-
-
如何识别新版本的asprotect(包括RC4,0427,0518,0614)
-
发表于:
2004-6-17 17:23
6965
-
如何识别新版本的asprotect(包括RC4,0427,0518,0614)
自ASProtect 1.23 RC1以来,ASProtect又有了ASProtect 1.23 RC4,ASProtect 1.31 0427,ASProtect 1.31 0518,ASProtect 1.31 0614这几个新版本,但是用最新版的PEiD2004(0606)查壳类型,都是
ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov,并且新版本ASProtect的最后一次典型异常也有了变化,经过本人的反复试验,发现可以通过ASProtect的最后一次典型异常来判断壳的类型究竟属于哪一个版本。
本人描述如有不妥之处,敬请指出!
ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常,在最近处的retn处设断,跳过异常,f8步跟就会来到foep。
009439EC 3100 XOR DWORD PTR DS:[EAX],EAX
009439EE 64:8F05 00000000 POP DWORD PTR FS:[0]
009439F5 58 POP EAX
009439F6 833D B07E9400 00 CMP DWORD PTR DS:[947EB0],0
009439FD 74 14 JE SHORT 00943A13
009439FF 6A 0C PUSH 0C
00943A01 B9 B07E9400 MOV ECX,947EB0
00943A06 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00943A09 BA 04000000 MOV EDX,4
00943A0E E8 2DD1FFFF CALL 00940B40
00943A13 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00943A16 FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00943A19 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00943A1C 8338 00 CMP DWORD PTR DS:[EAX],0
00943A1F 74 02 JE SHORT 00943A23
00943A21 FF30 PUSH DWORD PTR DS:[EAX]
00943A23 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00943A26 FF75 EC PUSH DWORD PTR SS:[EBP-14]
00943A29 C3 RETN
0095E56E 0156 00 ADD DWORD PTR DS:[ESI],EDX
0095E571 848D 12FB0F29 TEST BYTE PTR SS:[EBP+290FFB12],CL
0095E577 BC 2AA5F123 MOV ESP,23F1A52A
0095E57C 67:64:8F06 0000 POP DWORD PTR FS:[0]
0095E582 83C4 04 ADD ESP,4
0095E585 03F7 ADD ESI,EDI
0095E587 5E POP ESI
0095E588 833D 6C3B9600 00 CMP DWORD PTR DS:[963B6C],0
0095E58F 74 14 JE SHORT 0095E5A5
0095E591 6A 0C PUSH 0C
0095E593 B9 6C3B9600 MOV ECX,963B6C
0095E598 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C]
0095E59B BA 04000000 MOV EDX,4
0095E5A0 E8 3B2FFFFF CALL 009514E0
0095E5A5 A1 40169600 MOV EAX,DWORD PTR DS:[961640]
0095E5AA C700 E1000000 MOV DWORD PTR DS:[EAX],0E1
0095E5B0 8BC3 MOV EAX,EBX
0095E5B2 E8 FD44FEFF CALL 00942AB4
0095E5B7 A1 C0159600 MOV EAX,DWORD PTR DS:[9615C0]
0095E5BC 8B00 MOV EAX,DWORD PTR DS:[EAX]
0095E5BE E8 6560FFFF CALL 00954628
0095E5C3 A1 40169600 MOV EAX,DWORD PTR DS:[961640]
0095E5C8 C700 E3000000 MOV DWORD PTR DS:[EAX],0E3
0095E5CE EB 01 JMP SHORT 0095E5D1
0095E5D0 E8 8B45FC8B CALL 8C922B60
0095E5D5 0085 C0752B8B ADD BYTE PTR SS:[EBP+8B2B75C0],AL
0095E5DB 0D 783B9600 OR EAX,963B78
0095E5E0 85C9 TEST ECX,ECX
0095E5E2 74 0B JE SHORT 0095E5EF
0095E5E4 8B65 F8 MOV ESP,DWORD PTR SS:[EBP-8]
0095E5E7 FF35 783B9600 PUSH DWORD PTR DS:[963B78]
0095E5ED C3 RETN
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
