首页
社区
课程
招聘
[原创]自创手脱ASProtect v1.23 RC1 *(内附视频)
发表于: 2016-2-10 13:16 11674

[原创]自创手脱ASProtect v1.23 RC1 *(内附视频)

2016-2-10 13:16
11674
看雪论坛的朋友们新年快乐 


分析核心算法,花费了几天,开始没电脑在网吧脱。。。在网吧。。。这感觉你们去体验体验,我现在想想也是有点66666666 ,周围的LOLER时不时往我显示器看,那个网管往我这转了几次,心里想着只要他问我:我就发誓绝没攻击网吧,也没弄收费系统)。

我想也肯定没人愿意在大过年的脱壳  ,但是没办法 早解决早轻松。

-------------------------------------------------
用PEID查壳为:


在网上查找的文章以及工具似乎都不适用此壳,遂只能手动脱壳。

一.脱壳
拖入OD脱壳:
入口:


我们需要F7(F8会导致程序卡死)单步至地址006CD014


此时CTRL+B搜索FF95 FF030000 68 00000000 C3并选中地址006CD2D5 按F4+F8:


到达此处:


往下拉 并选中地址0073A0FB 按F2+F9 再F8单步出此函数:


到达此处:


此时CTRL+B搜索B8 01000000C2 0C00 68 00000000 C3并选中地址0073A5D1 按F4+F8:


到达此处:


此时CTRL+B搜索8B45 08 E8 AAFDFFFF并选中地址00722C96 按F2+F9。F9按8次 再取消断点: 
注:第6次才会在数据窗口出现导入表函数。


此时CTRL+B搜索FF35 D4347300 E8 01000000并选中地址0072620C 按F2+F9 并取消断点,F7单步进CALL:


此时3次F8再F7:


一直F7至此处:


往下拉,选中地址00724EE7 按F2+F9 取消断点 再F8+F7:


到达此处:


一直F7至地址01120000(或注意右边滚动条在最上方) :


往下拉 选中地址01120089 按F2+F9。F9按10次 (或注意寄存器窗口EDX=FFFFFFD8
再取消断点:


一直F7至地址0042CDB0处 选中DUMP之:


双击已脱壳程序正常运行 拖入PEID查看:


至此由ASProtect v1.23 RC1 * 加壳程序已被脱壳成功。
PS:你们可以自己单步试试

二.算法:

将已脱壳程序拖入OD,右键-查找-所有参考文本   发现可疑字符串:


选中任意一个回车 它们都调用一个函数 :


我们选取一个地址00406592 并用IDA查找+F5  原来是CPrArray类的一个成员函数:


往下分析 应该此即为关键算法了:


三.总结:
算法就是从注册表[Software\\Microsoft\\Internet Explorer\\TypedURLs]目录下开始遍历并对比网址取出帐号名及密码。

帖子在网吧发的。。。。。。。。。没人愿意在过年给我牵网线吧。

完。

-------------------------------

http://pan.baidu.com/s/1W6P8U 密码:f5mc

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (17)
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
2
轻飘飘的拿个一楼
2016-2-10 13:17
0
雪    币: 23
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
谢谢lz,如果能解释为什么需要这样去操作就更好了
2016-2-10 14:19
0
雪    币: 15965
活跃值: (4167)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习了,很详细
2016-2-10 23:10
0
雪    币: 284
活跃值: (250)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
一切尽在不言中。。我佛
2016-2-11 00:34
0
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
6
被反调试吊打数十次得出来的经验。 反正你想着要到入口点 看esp是否相等  熟知各种编程语言入口点  
像这个是C++ 会有getvesion....  getcommand....
2016-2-11 12:23
0
雪    币: 129
活跃值: (333)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
xed
7
v c和e语言第一个函数就是getversion。vc 6版本。
再也不用担心我的注册机啦。
楼主下了功夫。都总结出特征码了。
2016-2-12 05:15
0
雪    币: 190
活跃值: (12)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
灰常感谢卤煮, 学习。。。
2016-2-12 06:51
0
雪    币: 62
活跃值: (971)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
脱壳用特征码还不如用api断点,或者直接F9运行倒着看堆栈找OEP
2016-2-12 10:12
0
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
10
我当时遇到一点问题没弄出来  就强行了  可能方法不对  你试了可以? 
2016-2-12 12:01
0
雪    币: 62
活跃值: (971)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
当然是可以的
2016-2-12 14:29
0
雪    币: 1
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
楼主强大,我试验了一下,为什么搜不到特征码
2016-2-17 14:58
0
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
13
地点不对呗 它是一步步解密 你可能有提前或后面了些去搜 当然搜不到
2016-2-23 14:20
0
雪    币: 27
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
很棒的教程
2016-2-24 16:36
0
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
15
感谢支持
2016-2-24 16:41
0
雪    币: 33
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
呵呵  赞一个  谢谢分享
2016-2-25 14:57
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
单看这些截图,就知道下了功夫,顶一个!
2016-2-29 00:48
0
雪    币: 854
活跃值: (69)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
倒过来看,分分钟拖出来
最后于 2018-7-14 16:27 被wx_clay编辑 ,原因:
2018-7-14 16:26
0
游客
登录 | 注册 方可回帖
返回
//