首页
社区
课程
招聘
ASProtect 1.23RC4 以壳解壳+暗桩修复+解除自校验――ArtCursors V4.02B
发表于: 2004-6-16 01:06 21562

ASProtect 1.23RC4 以壳解壳+暗桩修复+解除自校验――ArtCursors V4.02B

fly 活跃值
85
2004-6-16 01:06
21562

ASProtect 1.23RC4 以壳解壳+暗桩修复+解除自校验+破解――ArtCursors V3.99B3
        
      
        
下载页面:  http://www.onlinedown.net/soft/27328.htm
软件大小:  993KB
软件语言:  英文
软件类别:  国外软件/共享版/图标工具
运行环境:  Win9x/Me/NT/2000/XP
加入时间:  2004-6-10 20:18:29
下载次数:  707
软件评级:  ****
软件介绍:  Aha-soft继ArtIcons后,又一套极佳的鼠标光标编辑工具,支持标准的16x16、32x32..及自订尺寸图示,除可观看、绘制、抓取、收集、和管理等功能外,亦有渐层着色功能及齐全的编辑工具。支持格式包括:ico、ani、cur、wmf、emf、bmp、jpg、jpeg、gif、png,它并从图像ICO、JPG等文件中导入。
      
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
      
【调试环境】:WinXP、Ollydbg、PEiD、LordPE、ImportREC
      
―――――――――――――――――――――――――――――――――
【脱壳过程】:
                 
               
      
有兄弟让看看这个东东,抽空看了一下,发现和以前版本的没有太多区别。
还看了一下其同门软件ArtIcons Pro V4.06b,脱壳方法和这个一样。
―――――――――――――――――――――――――――――――――
一、以壳解壳:Stolen Code + OEP
      
      
设置Ollydbg忽略除了“内存访问异常”之外的所有其它异常选项。老规矩:用IsDebug 1.4插件去掉Ollydbg的调试器标志。
      

00401000     68 01C05900         push ARTCUR.0059C001//进入OD后停在这
00401005     E8 01000000         call ARTCUR.0040100B
0040100A     C3                  retn
00B539EC     3100                xor dword ptr ds:[eax],eax//最后1次异常
00B539EE     64:8F05 00000000    pop dword ptr fs:[0]
00B539F5     58                  pop eax
00B539F6     833D B07EB500 00    cmp dword ptr ds:[B57EB0],0
00B539FD     74 14               je short 00B53A13
00B539FF     6A 0C               push 0C
00B53A01     B9 B07EB500         mov ecx,0B57EB0
00B53A06     8D45 F8             lea eax,dword ptr ss:[ebp-8]
00B53A09     BA 04000000         mov edx,4
00B53A0E     E8 2DD1FFFF         call 00B50B40
00B53A13     FF75 FC             push dword ptr ss:[ebp-4]
00B53A16     FF75 F8             push dword ptr ss:[ebp-8]
00B53A19     8B45 F4             mov eax,dword ptr ss:[ebp-C]
00B53A1C     8338 00             cmp dword ptr ds:[eax],0
00B53A1F     74 02               je short 00B53A23
00B53A21     FF30                push dword ptr ds:[eax]
00B53A23     FF75 F0             push dword ptr ss:[ebp-10]
00B53A26     FF75 EC             push dword ptr ss:[ebp-14]
00B53A29     C3                  retn//此处下断,Shift+F9,断在这!
0012FF5C    00B67190
0012FF60    00400000  ASCII "MZP"
0012FF64    32C336F0
0012FF68    0012FFA4 //注意这里 ★
00B672D3     03C3                add eax,ebx
00B672D5     BB AC060000         mov ebx,6AC//注意这个值 ★ 这里就可以按“以壳解壳”的方法来脱壳了
00B672DA     0BDB                or ebx,ebx
00B672DC     75 07               jnz short 00B672E5
00B672E5     E8 00000000         call 00B672EA
00B672EA     5D                  pop ebp
00B672EB     81ED 4DE14B00       sub ebp,4BE14D
00B672F1     8D85 F2E04B00       lea eax,dword ptr ss:[ebp+4BE0F2]
00B672F7     8D8D 94E14B00       lea ecx,dword ptr ss:[ebp+4BE194]
00B672FD     03CB                add ecx,ebx
00B672FF     8941 01             mov dword ptr ds:[ecx+1],eax
00B67302     8D85 36E14B00       lea eax,dword ptr ss:[ebp+4BE136]
00B67308     8D8D FAE04B00       lea ecx,dword ptr ss:[ebp+4BE0FA]
00B6730E     8901                mov dword ptr ds:[ecx],eax
00B67310     B8 5E140000         mov eax,145E
00B67315     8D8D FFE04B00       lea ecx,dword ptr ss:[ebp+4BE0FF]
00B6731B     8901                mov dword ptr ds:[ecx],eax
00B6731D     8D8D 94E14B00       lea ecx,dword ptr ss:[ebp+4BE194]
00B67323     8D85 94F34B00       lea eax,dword ptr ss:[ebp+4BF394]
00B67329     51                  push ecx
00B6732A     50                  push eax
00B6732B     E8 76FFFFFF         call 00B672A6
00B67330     61                  popad
00B67331     F3:                 prefix rep:
00B67332     EB 02               jmp short 00B67336
00B67362     FF53 0E             call dword ptr ds:[ebx+E]//这个CALL里面处理 Stolen Code  ★
       
