-
-
[原创]自创手脱ASProtect v1.23 RC1 *(内附视频)
-
发表于:
2016-2-10 13:16
11674
-
[原创]自创手脱ASProtect v1.23 RC1 *(内附视频)
看雪论坛的朋友们新年快乐
分析核心算法,花费了几天,开始没电脑在网吧脱。。。在网吧。。。这感觉你们去体验体验,我现在想想也是有点66666666 ,周围的LOLER时不时往我显示器看,那个网管往我这转了几次,心里想着只要他问我:我就发誓绝没攻击网吧,也没弄收费系统)。
我想也肯定没人愿意在大过年的脱壳 ,但是没办法 早解决早轻松。
-------------------------------------------------
用PEID查壳为:
在网上查找的文章以及工具似乎都不适用此壳,遂只能手动脱壳。
一.脱壳
拖入OD脱壳:
入口:
我们需要F7(F8会导致程序卡死)单步至地址
006CD014:
此时CTRL+B搜索
FF95 FF030000 68 00000000 C3并选中地址
006CD2D5 按F4+F8:
到达此处:
往下拉 并选中地址
0073A0FB 按F2+F9 再F8单步出此函数:
到达此处:
此时CTRL+B搜索
B8 01000000C2 0C00 68 00000000 C3并选中地址
0073A5D1 按F4+F8:
到达此处:
此时CTRL+B搜索
8B45 08 E8 AAFDFFFF并选中地址
00722C96 按F2+F9。F9按8次 再取消断点:
注:第6次才会在数据窗口出现导入表函数。
此时CTRL+B搜索
FF35 D4347300 E8 01000000并选中地址
0072620C 按F2+F9 并取消断点,F7单步进CALL:
此时3次F8再F7:
一直F7至此处:
往下拉,选中地址00724EE7 按F2+F9 取消断点 再F8+F7:
到达此处:
一直F7至地址
01120000(或注意右边滚动条在最上方) :
往下拉 选中地址
01120089 按F2+F9。F9按10次 (或注意寄存器窗口
EDX=FFFFFFD8)
再取消断点:
一直F7至地址
0042CDB0处 选中DUMP之:
双击已脱壳程序正常运行 拖入PEID查看:
至此由ASProtect v1.23 RC1 * 加壳程序已被脱壳成功。
PS:你们可以自己单步试试
二.算法:
将已脱壳程序拖入OD,右键-查找-所有参考文本 发现可疑字符串:
选中任意一个回车 它们都调用一个函数 :
我们选取一个地址
00406592 并用IDA查找+F5 原来是CPrArray类的一个成员函数:
往下分析 应该此即为关键算法了:
三.总结:
算法就是从注册表[Software\\Microsoft\\Internet Explorer\\TypedURLs]目录下开始遍历并对比网址取出帐号名及密码。
帖子在网吧发的。。。。。。。。。没人愿意在过年给我牵网线吧。
完。
-------------------------------
http://pan.baidu.com/s/1W6P8U 密码:
f5mc
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课