首页
社区
课程
招聘
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code
发表于: 2005-12-11 10:00 27062

[原创]ASProtect 2.1x SKE + Delphi + Stolen Code

2005-12-11 10:00
27062
收藏
免费 7
支持
分享
最新回复 (52)
雪    币: 280
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
26
最初由 wwwddd 发布


你在run到这一行(00BD77BE)的时候搜索:

00BD77BE--RETN <==== 返回到 00EA02CD => OEP 檫始


郁闷中!我怎么也找不到00BD77BE,哎!太难了,脑袋都冒烟了
2006-1-6 21:15
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
最初由 thdzhqg 发布




郁闷中!我怎么也找不到00BD77BE,哎!太难了,脑袋都冒烟了


这个返回点的运行地址不是固定的,几乎每次运行都不一样。你可以用ctrl+f9 一下走到这里。
2006-1-7 00:56
0
雪    币: 217
活跃值: (61)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
28
本帖的附件,我这里od载入在这里:
00E802CD >  55              push ebp
00E802CE    E9 4F090000     jmp XP1_DUMP.00E80C22
00E802D3    A3 18B75400     mov dword ptr ds:[54B718],eax
00E802D8    03C3            add eax,ebx
00E802DA    8D444B 62       lea eax,dword ptr ds:[ebx+ecx*2+62]
00E802DE    8D8427 18B75400 lea eax,dword ptr ds:[edi+54B718]
00E802E5    64:EB 02        jmp short XP1_DUMP.00E802EA
00E802E8    CD20 2BC78B00   vxdjump 8BC72B
00E802EE    A3 94505400     mov dword ptr ds:[545094],eax
00E802F3    33C0            xor eax,eax
00E802F5    A3 98505400     mov dword ptr ds:[545098],eax

看起来怪怪的,是不是有问题啊
按照此文章根本一点都不对,请指教
你们od载入后是停在这里吗
2006-1-19 21:39
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
最初由 chasgone 发布
本帖的附件,我这里od载入在这里:
00E802CD > 55 push ebp
00E802CE E9 4F090000 jmp XP1_DUMP.00E80C22
00E802D3 A3 18B75400 mov dword ptr ds:[54B718],eax
00E802D8 03C3 add eax,ebx
........


附件中的这个 XP1_DUMP 是已经脱壳的了,如要测试需下载原版软件。
2006-1-20 13:10
0
雪    币: 279
活跃值: (145)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
30
最初由 wwwddd 发布


附件中的这个 XP1_DUMP 是已经脱壳的了,如要测试需下载原版软件。

已经升级了
2006-1-22 20:52
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
nsd
31
学习中。。。。。。。。。。。。。。。。。。。。。。55555
2006-1-24 16:09
0
雪    币: 10
活跃值: (130)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
32
谁还有这个3.5.8版?现在去主页上是3.5.10,竟然没有抛出任何异常?!
还有,
00BE7097--B8 00070000  MOV EAX,700   修改 ==>JMP 0054B060(?得API返回 Patch)

这个 0054B060 怎么来的?那一大片地方是怎么找的?随便找一片是 0000 的地方恐怕不行吧?
2006-2-19 21:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
能不能提供原版下载,网站上的程序已更新,并且查不出什么壳.
2006-2-22 14:46
0
雪    币: 242
活跃值: (163)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
34
刚巧学了下,用不着的,自己压一个记事本就好了,我这顺当就到了oep
,这patch还真不错呢!
2006-2-22 16:34
0
雪    币: 125
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
请教高手
在Patch Code当中

0054B021--81FB 0000EA00   CMP EBX,0EA0000               ;是否 ASPR 解瘁位址??   
这里的0EA0000是什么意思?是CALL 00EA0000这样的吗?
还有
0054B03C--81FB 08D25400   CMP EBX,MultiTra.0054D208     ;是否在原?IAT位址惯?
0054B044--81FB 08E25400   CMP EBX,MultiTra.0054E208   
这两个地址是怎么来的
我是一个菜鸟,希望高手指点,谢谢
2006-3-23 00:40
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
36
最初由 freecat 发布
南蛮妈妈的test.exe
00DEFBF5 E8 1A30FDFF CALL 00DC2C14
00DEFBFA E8 B5D0FFFF CALL 00DECCB4
00DEFBFF 83C4 2C ADD ESP, 2C
00DEFC02 5D POP EBP
........


