首页
社区
课程
招聘
[求助]一个Aspr的壳,附上脱壳过程图片和原文件,请大侠指点指点小弟
发表于: 2011-6-4 02:24 9833

[求助]一个Aspr的壳,附上脱壳过程图片和原文件,请大侠指点指点小弟

2011-6-4 02:24
9833
在百度上搜索下载了好几个关于脱Aspr壳的视频,自以为可以了。就找了个程序。不成想直接把我pass了。
程序用OD载入是这样的:



载入VolX大侠的Aspr2.XX_unpacker_v1.0脚本开跑,停下后的地址是这样的:



感觉找到的这个oep和我看的视频不太一样,(我看的脱壳视频“只要提示有偷取代码的”都是在oep下面是个jmp跳转,而我这个却是个call,并且还是3个call)



按照记录里的iat及oep数据用Import Reconstructor修复后,运行无反应。
反复试了多次都是如此,不知道是否是还需要手动补区段呢??
程序很小,请大侠们指点小弟了。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (26)
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
呵呵,ASPR,可以脫殼,好玩XD

不過過話說.....,你那個程式,我執行本來就沒有反應了,連原程式都這樣
2011-6-4 11:04
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我冒昧的称呼声幻影火兄,如不恰当还请别介意。这个程序没有界面,就是个桌面程序。切换到桌面就看到了。
不知道兄长脱壳后能正常运行出来桌面吗?不知道我的oep找的对不对?
2011-6-4 13:35
0
雪    币: 12515
活跃值: (5258)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
10004C40  - E9 BB530600                       JMP 1006A000   跳到这里新建EIP
RVA=7000
Size=254
你这样看看行不行
2011-6-4 13:49
0
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
是喔,不早說= =
我以為沒有用勒

我是開啟脫殼之後的了,但是沒有甚麼反應。
2011-6-4 15:21
0
雪    币: 248
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
感觉这个是OEP
不知道对不对
00A34AE0    55              PUSH EBP                                 ; MZDICON.100164B7
00A34AE1    8BEC            MOV EBP,ESP
00A34AE3    83C4 B4         ADD ESP,-4C
00A34AE6    B8 7847A300     MOV EAX,0A34778
00A34AEB    E8 F413FCFF     CALL 009F5EE4
00A34AF0    E8 87EBFBFF     CALL 009F367C
00A34AF5    8D40 00         LEA EAX,DWORD PTR DS:[EAX]
00A34AF8    0000            ADD BYTE PTR DS:[EAX],AL
00A34AFA    0000            ADD BYTE PTR DS:[EAX],AL
00A34AFC    0000            ADD BYTE PTR DS:[EAX],AL

不过它在
Memory map, 项目 30
地址=009F0000
大小=00060000 (393216.)
属主=         009F0000 (自身)
区段=
类型=私有 00021040
访问=RWE
初始访问=RWE

在基址之上?不知道咋处理
2011-6-4 15:38
0
雪    币: 291
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
10004C40  - E9 67B6B3F1     jmp     01B402AC    [COLOR="Red"]  // 这里是用脚本跑出的OEP[/COLOR]
10004C45    D5 7A           aad     7A
10004C47    C2 561A         retn    1A56
10004C4A    E8 49E30541     call    51062F98
10004C4F    44              inc     esp
10004C50    BB 20FCFD83     mov     ebx, 83FDFC20
10004C55    3D 0F01C744     cmp     eax, 44C7010F
10004C5A  ^ 78 8A           js      short MZDICON.10004BE6
10004C5C    8ADC            mov     bl, ah
10004C5E    58              pop     eax
10004C5F    3AC4            cmp     al, ah
10004C61    E8 01F71AFB     call    0B1B4367
10004C66    FB              sti
10004C67    623B            bound   edi, qword ptr ds:[ebx]
10004C69    3A0A            cmp     cl, byte ptr ds:[edx]
10004C6B    C3              retn
10004C6C    55              push    ebp                                 [COLOR="red"]   //这是我手动来到的OEP[/COLOR]
10004C6D    8BEC            mov     ebp, esp
10004C6F    83C4 B0         add     esp, -50
10004C72    6A 00           push    0
10004C74    FF15 54710010   call    dword ptr ds:[10007154]          ; ntdll.RtlSetLastWin32Error
10004C7A    68 D4900010     push    MZDICON.100090D4                 ; UNICODE "Global\\MZD_DESKTOP_ICON_MUTEX"
10004C7F    6A 01           push    1
10004C81    6A 00           push    0
10004C83    FF15 78710010   call    dword ptr ds:[10007178]          ; kernel32.CreateMutexW
10004C89    0BC0            or      eax, eax
10004C8B    0F84 54010000   je      MZDICON.10004DE5
10004C91    8945 FC         mov     dword ptr ss:[ebp-4], eax
10004C94    FF15 D8700010   call    dword ptr ds:[100070D8]          ; ntdll.RtlGetLastWin32Error
10004C9A    3D B7000000     cmp     eax, 0B7
10004C9F    0F84 2B010000   je      MZDICON.10004DD0
10004CA5    83F8 05         cmp     eax, 5