00B67399     896C24 04           mov dword ptr ss:[esp+4],ebp
00B673A1     8D6424 04           lea esp,dword ptr ss:[esp+4]//push ebp ★
00B673A5     8BEC                mov ebp,esp ★
00B673A7     81EC 0C000000       sub esp,0C//ADD ESP,-0C  ★
       
00B674DE     8BC3                mov eax,ebx  ; ARTCUR.00544CC3
00B674E3     83C0 51             add eax,51//mov eax,00544D14 ★
005451AC     55                  push ebp
005451AD     8BEC                mov ebp,esp
005451AF     83C4 F4             add esp,-0C
005451B2     B8 144D5400         mov eax,00544D14//Stolen Code
005451B7     E8 7018ECFF         call ARTCUR.00406A2C
005451BC     FF15 14BC5400       call dword ptr ds:[54BC14]; ARTCUR.00544BC0
005451C2     E8 4DEAEBFF         call ARTCUR.00403C14
AsprDbgr v1.0beta (:P) Made by me... Manko.
       
  iEP=401000 (E:\试炼场\脱壳学习\ASProtect\ArtCursors 4.02 Beta\ARTCUR.EXE
       
  GST returns to: B42667
    Trick aspr GST... (EAX=12121212h)
  GV returns to: B51A61
    IAT Start: 54E1A4
          End: 54E994
       Length: 7F0
      IATentry 54E1F8 = B517A4 resolved as GetProcAddress
      IATentry 54E1FC = B51C64 resolved as GetModuleHandleA
      IATentry 54E210 = B51CD8 resolved as GetCommandLineA
      IATentry 54E2B0 = B51C64 resolved as GetModuleHandleA
      IATentry 54E340 = B51CC8 resolved as LockResource
      IATentry 54E38C = B51C8C resolved as GetVersion
      IATentry 54E3A8 = B517A4 resolved as GetProcAddress
      IATentry 54E3B0 = B51C64 resolved as GetModuleHandleA
      IATentry 54E3E4 = B51CC0 resolved as GetCurrentProcessId
      IATentry 54E3F0 = B51CF0 resolved as FreeResource
    SymbolInitialize seems to have frozen.
    Any invalid IAT entries was NOT erased...
  Dip-Table at adress: B57AB4
    0 4FEE78 0 0 4FEECC 0 0 544BC0 544CBC 544CDC 0 4FEEF4 4FEEE4 0
  Last SEH passed. Searching for signatures. Singlestepping to OEP!
    Call + OEP-jump-setup at: B68015 ( Code: E8000000 5D81ED )
    Mutated, stolen bytes at: B68060 ( Code: 61F3EB02 CD20EB01 )
    Erase of stolen bytes at: B67FC4 ( Code: 9CFCBF03 80B600B9 )
      Repz ... found. Skipping erase of stolen bytes. ;)
  Dip from pre-OEP: 40692C (Reached from: B67FD5)
  Sugested tempOEP at: 5451B7
00B60000     BB AC060000         mov ebx,6AC
00B60005     E9 DB720000         jmp UnPacked.00B672E5//跳至“以壳解壳”代码段
00B6896B     00A4E1 14006B65     add byte ptr ds:[ecx+656B0014],ah//异常
0012FDFC    00539780  返回到 dumped_.00539780

