目的:??研究,??用....
(序):
ASProtect 已?不是以前的???了,咄入 2.0 之後,咄化了不少...
也希望,大家能多指?指?..3Q
(1)可以去看雪?院,工具?下蒌
http://www.pediy.com/tools/packers.htm
(2)找一?案.exe,?作??,先都不勾啉,以了解??主
(3)加入一? Mode
(4)檫始 Protection...
(5)使用 PEiD 0.93 查看
(6)比蒉,原始? 和 加??,有何差?,下??未加??
417316-CALL [GetStartupInfoA]
(7)下??已加??,办?呗 OP CODE,都被改了
417316-CALL CE0000
(8)按 F8 SETP,咄入解瘁程式,追查...
办? API 位址蒌入在 EDX ?咄入位址 *(00A27174)
(9)已?抓到 API 入口,找一空白?,?入 PATCH ,?原 Import Table
EIP => PATCH 起? ,修改 00A27174->JMP PATCH OFFSET 0x29
(10) PATCH 解真
+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object BinaryCode **************
:00000000 mov edx, 00401000 ;.code 搜?-檫始位址
:00000005 cmp byte ptr [edx], E8 ; 'E8'== CALL
:00000008 jne 0000001E
:0000000A mov eax, dword ptr [edx+01]
:0000000D add eax, edx
:0000000F add eax, 00000005
:00000014 cmp eax, 00CE0000 <=比蒉,是否? ASPR 解瘁咄入?
:00000019 jne 0000001E
:0000001B pushad
:0000001C jmp edx <=;咄入-ASPR 解瘁咄入?
:0000001E inc edx
:0000001F cmp edx, 0041A000 <=code 搜?-劫束位址
:00000025 jbe 00000005
:00000027 jmp 00000027
:00000029 mov ecx, 0041A000 <=Import Table 檫始位址
:0000002E cmp dword ptr [ecx], edx
:00000030 jne 0000004F
:00000032 mov dword ptr [00419FF0], ecx <=保存 API 入口位址
:00000038 add esp, 000000FC
:0000003E popad
:0000003F mov ebx, dword ptr [00419FF0] <=取出 API 入口位址
:00000045 mov dword ptr [edx+02], ebx <=修正 API 入口位址
:00000048 mov word ptr [edx], 15FF <=修正 OP CODE
:0000004D jmp 0000001E
:0000004F add ecx, 00000004
:00000052 cmp ecx, 0041A730 <=Import Table 劫束位址
:00000058 jl 0000002E
(11) PATCH 完後,回到桌面,RUN LordPE => DUMP FULL
(12) 使用 ImportREC 修正 ,?回存 .EXE
(13) RUN _.EXE ?? OK~!!..收工.^^
...著著 (感著看雪板主,辛苦了^^)
用 OD 教?,??考 FLY 版主,所办表的文章...有更??的真明
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法