总的来说感觉有点怪怪的,但是又说不出是哪里错了
2011-6-4 21:35
0
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
呵呵,樓上的,他的代碼有被偷的,他是一個很像MASM,但是又不是的東西寫的。
2011-6-4 22:29
0
雪    币: 291
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
那要怎么才能到这里
10004C40  - E9 67B6B3F1     jmp     01B402AC      // 这里是用脚本跑出的OEP
10004C45    D5 7A           aad     7A
10004C47    C2 561A         retn    1A56
2011-6-4 22:57
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
回“xie风腾”兄:
用VolX大侠的Aspr2.XX_unpacker_v1.0脚本后,会自动生成一个文件,用ImpREC修复好,载入OD查看,入口点既是10004C40,如图:但运行无任何反应。
上传的附件:
2011-6-5 01:03
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
难道有自校验
2011-6-5 01:31
0
雪    币: 4496
活跃值: (4478)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
也不知道是做什么用的...试试
上传的附件:
2011-6-5 10:39
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
运行不了,提示0×7c80e4dd指令引用的0×000ecc6d内存,该内存不能为written.
2011-6-5 11:08
0
雪    币: 386
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
看看这个如何?
上传的附件:
2011-6-5 12:30
0
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
15
编辑一下,VM有点问题,跑出来的修复程序无法使用。。
所以这边的话全部省略。。。
2011-6-5 12:41
0
雪    币: 386
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
你说的可能是对的,为什么删除呢
2011-6-5 13:11
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
回“ttgood”兄:运行后无反映,没有任何提示。
2011-6-5 15:12
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
看到的只是无聊兄编辑完的帖子,不知道说的是什么
2011-6-5 15:16
0
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
一樣不會出現任何東西,我在想,他可能有讀取城市某些部分,因為之前我debug過脫殼的程式,有些是直接就跳過了,即使把那個je刪掉,可以執行,但是不會有東西。

剛剛看了一下,他偷走的不少代碼,但是在開啟的過程中,沒有執行。
2011-6-5 16:09
0
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
20
我本想把偷掉的代码全部看一遍的,以为校验会遍地都是,所以中午就没弄。

晚上再看了一会儿,就一处。偷的代码也不高兴搬运了,纯体力活。

不过我很好奇,你想把这个脱壳干嘛呢?
上传的附件:
2011-6-5 20:04
0
雪    币: 386
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
请问,怎么搞定的呢
2011-6-6 07:09
0
雪    币: 386
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
好像把资源给隐藏了
2011-6-6 07:11
0
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
23
mov eax, hInstance
add eax,[eax+IMAGE_DOS_HEADER.e_lfanew]
movzx eax,[eax+IMAGE_NT_HEADERS.FileHeader.NumberOfSections]
cmp eax,7
jnz GameOver

invoke GetModuleFileName,NULL,lpFileName,168h
invoke CreateFile,lpFileName,GERNRIC_READ,NULL,NULL,OPEN_EXISTING,NULL,NULL
mov hFile,eax
invoke GetFileSize,hFile,NULL
cmp eax,5bxxx
jb GameOver
cmp eax,5cxxx
ja GameOver
2011-6-6 07:54
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
回“无聊的菜鸟”兄:感觉这个桌面程序很个性,但不完全适合我,想重新修改下,如msn我就从来不用,想替换成别的程序。没想到这么个小程序竟然这么难弄。
2011-6-6 09:00
0
雪    币: 305
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
确实是一处,都集中到一起了。
非常感谢无聊的菜鸟兄,原来有文件大小的自校验,一开始我也考虑到了,但一直找不准判断的地方。能分享下您是如何找到的吗?
2011-6-6 10:34
0
游客
登录 | 注册 方可回帖
返回
//