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 9
支持
分享
最新回复 (33)
雪    币: 319
活跃值: (1076)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
2
牛人。。。。
2004-6-16 02:11
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
有兴趣的兄弟还可以试试这个东东:ArtIcons Pro V4.06b
                  
            
下载页面:  http://www.skycn.com/soft/6354.html
软件大小:  1132 KB
软件语言:  英文
软件类别:  国外软件 / 共享版 / 图标工具
应用平台:  Win9x/NT/2000/XP
加入时间:  2004-06-11 15:23:37
下载次数:  11832
推荐等级:  ****
软件介绍:  ArtIcons 是专门绘制图标的工具,支持标准及自订尺寸的图标,并支持到 16 百万色,具有渐层着色的功能,还可以观看、抓取、收集、和管理图标资料库等许多功能。可以将整个目录和子目录下的图标转为资料库。支持拖放操作方式。可在图标资料库中互相剪贴。支持剪贴图形到其他应用程序,可从图标资料库中分割图标出来。
      
     
脱壳方法相似   :D
2004-6-16 11:05
0
雪    币: 255
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
嬉嬉,一上论坛就看到偶像的精品了~!
2004-6-16 11:58
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
由于前天从 华军 的某个链接下载的程序居然是ArtCursors V3.99B3旧版
其页面提示是新版。谁都有失误的时候,何况一个大的软件站

刚才去天空下载了新版看了一下,脱壳方法是一样的。
http://www.skycn.com/soft/2447.html

感谢DarkNess0ut老大的帮忙去除NAG!
脱壳破解版已交给 汉化新世纪 的兄弟汉化



2004-6-17 00:54
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
6
学习中。。。。
我只会用Stripper脱aspr,方便,秒杀,还自动帮你“以壳解壳”
可惜对付新版本就没办法了。。。
2004-6-17 14:06
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
最初由 fly 发布
由于前天从 华军 的某个链接下载的程序居然是ArtCursors V3.99B3旧版
其页面提示是新版。谁都有失误的时候,何况一个大的软件站

刚才去天空下载了新版看了一下,脱壳方法是一样的。
http://www.skycn.com/soft/2447.html

感谢DarkNess0ut老大的帮忙去除NAG!
脱壳破解版已交给 汉化新世纪 的兄弟汉化




    好,等汉化版。:)
2004-7-5 10:43
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
8
下命令:HR 0012FF68 这是什么命令啊?
还有 下断:BP FileTimeToLocalFileTime  这是什么断点啊?
2004-7-5 13:21
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
9
HR 硬件访问断点
BP FileTimeToLocalFileTime   API断点
2004-7-5 13:56
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
10
现在我们来“组装”一下dumped.exe。呵呵,用LordPE打开dumped.exe,从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段,修改其Voffset=00760000,只保留LordPE的“验证PE”选项,重建PE。Dump完成!

怎么从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段?
问了很多操作上的问题,不好意思哦,我以前没操作过
2004-7-5 14:52
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
11
谢谢了,我找到了,知道怎么做了
2004-7-5 14:58
0
雪    币: 232
活跃值: (85)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
以壳脱壳的方法是什么啊,我没找到,以壳脱壳的原理是什么啊!
还有,上面有个地方不太清禁,jle改jmp后代码会增加吧!那样的话,程序代码就都串位啦,你的意思是说用SMC技术吗!
2004-7-6 23:34
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
13
先跟着做一遍

改jmp那已经是改脱壳后的部分了
下面的空地大的很,增加点代码无所谓
2004-7-7 00:53
0
雪    币: 292
活跃值: (110)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
14
fly,哪有AsprDbgr v1.0beta下载呀。
我搜不到…………
2004-7-7 12:36
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
15
最初由 WR-911 发布
fly,哪有AsprDbgr v1.0beta下载呀。
我搜不到…………


http://bbs.pediy.com/showthread.php?s=&threadid=2220
2004-7-7 12:53
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
16
Fly前辈,第一次学习脱猛壳:p 有几个问题想请教一下:,我在学习脱壳时走到以下地方,你说这里已经可以将程序Dump下来的,我还是有些不明白,是走在00B672D3地址Dump程序还是00DB67332地址Dump程序?


