100776F8   8D9D 86030000    LEA EBX,DWORD PTR SS:[EBP+386]
100776FE   8DBD 9E030000    LEA EDI,DWORD PTR SS:[EBP+39E]
10077704   8B33             MOV ESI,DWORD PTR DS:[EBX]
10077706   89B5 36030000    MOV DWORD PTR SS:[EBP+336],ESI
1007770C   E8 0B000000      CALL MAIN.1007771C
10077711   AB               STOS DWORD PTR ES:[EDI]
10077712   83C3 04          ADD EBX,4
10077715   833B 00          CMP DWORD PTR DS:[EBX],0
10077718  ^75 EA            JNZ SHORT MAIN.10077704
1007771A   61               POPAD
1007771B   C3               RETN返回后，跳转

跳到这里：

10077469   FC               CLD
1007746A   8DB5 84000000    LEA ESI,DWORD PTR SS:[EBP+84]
10077470   AD               LODS DWORD PTR DS:[ESI]
10077471   0BC0             OR EAX,EAX
10077473   74 1B            JE SHORT MAIN.10077490跳

跳到这里：

10077490   89A5 DF030000    MOV DWORD PTR SS:[EBP+3DF],ESP
10077496   6A 04            PUSH 4
10077498   68 00100000      PUSH 1000
1007749D   FFB5 BE030000    PUSH DWORD PTR SS:[EBP+3BE]
100774A3   6A 00            PUSH 0
100774A5   FF95 AA030000    CALL DWORD PTR SS:[EBP+3AA]
100774AB   8985 75010000    MOV DWORD PTR SS:[EBP+175],EAX
100774B1   8B9D B6030000    MOV EBX,DWORD PTR SS:[EBP+3B6]
100774B7   039D C3030000    ADD EBX,DWORD PTR SS:[EBP+3C3]
100774BD   50               PUSH EAX
100774BE   53               PUSH EBX
100774BF   E8 B5000000      CALL MAIN.10077579
100774C4   6A 04            PUSH 4
100774C6   68 00100000      PUSH 1000
100774CB   FFB5 BE030000    PUSH DWORD PTR SS:[EBP+3BE]
100774D1   6A 00            PUSH 0
100774D3   FF95 AA030000    CALL DWORD PTR SS:[EBP+3AA]
100774D9   8985 79010000    MOV DWORD PTR SS:[EBP+179],EAX
100774DF   8B95 75010000    MOV EDX,DWORD PTR SS:[EBP+175]
100774E5   BB F8010000      MOV EBX,1F8
100774EA   8B7C1A 0C        MOV EDI,DWORD PTR DS:[EDX+EBX+C]
100774EE   0BFF             OR EDI,EDI
100774F0   74 1E            JE SHORT MAIN.10077510
100774F2   8B4C1A 10        MOV ECX,DWORD PTR DS:[EDX+EBX+10]
100774F6   0BC9             OR ECX,ECX
100774F8   74 11            JE SHORT MAIN.1007750B
100774FA   03BD 79010000    ADD EDI,DWORD PTR SS:[EBP+179]
10077500   8B741A 14        MOV ESI,DWORD PTR DS:[EDX+EBX+14]
10077504   03F2             ADD ESI,EDX
10077506   C1F9 02          SAR ECX,2
10077509   F3:A5            REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
1007750B   83C3 28          ADD EBX,28
1007750E  ^EB DA            JMP SHORT MAIN.100774EA
10077510   8B85 75010000    MOV EAX,DWORD PTR SS:[EBP+175]
10077516   50               PUSH EAX
10077517   8B95 79010000    MOV EDX,DWORD PTR SS:[EBP+179]
1007751D   52               PUSH EDX
1007751E   8B18             MOV EBX,DWORD PTR DS:[EAX]
10077520   03DA             ADD EBX,EDX
10077522   8B85 9E030000    MOV EAX,DWORD PTR SS:[EBP+39E]
10077528   8903             MOV DWORD PTR DS:[EBX],EAX
1007752A   8B85 A2030000    MOV EAX,DWORD PTR SS:[EBP+3A2]
10077530   8943 04          MOV DWORD PTR DS:[EBX+4],EAX
10077533   8B85 A6030000    MOV EAX,DWORD PTR SS:[EBP+3A6]
10077539   8943 08          MOV DWORD PTR DS:[EBX+8],EAX
1007753C   5F               POP EDI
1007753D   5E               POP ESI
1007753E   8B46 04          MOV EAX,DWORD PTR DS:[ESI+4]
10077541   03C7             ADD EAX,EDI
10077543   8985 70010000    MOV DWORD PTR SS:[EBP+170],EAX
10077549   8D9D C3030000    LEA EBX,DWORD PTR SS:[EBP+3C3]
1007754F   53               PUSH EBX
10077550   6A 00            PUSH 0
10077552   6A 00            PUSH 0
10077554   6A 01            PUSH 1
10077556   57               PUSH EDI
10077557   8B5E 08          MOV EBX,DWORD PTR DS:[ESI+8]
1007755A   03DF             ADD EBX,EDI
1007755C   53               PUSH EBX
1007755D   68 00800000      PUSH 8000
10077562   6A 00            PUSH 0
10077564   56               PUSH ESI
10077565   FF95 AE030000    CALL DWORD PTR SS:[EBP+3AE]
1007756B   68 00000000      PUSH 0
10077570   C3               RETN返回后不能用右键

