首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
ASProtect1.2x-1.3x脱壳
发表于: 2005-7-20 09:45 20539

ASProtect1.2x-1.3x脱壳

layper 活跃值
9
2005-7-20 09:45
20539

查看主题内容

收藏
免费 7
支持
分享
最新回复 (42)
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
26
最初由 xy2000 发布
我比较郁闷,也是在脱这样的一个壳,可是F8总是到不了retn这里,真是让人头大.


哈哈,我算是解脱了,将系统都换成 RHEL了.
我正找你呢, 我将帐号\密码都弄没了,你上m s n 给我,我来换3.5
2005-7-28 09:33
0
夜凉如水
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
27
这个 已经搞定了, RETN的地方 直接F4就能过来 。XY你在下断点的时候返回时机好象不对吧
2005-7-31 13:35
0
123123
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
28
ASProtect 1.2x - 1.3x [Registered] -> 的壳未搞定。按照楼主的例子做了下。
Shift+F9运行,运行之后按顺序断在(1)(3)(4)三处,
00BF58CF    8B55 0C         mov edx,dword ptr ss:[ebp+C]      ;断在这里,取消断点
00BF58D2    8B12            mov edx,dword ptr ds:[edx]
00BF58D4    8902            mov dword ptr ds:[edx],eax         ;修改为mov dword ptr ds:[edx],ebx
寄存器ebx保存正确的函数,继续Shift+F9运行
00BF5953    8B55 0C         mov edx,dword ptr ss:[ebp+C]       ;断在这里,取消断点
00BF5956    8B12            mov edx,dword ptr ds:[edx]
00BF5958    8902            mov dword ptr ds:[edx],eax
{Shift+F9继续运行
00BF595C    B8 B846BF00     mov eax,0BF46B8                      ;注意这里
00BF5961    8B55 0C         mov edx,dword ptr ss:[ebp+C]         ;断在这里,取消断点,F8走
00BF5964    8B12            mov edx,dword ptr ds:[edx]
00BF5966    8902            mov dword ptr ds:[edx],eax            ;走到这里,此时EAX=0BF46B8}
到这里时,大括号内的第四步就走不到了。如果忽略内存异常即出错。像楼上那位朋友一样程序ERROR,如果不忽略内存异常就会出现不可向下运行的情况。之前的步骤完全可以跟的上。不知道何种原因。
2005-8-1 14:34
0
aki
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
29
由于要脱一个bt的asprotect2.0,顺便看了下这个.这个2.0应该是比较简单的版本了,不知软件版本不对,我脱这个2.0的时候,稍微有些出入.
一:搜索iat写入语句的时候,不能按三句搜,这个版本应该是两句,即
00C0F4DA    8B17              mov edx,dword ptr ds:[edi]
00C0F4DC    8902              mov dword ptr ds:[edx],eax

二:关于iat的加密,真正的api地址不再放在ebx里.可能是作者放水,这个的iat解密也很简单
在搜索出的第一处
00C0F4D0    E8 17FCFFFF       call 00C0F0EC  解密出api地址,放进eax
00C0F4D5    E8 7EFEFFFF       call 00C0F358  加密
00C0F4DA    8B17              mov edx,dword ptr ds:[edi]
00C0F4DC    8902              mov dword ptr ds:[edx],eax 写入加密后的地址

所以简单的方法就是nop掉00C0F4D5 一句,这样就可以得到完整的iat,当然,除了那个第四处特殊处理的GetProcAddress
这样解密出iat后,后面的修复就简单了.
当然,这个应该是个标准的放水版本,我脱了个ASProtect2.0的,好多api都被hook了,费了好大劲才弄出来.脱壳可真是体力活...唉
2005-8-8 13:51
0
raolan
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
30
经典...对我们小鸟们来说实用极了.希望大鸟们多写写.
2005-8-8 22:35
0
raolan
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
31
不知道楼主的下命令he GetModuleHandleA是什么意思?大家可不可以帮忙解释下
!怎么才可以实现下命令?
2005-8-9 02:41
0
sk163
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
32
我跟着步骤走也是出错啊~~
Shift+F9运行,运行之后按顺序断在(4)处之前

OS: Windows XP Professional, SP2
CPU: AuthenticAMD, AMD AMD Athlon(tm) XP 1800+, MMX @ 1550 MHz