我也是这个问题,下了硬件断点,断不下。
用F2下断,一跑直接OVER。
哪位大侠说说。乍办。
2006-3-23 16:25
0
雪    币: 242
活跃值: (163)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
37
只要走到最后一次异常就好了
2006-3-23 16:55
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
38
最初由 林海雪原 发布
只要走到最后一次异常就好了


下完硬断后,再走完最后一次异常就可以断下来?
还是走到最后一次再下硬断?
2006-3-23 17:41
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
39
两种情况都试过了,没效果,都断不下来
2006-3-23 19:28
0
雪    币: 125
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
请教高手
(11) ?行 LordPE ,啉定 MultiTranse.exe 按右 key Mouse,
     啉 dump region 取出 Stolen Code ?段,忽略?用模? API VM,
     取出必?的 M1-M3 Stolen Code VM ?段 ,及 OEP ?段

VM Address          Size
===========================
00BC0000           33000    <-ASProtect 解密 CODE ?段
00C40000            4000    <-ASProtect 儋料 DATA ?段
00EA0000            3000    <-OEP  Stolen Code
00F00000            1000    <-M1   Stolen Code
00F10000            1000    <-M1   Stolen Code
00F20000            1000    <-M2   Stolen Code
00F30000            1000    <-M2   Stolen Code
00F40000            1000    <-M2   Stolen Code  
00F50000            1000    <-M3   Stolen Code
00F60000            1000    <-M3   Stolen Code   
===========================
这里每个段是怎么确定的,谢谢~~~
2006-3-24 00:46
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
41
关注一下。。。。。。
2006-3-24 23:38
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
42
最初由 hermit 发布
谁还有这个3.5.8版?现在去主页上是3.5.10,竟然没有抛出任何异常?!
还有,
00BE7097--B8 00070000 MOV EAX,700 修改 ==>JMP 0054B060(?得API返回 Patch)


........


现在去主页上是 3.7.1

PATCH CODE ,胗便找一?,空白的就可以了...
2006-3-25 00:35
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
43
最初由 松松 发布
我也是这个问题,下了硬件断点,断不下。
用F2下断,一跑直接OVER。
哪位大侠说说。乍办。


OEP 的找法,可以?考呃篇,很多人?咿了...

你可以先呃?例子,??看看

http://bbs.pediy.com/showthread.php?threadid=22639
2006-3-25 00:38
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
44
最初由 Macinsh 发布
请教高手
在Patch Code当中

0054B021--81FB 0000EA00 CMP EBX,0EA0000 ;是否 ASPR 解瘁位址??
这里的0EA0000是什么意思?是CALL 00EA0000这样的吗?
........


(1) ?邋,就是找 CALL 00EA0000

(2) 那 2 ?位址,就是 IAT 的 檫始,和劫束位址....
2006-3-25 00:45
0
雪    币: 125
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
感谢 syscom 的耐心解答,那里我明白了,另外再请问下

VM Address          Size
===========================
00BC0000           33000    <-ASProtect 解密 CODE ?段
00C40000            4000    <-ASProtect 儋料 DATA ?段
00EA0000            3000    <-OEP  Stolen Code
00F00000            1000    <-M1   Stolen Code
00F10000            1000    <-M1   Stolen Code
00F20000            1000    <-M2   Stolen Code
00F30000            1000    <-M2   Stolen Code
00F40000            1000    <-M2   Stolen Code  
00F50000            1000    <-M3   Stolen Code
00F60000            1000    <-M3   Stolen Code   
===========================
这些段是怎么判断出来的呢?有那么多段的
2006-3-27 23:31
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
46
最初由 syscom 发布
OEP 的找法,可以?考呃篇,很多人?咿了...

你可以先呃?例子,??看看


........

感谢。总算知道怎么做了。
OK,开始脱壳之旅。。
2006-3-27 23:59
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
47
那patch code中的
地址,需要自已手动定位的
是哪几个??
2006-3-28 16:44
0
雪    币: 221
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
48
天天来看,继续学习
2006-3-29 14:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
不知道vc++的patch 在什么的方?
2006-4-11 06:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
3.7.1版本试了几次,可是没有成功 .用ollydbg 载入MultiTranse.exe ,按 ALT+O 设置异常 Memory Access Violation。
    按 F9  ,就断在7C81EB33  POP ,ESI  这里  接下来就不知道该怎么做了
. 我想用3.5.8照着试试,可是网上没的下了.我的邮件是:wujie20@peoplemail.com.cn,QQ121198686,  非常感谢有3.5.8版本的先辈能给我一学习的机会,小弟谢过~!~
2006-4-15 11:54
0
游客
登录 | 注册 方可回帖
返回
//