目的:??研究,??用....

(序):
ASProtect 已?不是以前的???了,咄入 2.0 之後,咄化了不少...
  也希望,大家能多指?指?..3Q

(1)可以去看雪?院,工具?下蒌
http://www.pediy.com/tools/packers.htm



(2)找一?案.exe,?作??,先都不勾啉,以了解??主



(3)加入一? Mode



(4)檫始 Protection...



(5)使用 PEiD 0.93 查看



(6)比蒉,原始? 和 加??,有何差?,下??未加??
   417316-CALL [GetStartupInfoA]



(7)下??已加??,办?呗 OP CODE,都被改了
   417316-CALL CE0000



(8)按 F8 SETP,咄入解瘁程式,追查...
  办? API 位址蒌入在 EDX ?咄入位址 *(00A27174)



(9)已?抓到 API 入口,找一空白?,?入 PATCH ,?原 Import Table
   EIP => PATCH 起? ,修改 00A27174->JMP PATCH OFFSET 0x29



(10) PATCH 解真

+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object BinaryCode **************

:00000000 mov edx, 00401000             ;.code  搜?-檫始位址
:00000005 cmp byte ptr [edx], E8        ; 'E8'== CALL
:00000008 jne 0000001E
:0000000A mov eax, dword ptr [edx+01]  
:0000000D add eax, edx                              
:0000000F add eax, 00000005                    
:00000014 cmp eax, 00CE0000             <=比蒉,是否? ASPR 解瘁咄入?
:00000019 jne 0000001E
:0000001B pushad                                       
:0000001C jmp edx                       <=;咄入-ASPR 解瘁咄入?
:0000001E inc edx
:0000001F cmp edx, 0041A000             <=code 搜?-劫束位址
:00000025 jbe 00000005
:00000027 jmp 00000027
:00000029 mov ecx, 0041A000             <=Import Table   檫始位址
:0000002E cmp dword ptr [ecx], edx                     
:00000030 jne 0000004F
:00000032 mov dword ptr [00419FF0], ecx <=保存 API   入口位址
:00000038 add esp, 000000FC
:0000003E popad
:0000003F mov ebx, dword ptr [00419FF0] <=取出  API   入口位址  
:00000045 mov dword ptr [edx+02], ebx   <=修正  API    入口位址  
:00000048 mov word ptr [edx], 15FF      <=修正  OP CODE
:0000004D jmp 0000001E
:0000004F add ecx, 00000004
:00000052 cmp ecx, 0041A730             <=Import Table   劫束位址
:00000058 jl 0000002E

(11) PATCH 完後,回到桌面,RUN LordPE => DUMP FULL



(12) 使用 ImportREC 修正 ,?回存 .EXE



(13) RUN _.EXE ?? OK~!!..收工.^^

...著著 (感著看雪板主,辛苦了^^)

用 OD 教?,??考 FLY 版主,所办表的文章...有更??的真明

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！