Application data:
VmVyc2lvbjogdE5uVTljWEdLQ1EzS3paSENnMDZKamc0S21oK1ltQm9
MVDA5SUQ0OE1FSjBmWGR6WUhZNg0KSW1hZ2VCYXNlOiAwMDQwMDAwMA
0KLTENCkNvZGUgPSBbMjEwXQ0KLSAxMzINCi0gMjA5DQotIDIyNw0KL
SAwDQotIFtdDQo+IEQ6XGFzZGFzZGFzZGFzZFxxcWRkejJctdjW98bF
Mi4wQS5FWEUNCg0KtdjW98bFuaTX98rSDQq12Nb3xsUyLjBBDQoyLjA
uMC4xDQoyLjBBDQq12Nb3xsUyLjBBUVG2t7XY1ve8x8XGxvcNCg0KPi
BDOlxXSU5ET1dTXHN5c3RlbTMyXG50ZGxsLmRsbA0KPiBDOlxXSU5ET
1dTXHN5c3RlbTMyXGtlcm5lbDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5
c3RlbTMyXHVzZXIzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx
HREkzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxhZHZhcGkzMi
5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxSUENSVDQuZGxsDQo+I
EM6XFdJTkRPV1Ncc3lzdGVtMzJcb2xlYXV0MzIuZGxsDQo+IEM6XFdJ
TkRPV1Ncc3lzdGVtMzJcbXN2Y3J0LmRsbA0KPiBDOlxXSU5ET1dTXHN
5c3RlbTMyXG9sZTMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyXH
ZlcnNpb24uZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcY29tY3RsM
zIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcd3NvY2szMi5kbGwN
Cj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxXUzJfMzIuZGxsDQo+IEM6XFd
JTkRPV1Ncc3lzdGVtMzJcV1MySEVMUC5kbGwNCj4gQzpcV0lORE9XU1
xzeXN0ZW0zMlxJTU0zMi5ETEwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zM
lxMUEsuRExMDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcVVNQMTAuZGxs
DQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcdXh0aGVtZS5kbGwNCj4gQzp
cV0lORE9XU1xzeXN0ZW0zMlxtc2N0ZmltZS5pbWU=
2005-8-15 03:05
0
yunfeng
雪    币: 269
活跃值: (51)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
33
最初由 keroine 发布
怎么我在脱另外的一个东西的时候,也是搜索到
mov edx,dword ptr ss:[ebp+C]
mov edx,dword ptr ds:[edx]
mov dword ptr ds:[edx],eax
有4处,就是shift+f9到最后一个断点前就跳出一个ERRORD的提示框出来啊,这该怎么办才行了啊???


这个问题在我调试的时候也碰到过,到现在也不知道如何解决这个问题。
2005-8-16 09:45
0
lnn1123
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
34
最初由 sassy 发布


我也是这样?该如何解决?

同样的问题,请帮忙看看是什么问题
2005-8-16 11:58
0
yuewei
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
35
我想请问楼主或者大家!
我的CPU是64 AMD
OS WINDWS XP SP1

我完全按照楼主说的做了,但在OD显示的和你上面写的完全不一样!
我花了2天的时间下很多录象教程,教程自带带壳程序!每个录象我看了至少3遍以上,然后按照录象一步一步做!但是显示在OD上的和录象上完全不同,让我无从下手学习!
我就有点疑问,是不是32位的程序在64位CPU上运行就会和在32位CPU上运行不一样吗?
大家有知道的请说说!谢谢!
2005-8-24 01:06
0
xiangding
雪    币: 194
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
36
我在那四个搜索中,第二个断点就报error了。。
2005-8-24 17:49
0
yuewei
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
37
这个脱问脱的壳是放水版本的吧!
为什么大家都脱不了呢?
2005-9-2 16:02
0
逍遥散人
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
38
"在命令行下:he GetModuleHandleA,Shift+F9运行两次后"?怎么“在命令行下”?
2005-9-3 10:47
0
wynney
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
39
哎。。。这张帖子摆在这里有点“误人子弟”
2005-9-3 11:01
0
夜凉如水
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
40
不加评论了!!!
2005-9-3 19:12
0
layper
雪    币: 308
活跃值: (362)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
41
那就请斑竹删了这贴吧,呵呵,我是菜鸟水平不高,时间也不多.如果对大家有影响说声sorry.
壳向前发展的,脱壳也是要向前发展的,不是人人都能什么壳都能脱的,什么问题都能解决的(象我这样的菜鸟来说,更为艰辛),希望谅解.
再次sorry.
2005-9-4 09:08
0
csknit
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
42
理解万岁!!!
2005-9-5 16:04
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
43
最初由 layper 发布
那就请斑竹删了这贴吧,呵呵,我是菜鸟水平不高,时间也不多.如果对大家有影响说声sorry.
壳向前发展的,脱壳也是要向前发展的,不是人人都能什么壳都能脱的,什么问题都能解决的(象我这样的菜鸟来说,更为艰辛),希望谅解.
再次sorry.


不必如此
不同版本壳的脱壳方法会有差别
甚至相同版本因为选项不同,脱壳流程也会不同

TO Other:
不要希望别人能给你万能的脱壳方法
别人的路只能给你参考
你需要走你自己的路
2005-9-5 16:37
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//