[求助]脱 ASProtect2.x 加密 DLL 的IAT如何修复？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]脱 ASProtect2.x 加密 DLL 的IAT如何修复？

发表于: 2005-6-2 10:52 4385

[求助]脱 ASProtect2.x 加密 DLL 的IAT如何修复？

ijia

2005-6-2 10:52

4385

用 PEID 查看信息为：ASProtect 2.0x Registered -> Alexey Solodovnikov，具体版本不知。

壳的最后一次异常：

03859BF7    0156 00            add dword ptr ds:[esi],edx
03859BFA    CF                 iretd
03859BFB    67:3D D20AFDA7     cmp eax,A7FD0AD2
03859C01    66:67:64:8F06 0000 pop word ptr fs:[0]
03859C08    83C4 04            add esp,4
03859C0B    C1CE B9            ror esi,0B9
03859C0E    BE 6AEF4600        mov esi,46EF6A                           ; ASCII "7F4D734F464250460357515A034244424A4D0D0B141311120A"
03859C13    5E                 pop esi

最后一次异常时堆栈：

0012F2A4   0012F2F0  指针到下一个 SEH 记录
0012F2A8   03859B4A  SE 句柄
0012F2AC   038804A4
0012F2B0   DB306801
0012F2B4   382EA327
0012F2B8   0012F2D4  ASCII "<)"
0012F2BC   03849889  返回到 03849889 来自 038497B0

脱壳后发现有部分 API 被壳 Hook 了，Hook 代码：

1CE01976      8BC0             mov eax,eax
1CE01978   $  E8 87E6CAE6      call 03AB0004

1CE0181E      8BC0             mov eax,eax
1CE01820   $  E8 DBE7C5E6      call 03A60000

有什么办法可以避开吗？如何修复这些 API？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
ijia 雪币： 236 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 210 粉丝 0 关注私信	ijia 2 楼抬一下 2005-6-3 08:18 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 3 楼如果这样的代码少有回复的可能,否则,难于回复呀 2005-6-4 01:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ijia

发帖

210

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
ijia 雪币： 236 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 210 粉丝 0 关注私信	ijia 2 楼抬一下 2005-6-3 08:18 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 3 楼如果这样的代码少有回复的可能,否则,难于回复呀 2005-6-4 01:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复