F8向下会看到popad,ret到OEP,00b24784,可是dump出来后，不知道importREC 怎样修复
OEP添多少

2004-5-28 21:01

0

CoolWolF

雪币： 230

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

118

粉丝

1

关注

私信

CoolWolF: 8 楼

aspr和aspack对dll的处理基本一样，我只能在修复输入表的时候看出来，这个是aspr

OD载入忽略所有异常，bp 10077001，关闭loader，断在：

10077001 > 60               PUSHAD
10077002   E8 03000000      CALL main.1007700A
10077007  -E9 EB045D45      JMP 556474F7
1007700C   55               PUSH EBP
1007700D   C3               RETN
1007700E   E8 01000000      CALL main.10077014
10077013   EB 5D            JMP SHORT main.10077072
10077015   BB EDFFFFFF      MOV EBX,-13

1007700A   5D               POP EBP
1007700B   45               INC EBP                                  ; main.10077007
1007700C   55               PUSH EBP
1007700D   C3               RETN

10077008   EB 04            JMP SHORT main.1007700E

1007700E   E8 01000000      CALL main.10077014

10077014   5D               POP EBP                                  ; main.10077013
10077015   BB EDFFFFFF      MOV EBX,-13
1007701A   03DD             ADD EBX,EBP
1007701C   81EB 00700700    SUB EBX,77000
10077022   837D 25 00       CMP DWORD PTR SS:[EBP+25],0
10077026   895D 25          MOV DWORD PTR SS:[EBP+25],EBX
10077029   75 11            JNZ SHORT main.1007703C
1007702B   8D45 2A          LEA EAX,DWORD PTR SS:[EBP+2A]
1007702E   50               PUSH EAX
1007702F   53               PUSH EBX
10077030   FFB5 2D090000    PUSH DWORD PTR SS:[EBP+92D]
10077036   EB 1F            JMP SHORT main.10077057
10077038   0000             ADD BYTE PTR DS:[EAX],AL
1007703A   0010             ADD BYTE PTR DS:[EAX],DL
1007703C   B8 64620100      MOV EAX,16264
10077041   50               PUSH EAX
10077042   0345 25          ADD EAX,DWORD PTR SS:[EBP+25]
10077045   5B               POP EBX
10077046   0BDB             OR EBX,EBX
10077048   894424 1C        MOV DWORD PTR SS:[ESP+1C],EAX
1007704C   61               POPAD
1007704D   75 06            JNZ SHORT main.10077055
1007704F   6A 01            PUSH 1
10077051   58               POP EAX
10077052   C2 0C00          RETN 0C
10077055   50               PUSH EAX
10077056   C3               RETN

10016264  /. 55             PUSH EBP [b][color=red]//OEP[/color][/b]
10016265  |. 8BEC           MOV EBP,ESP
10016267  |. 53             PUSH EBX
10016268  |. 8B5D 08        MOV EBX,DWORD PTR SS:[EBP+8]
1001626B  |. 56             PUSH ESI
1001626C  |. 8B75 0C        MOV ESI,DWORD PTR SS:[EBP+C]
1001626F  |. 57             PUSH EDI
10016270  |. 8B7D 10        MOV EDI,DWORD PTR SS:[EBP+10]

重新运行loader，用ImpRec pick main.dll，oep填00016264
有几个不能识别的函数用插件或者手工搞定

UE打开dumped_.dll，可以找到重定位表在00073000h，大小为2e56h，用LoadPe修复即可

2004-5-28 22:34

0

hunter_boy

雪币： 261

活跃值： (230)

能力值：

( LV8，RANK：130 )

在线值：

发帖

28

回帖

249

粉丝

3

关注

私信

hunter_boy 3: 9 楼

Sonique 的一个插件dee2
dee2.dll
说是UPX
手动如何搞定呢:)
凑热闹咯

2004-5-28 23:10

0

iceplus

雪币： 227

活跃值： (130)

能力值：

( LV2，RANK：10 )

在线值：

发帖

4

回帖

96

粉丝

0

关注

私信

iceplus: 10 楼

UPX的DLL脱壳目前还没有教程，你写一个吧

2004-5-29 01:57

0

noNaMe-mOnk

雪币： 218

活跃值： (70)

能力值：

( LV2，RANK：10 )

在线值：

发帖

12

回帖

77

粉丝

0

关注

私信

noNaMe-mOnk: 11 楼

受教育;)

2004-5-29 09:06

0

noNaMe-mOnk

雪币： 218

活跃值： (70)

能力值：

( LV2，RANK：10 )

在线值：

发帖

12

回帖

77

粉丝

0

关注

私信

noNaMe-mOnk: 12 楼

哪里有loader下载

2004-5-29 09:34

0

xiluoyou

雪币： 241

活跃值： (160)

能力值：

( LV2，RANK：10 )

在线值：

发帖

26

回帖

238

粉丝

1

关注

私信

xiluoyou: 13 楼

最初由 CoolWolF 发布
aspr和aspack对dll的处理基本一样，我只能在修复输入表的时候看出来，这个是aspr

重新运行loader，用ImpRec pick main.dll，oep填00016264
有几个不能识别的函数用插件或者手工搞定

UE打开dumped_.dll，可以找到重定位表在00073000h，大小为2e56h，用LoadPe修复即可

但有个问题啊，就是用什么插件找不能识别的函数啊??

2004-5-29 09:48

0