00B672D3 03C3 add eax,ebx //是走到这里Dump吗?
00B672D5 BB AC060000 mov ebx,6AC//注意这个值 ★ 这里就可以按“以壳解壳”的方法来脱壳了
00B672DA 0BDB or ebx,ebx
00B672DC 75 07 jnz short 00B672E5



[code]
00B672E5 E8 00000000 call 00B672EA
00B672EA 5D pop ebp
00B672EB 81ED 4DE14B00 sub ebp,4BE14D
00B672F1 8D85 F2E04B00 lea eax,dword ptr ss:[ebp+4BE0F2]
00B672F7 8D8D 94E14B00 lea ecx,dword ptr ss:[ebp+4BE194]
00B672FD 03CB add ecx,ebx
00B672FF 8941 01 mov dword ptr ds:[ecx+1],eax
00B67302 8D85 36E14B00 lea eax,dword ptr ss:[ebp+4BE136]
00B67308 8D8D FAE04B00 lea ecx,dword ptr ss:[ebp+4BE0FA]
00B6730E 8901 mov dword ptr ds:[ecx],eax
00B67310 B8 5E140000 mov eax,145E
00B67315 8D8D FFE04B00 lea ecx,dword ptr ss:[ebp+4BE0FF]
00B6731B 8901 mov dword ptr ds:[ecx],eax
00B6731D 8D8D 94E14B00 lea ecx,dword ptr ss:[ebp+4BE194]
00B67323 8D85 94F34B00 lea eax,dword ptr ss:[ebp+4BF394]
00B67329 51 push ecx
00B6732A 50 push eax
00B6732B E8 76FFFFFF call 00B672A6
00B67330 61 popad
00B67331 F3: prefix rep:
00B67332 EB 02 jmp short 00B67336 //还是走到这里Dump呢?
[code]


2、

程序代码已经解开,可以用LordPE纠正ImageSize后完全DUMP这个进程了!

这个InageSize如何纠正?在哪里修正?是将文件动态修改后Dump还是将文件Dump下来再修改?动态修改我在LordPE只找到两个选项PE编辑(Temp)和PE编辑(只读编辑),该用哪个选项?

3、

现在我们来“组装”一下dumped.exe。呵呵,用LordPE打开dumped.exe,从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段,修改其Voffset=00760000,只保留LordPE的“验证PE”选项,重建PE。Dump完成!

关于Voffset==00760000值是如何得来的?我这里的动态地址和你的不一样,你的动态地址是00B600000,而我这里是00E800000,应该如何得出这个Voffset值?
2004-7-10 13:24
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
17
1、在上面的地址处都可以DUMP
2、DUmp时用LordPE“纠正映像大小”
3、Voffset==00760000是00B600000减去基址后的
4、动态地址以你的机子上为准,-基址 即可得出Voffset值
2004-7-10 17:36
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
18
明白了,谢谢Fly前辈。
2004-7-10 18:03
0
雪    币: 292
活跃值: (110)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
19
我用FLY老大教的方法脱了好多遍都有问题呀。我找到专脱工具ASPR Dumper0.1其中包括AsprDbgr v 1.06         
http://ahteam.org/cgi-bin/oursoft.pl?act=view&prgid=asprdumper
用它可以成功脱壳但不能在98下运行且脱过的软件都会过期…………
2004-7-11 14:56
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
20
最初由 WR-911 发布
我用FLY老大教的方法脱了好多遍都有问题呀。我找到专脱工具ASPR Dumper0.1其中包括AsprDbgr v 1.06
http://ahteam.org/cgi-bin/oursoft.pl?act=view&prgid=asprdumper
用它可以成功脱壳但不能在98下运行且脱过的软件都会过期…………


或许是你某些地方没处理好
可以成功脱壳的
2004-7-11 18:43
0
雪    币: 292
活跃值: (110)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
21
Fly,请将你脱好的软件发一份给我.谢谢.
[email]WR-911@sohu.com[/email]
2004-7-13 22:07
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
22
最初由 WR-911 发布
Fly,请将你脱好的软件发一份给我.谢谢.
[email]WR-911@sohu.com[/email]


已发送,注意发的是ArtCursors V4.02B UnPacked
和帖子里版本不同
2004-7-13 23:49
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
等了很久了,汉化版还没出来……
2004-8-3 13:29
0
雪    币: 217
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
fly哥,我想知道,你从开始,到脱掉这个壳花了多少时间。
2004-8-3 13:44
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
25
几个小时或者几十分钟
看熟悉的程序
2004-8-3 15:04
0
游客
登录 | 注册 方可回帖
返回
//