首页
社区
课程
招聘
关于aspack/asprotect v?.?? {mte}壳的疑问
发表于: 2005-10-8 17:32 5639

关于aspack/asprotect v?.?? {mte}壳的疑问

2005-10-8 17:32
5639
最近想脱这个用FI检测出的aspack/asprotect v?.?? {mte}壳,可是过于太菜了,了解也甚少,老是进入死循环,走不出来,请问高手们能介绍一下对于这种壳应该以什么思路着手?论坛上又搜壳不到类似的贴子,哪位高手有关的教程呀?能发给我看看么?邮箱: wwgroup@qq.com 请高手们赐教啊,谢谢了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这么多高手这么多人怎么没一个回答一下的?没搞错吧,现在的人真是无话可说了,牛的牛死,垃圾的郁闷死,有人说的不错,中国人的劣根
2005-10-9 05:23
0
雪    币: 233
活跃值: (130)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
南蛮妈妈认为:
楼主只是想搞定这个软件,可以找人帮助,或其它更有效的办法
楼主想学习的话,可以从这个贴子看起
http://bbs.pediy.com/showthread.php?s=&threadid=17446
2005-10-9 09:23
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢您~我很想需要有没有很切实的教程或是有类似壳经验的人高手帮我一下
2005-10-9 21:17
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
一般为AsProtect
PEiD看看
载入调试器,如果你脱过aspack/AsProtect就知道是哪个壳
2005-10-9 21:31
0
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
AsProtect SKE V2.10以上版本加壳,可能还有变形
2005-10-10 17:24
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
谢谢高手回答
PEID 0.93查不出是什么壳
peid 0.92查出是ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [重叠]
OD载入入口处代码:
00401000 >  68 01E05100     PUSH Photon.0051E001
00401005    E8 01000000     CALL Photon.0040100B
0040100A    C3              RETN
0040100B    C3              RETN
0040100C    F5              CMC
0040100D    E2 0D           LOOPD SHORT Photon.0040101C
0040100F    91              XCHG EAX,ECX
00401010    E5 B9           IN EAX,0B9                               ; I/O 命令
00401012    1BDD            SBB EBX,EBP
00401014    8145 EF 9ECF333>ADD DWORD PTR SS:[EBP-11],3A33CF9E
0040101B    14 A6           ADC AL,0A6
0040101D    56              PUSH ESI
0040101E    16              PUSH SS
0040101F    06              PUSH ES
00401020    FA              CLI
00401021    2926            SUB DWORD PTR DS:[ESI],ESP
00401023    B4 02           MOV AH,2
00401025    10DA            ADC DL,BL
00401027    DC53 B3         FCOM QWORD PTR DS:[EBX-4D]
0040102A    9F              LAHF
0040102B    3956 96         CMP DWORD PTR DS:[ESI-6A],EDX
0040102E    C6              ???                                      ; 未知命令

用ESP定律跟的话会出现好几处PUSHED、POPAD这样的代码,是不是软件加了好几重壳?这样跟下去到达入口处脱壳出来的程序好像没用的
00F81CD8    55              PUSH EBP       <==入口处吗?
00F81CD9    8BEC            MOV EBP,ESP
00F81CDB    83C4 B4         ADD ESP,-4C
00F81CDE    B8 401AF800     MOV EAX,0F81A40
00F81CE3    E8 B03FFDFF     CALL 00F55C98
00F81CE8    E8 D318FDFF     CALL 00F535C0
00F81CED    8D40 00         LEA EAX,DWORD PTR DS:[EAX]
00F81CF0    0000            ADD BYTE PTR DS:[EAX],AL
00F81CF2    0000            ADD BYTE PTR DS:[EAX],AL
00F81CF4    0000            ADD BYTE PTR DS:[EAX],AL
00F81CF6    0000            ADD BYTE PTR DS:[EAX],AL
00F81CF8    0000            ADD BYTE PTR DS:[EAX],AL
2005-10-11 00:22
0
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
呵呵,这个壳的OEP很好找,但修复较难
2005-10-11 15:09
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
大侠的意思是说入口点是对了?修复较难那您一定知道怎么修复的呀,指点一下好吗?谢谢
2005-10-11 20:20
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
为什么我回了高手所提的疑问后又没人回答了?真是郁闷
2005-10-12 13:13
0
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
呵呵,你那好象还不是OEP,好象只是壳完全解码后的位置,直达OEP的方法为:OD载入程序,设置忽略除内存异常外的所有异常,大约32-34次shift+F9到最后一次异常,然后在.code段下内存访问断点,shift+F9就能直达OEP了。
2005-10-12 13:26
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
此方法并不可行,我试过了,在最后一次异常外设内存访问断点再按SHIFT+F9的话程序就直接跳出试用软件的提示窗口了,这个asprotect壳并非教程中那种有典型异常的壳,有一点不一样,古月大侠愿意帮我指引我一下吗?谢谢
2005-10-12 21:39
0
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
呵呵,你找最后一次异常的方法应为:OD载入程序,设置忽略除内存异常外的所有异常,shift+F9直到程序运行,记下你按shift+F9的次数n(比如是34次时程序运行了,则n=34),然后 重新载入程序,按shift+F9的次数为n-1次(那么只要按n-1=34-1=33次)就到最后一次异常了。
2005-10-13 10:45
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
是的,我也说了是最后一次异常处啊,和大侠说的一个道理,您前面说在最后异常再按alt+m在code处下内存断点,再按SHIFT+F9的话启动就跳出试用软件这个提示了,我找最后一次异常正是您所说的那样,谢谢,希望能有好的建议!
2005-10-14 00:30
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
高手们解答一下啊,谢谢
2005-10-15 15:02
0
游客
登录 | 注册 方可回帖
返回
//