首页
社区
课程
招聘
如何识别新版本的asprotect(包括RC4,0427,0518,0614)
发表于: 2004-6-17 17:23 6979

如何识别新版本的asprotect(包括RC4,0427,0518,0614)

2004-6-17 17:23
6979

自ASProtect 1.23 RC1以来,ASProtect又有了ASProtect 1.23 RC4,ASProtect 1.31 0427,ASProtect 1.31 0518,ASProtect 1.31 0614这几个新版本,但是用最新版的PEiD2004(0606)查壳类型,都是
ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov,并且新版本ASProtect的最后一次典型异常也有了变化,经过本人的反复试验,发现可以通过ASProtect的最后一次典型异常来判断壳的类型究竟属于哪一个版本。

本人描述如有不妥之处,敬请指出!

ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常,在最近处的retn处设断,跳过异常,f8步跟就会来到foep。

009439EC   3100             XOR DWORD PTR DS:[EAX],EAX
009439EE   64:8F05 00000000 POP DWORD PTR FS:[0]
009439F5   58               POP EAX
009439F6   833D B07E9400 00 CMP DWORD PTR DS:[947EB0],0
009439FD   74 14            JE SHORT 00943A13
009439FF   6A 0C            PUSH 0C
00943A01   B9 B07E9400      MOV ECX,947EB0
00943A06   8D45 F8          LEA EAX,DWORD PTR SS:[EBP-8]
00943A09   BA 04000000      MOV EDX,4
00943A0E   E8 2DD1FFFF      CALL 00940B40
00943A13   FF75 FC          PUSH DWORD PTR SS:[EBP-4]
00943A16   FF75 F8          PUSH DWORD PTR SS:[EBP-8]
00943A19   8B45 F4          MOV EAX,DWORD PTR SS:[EBP-C]
00943A1C   8338 00          CMP DWORD PTR DS:[EAX],0
00943A1F   74 02            JE SHORT 00943A23
00943A21   FF30             PUSH DWORD PTR DS:[EAX]
00943A23   FF75 F0          PUSH DWORD PTR SS:[EBP-10]
00943A26   FF75 EC          PUSH DWORD PTR SS:[EBP-14]
00943A29   C3               RETN
0095E56E   0156 00          ADD DWORD PTR DS:[ESI],EDX
0095E571   848D 12FB0F29    TEST BYTE PTR SS:[EBP+290FFB12],CL
0095E577   BC 2AA5F123      MOV ESP,23F1A52A
0095E57C   67:64:8F06 0000  POP DWORD PTR FS:[0]
0095E582   83C4 04          ADD ESP,4
0095E585   03F7             ADD ESI,EDI
0095E587   5E               POP ESI
0095E588   833D 6C3B9600 00 CMP DWORD PTR DS:[963B6C],0
0095E58F   74 14            JE SHORT 0095E5A5
0095E591   6A 0C            PUSH 0C
0095E593   B9 6C3B9600      MOV ECX,963B6C
0095E598   8D45 F4          LEA EAX,DWORD PTR SS:[EBP-C]
0095E59B   BA 04000000      MOV EDX,4
0095E5A0   E8 3B2FFFFF      CALL 009514E0
0095E5A5   A1 40169600      MOV EAX,DWORD PTR DS:[961640]
0095E5AA   C700 E1000000    MOV DWORD PTR DS:[EAX],0E1
0095E5B0   8BC3             MOV EAX,EBX
0095E5B2   E8 FD44FEFF      CALL 00942AB4
0095E5B7   A1 C0159600      MOV EAX,DWORD PTR DS:[9615C0]
0095E5BC   8B00             MOV EAX,DWORD PTR DS:[EAX]
0095E5BE   E8 6560FFFF      CALL 00954628
0095E5C3   A1 40169600      MOV EAX,DWORD PTR DS:[961640]
0095E5C8   C700 E3000000    MOV DWORD PTR DS:[EAX],0E3
0095E5CE   EB 01            JMP SHORT 0095E5D1
0095E5D0   E8 8B45FC8B      CALL 8C922B60
0095E5D5   0085 C0752B8B    ADD BYTE PTR SS:[EBP+8B2B75C0],AL
0095E5DB   0D 783B9600      OR EAX,963B78
0095E5E0   85C9             TEST ECX,ECX
0095E5E2   74 0B            JE SHORT 0095E5EF
0095E5E4   8B65 F8          MOV ESP,DWORD PTR SS:[EBP-8]
0095E5E7   FF35 783B9600    PUSH DWORD PTR DS:[963B78]
0095E5ED   C3               RETN

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 9
支持
分享
最新回复 (10)
雪    币: 227
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
2004-6-17 17:41
0
雪    币: 109
活跃值: (36)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
0614的主程序脱不了,郁闷:(
2004-6-17 17:42
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
不错,大家验证看看

另:我帮你编辑了一下帖子的格式
2004-6-17 20:19
0
雪    币: 13
活跃值: (230)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
谢谢fly大侠对本贴的关注,十分感谢!
2004-6-18 12:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我试过一个ASProtect 1.31 06.14 按shift+f9键42次后才来到典型异常
和加密时的选项有没有关系?
2004-6-23 13:47
0
雪    币: 13
活跃值: (230)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
我试过了,跟加密的选项确实有关系.不要先试用项和注册项.
2004-6-24 10:38
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
8
good good study
day day up:D
2004-6-24 11:01
0
雪    币: 221
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gcf
9
非常感谢,我正在因为这个问题郁闷!
2004-8-14 00:00
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
“f8步跟就会来到foep”
弱弱的问一句:foep是不是就是oep啊?
2004-8-17 12:09
0
雪    币: 212
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
一个程序按shift+f9键37次后来到典型异常(第38次就跑飞了),请问是什么版本?
2004-8-28 09:22
0
游客
登录 | 注册 方可回帖
返回
//