首页
社区
课程
招聘
[原创]ASProtect.SKE.2.11 高速??+(?示)
发表于: 2005-8-16 09:53 15713

[原创]ASProtect.SKE.2.11 高速??+(?示)

2005-8-16 09:53
15713

目的:??研究,??用....

(序):
ASProtect 已?不是以前的???了,咄入 2.0 之後,咄化了不少...
  也希望,大家能多指?指?..3Q

(1)可以去看雪?院,工具?下蒌
http://www.pediy.com/tools/packers.htm



(2)找一?案.exe,?作??,先都不勾啉,以了解??主



(3)加入一? Mode



(4)檫始 Protection...



(5)使用 PEiD 0.93 查看



(6)比蒉,原始? 和 加??,有何差?,下??未加??
   417316-CALL [GetStartupInfoA]



(7)下??已加??,办?呗 OP CODE,都被改了
   417316-CALL CE0000



(8)按 F8 SETP,咄入解瘁程式,追查...
  办? API 位址蒌入在 EDX ?咄入位址 *(00A27174)



(9)已?抓到 API 入口,找一空白?,?入 PATCH ,?原 Import Table
   EIP => PATCH 起? ,修改 00A27174->JMP PATCH OFFSET 0x29



(10) PATCH 解真

+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object BinaryCode **************

:00000000 mov edx, 00401000             ;.code  搜?-檫始位址
:00000005 cmp byte ptr [edx], E8        ; 'E8'== CALL
:00000008 jne 0000001E
:0000000A mov eax, dword ptr [edx+01]  
:0000000D add eax, edx                              
:0000000F add eax, 00000005                    
:00000014 cmp eax, 00CE0000             <=比蒉,是否? ASPR 解瘁咄入?
:00000019 jne 0000001E
:0000001B pushad                                       
:0000001C jmp edx                       <=;咄入-ASPR 解瘁咄入?
:0000001E inc edx
:0000001F cmp edx, 0041A000             <=code 搜?-劫束位址
:00000025 jbe 00000005
:00000027 jmp 00000027
:00000029 mov ecx, 0041A000             <=Import Table   檫始位址
:0000002E cmp dword ptr [ecx], edx                     
:00000030 jne 0000004F
:00000032 mov dword ptr [00419FF0], ecx <=保存 API   入口位址
:00000038 add esp, 000000FC
:0000003E popad
:0000003F mov ebx, dword ptr [00419FF0] <=取出  API   入口位址  
:00000045 mov dword ptr [edx+02], ebx   <=修正  API    入口位址  
:00000048 mov word ptr [edx], 15FF      <=修正  OP CODE
:0000004D jmp 0000001E
:0000004F add ecx, 00000004
:00000052 cmp ecx, 0041A730             <=Import Table   劫束位址
:00000058 jl 0000002E

(11) PATCH 完後,回到桌面,RUN LordPE => DUMP FULL



(12) 使用 ImportREC 修正 ,?回存 .EXE



(13) RUN _.EXE ?? OK~!!..收工.^^

...著著 (感著看雪板主,辛苦了^^)

用 OD 教?,??考 FLY 版主,所办表的文章...有更??的真明


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (31)
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
2
期代中
2005-8-16 10:39
0
雪    币: 15128
活跃值: (4888)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
3
呵呵支持一下.
2005-8-16 10:39
0
雪    币: 221
活跃值: (2391)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
支持!早点看到教材!!!
2005-8-16 12:39
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
排个队等着。
2005-8-16 13:57
0
雪    币: 442
活跃值: (1241)
能力值: ( LV12,RANK:1130 )
在线值:
发帖
回帖
粉丝
6
后面的别插队
2005-8-16 13:59
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
跟着呢..
哈哈~~终于发出来了~看晚了
2005-8-16 14:01
0
雪    币: 227
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
支持。期待ASProtect V2.X Registered -> Alexey Solodovnikov *的脱文ing。
2005-8-16 14:38
0
雪    币: 198
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
顶~~~期待中~~~
2005-8-16 14:58
0
雪    币: 200
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
排队待候,。。。。。。
2005-8-16 15:54
0
雪    币: 50161
活跃值: (20635)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
11
最初由 syscom 发布
感著看雪板主,辛苦了^^)


呵~为了看雪论坛发展,所有的版主都蛮辛苦的,如fly, forgot等为脱壳版花费了不少心血。

谢谢你能与我们分享这些技术!看到SoftICE界面真的蛮亲切的,用图片表达的优点是直观,容易被大家接受。不过,一些代码如能用文本来描述更好,这样体积小些,方便整理进论坛精华集中,并且也方便以后的资料检索。
2005-8-16 17:39
0
雪    币: 239
活跃值: (220)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
12
我是没看明白目前
2005-8-16 18:02
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
13
最初由 kanxue 发布


呵~为了看雪论坛发展,所有的版主都蛮辛苦的,如fly, forgot等为脱壳版花费了不少心血。

谢谢你能与我们分享这些技术!看到SoftICE界面真的蛮亲切的,用图片表达的优点是直观,容易被大家接受。不过,一些代码如能用文本来描述更好,这样体积小些,方便整理进论坛精华集中,并且也方便以后的资料检索。


代瘁已?,有真明了,因?要?大家容易看,所以加了,?解
  而且我的表哌能力,不是粉好,大家多多包函..^^
2005-8-16 18:32
0
雪    币: 196
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
做一个用OD版破解的教程好吗!
还有就是能不能用简体中文写呀!
繁体的看到有点别扭。
谢谢楼主花时间为大家做这个教程!
2005-8-16 18:43
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
不错
学习中。。。。
2005-8-16 18:48
0
雪    币: 133
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
强烈支持
2005-8-16 19:20
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
17
syscom辛苦
ASProtect还是很强的,syscom可以找个delphi程序多选项测试一下
2005-8-16 19:31
0
雪    币: 227
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
支持ing。不过不是很懂softice。都在windows xp下。。
希望楼主可以给出个od的教程不?
2005-8-17 01:34
0
雪    币: 196
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
我也没有看的太懂,做个OD版的教程,多几个软件测试方法的通用性,至于在程序要加patch,象我等菜鸟可能不懂,所以教程的重点应该放在找到OEP和修复IAT上。我狂顶!顶。。。。。。
2005-8-17 13:06
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
20
2.0的壳的iat还是比较好弄的,不过那种call ******形式的我却搞不定的说,期待精彩教程
2005-8-17 22:17
0
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
要是简体的就好点了。
2005-8-18 01:30
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
22
2005-8-18 07:20
0
雪    币: 306
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
顶哦..........
好贴.
2005-8-18 09:00
0
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
24
幸苦,感谢楼主的无私奉献精神。。。
2005-8-19 12:01
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
25
昨天看了下stolen code,delphi版的,巨变态,几乎整个主流程的代码全部搬到壳里,只有进去第三个子函数才有原代码留着,晕死了
2005-8-19 12:12
0
游客
登录 | 注册 方可回帖
返回
//