-
-
[原创]自创手脱ASProtect v1.23 RC1 *(内附视频)
-
发表于: 2016-2-10 13:16
-
看雪论坛的朋友们新年快乐
分析核心算法,花费了几天,开始没电脑在网吧脱。。。在网吧。。。这感觉你们去体验体验,我现在想想也是有点66666666 ,周围的LOLER时不时往我显示器看,那个网管往我这转了几次,心里想着只要他问我:我就发誓绝没攻击网吧,也没弄收费系统)。
我想也肯定没人愿意在大过年的脱壳 ,但是没办法 早解决早轻松。
-------------------------------------------------
用PEID查壳为:
在网上查找的文章以及工具似乎都不适用此壳,遂只能手动脱壳。
一.脱壳
拖入OD脱壳:
入口:
我们需要F7(F8会导致程序卡死)单步至地址006CD014:
此时CTRL+B搜索FF95 FF030000 68 00000000 C3并选中地址006CD2D5 按F4+F8:
到达此处:
往下拉 并选中地址0073A0FB 按F2+F9 再F8单步出此函数:
到达此处:
此时CTRL+B搜索B8 01000000C2 0C00 68 00000000 C3并选中地址0073A5D1 按F4+F8:
到达此处:
此时CTRL+B搜索8B45 08 E8 AAFDFFFF并选中地址00722C96 按F2+F9。F9按8次 再取消断点:
注:第6次才会在数据窗口出现导入表函数。
此时CTRL+B搜索FF35 D4347300 E8 01000000并选中地址0072620C 按F2+F9 并取消断点,F7单步进CALL:
此时3次F8再F7:
一直F7至此处:
往下拉,选中地址00724EE7 按F2+F9 取消断点 再F8+F7:
到达此处:
一直F7至地址01120000(或注意右边滚动条在最上方) :
往下拉 选中地址01120089 按F2+F9。F9按10次 (或注意寄存器窗口EDX=FFFFFFD8)
再取消断点:
一直F7至地址0042CDB0处 选中DUMP之:
双击已脱壳程序正常运行 拖入PEID查看:
至此由ASProtect v1.23 RC1 * 加壳程序已被脱壳成功。
PS:你们可以自己单步试试
二.算法:
将已脱壳程序拖入OD,右键-查找-所有参考文本 发现可疑字符串:
选中任意一个回车 它们都调用一个函数 :
我们选取一个地址00406592 并用IDA查找+F5 原来是CPrArray类的一个成员函数:
往下分析 应该此即为关键算法了:
三.总结:
算法就是从注册表[Software\\Microsoft\\Internet Explorer\\TypedURLs]目录下开始遍历并对比网址取出帐号名及密码。
帖子在网吧发的。。。。。。。。。没人愿意在过年给我牵网线吧。
完。
-------------------------------
http://pan.baidu.com/s/1W6P8U 密码:f5mc
分析核心算法,花费了几天,开始没电脑在网吧脱。。。在网吧。。。这感觉你们去体验体验,我现在想想也是有点66666666 ,周围的LOLER时不时往我显示器看,那个网管往我这转了几次,心里想着只要他问我:我就发誓绝没攻击网吧,也没弄收费系统)。
我想也肯定没人愿意在大过年的脱壳 ,但是没办法 早解决早轻松。
-------------------------------------------------
用PEID查壳为:
在网上查找的文章以及工具似乎都不适用此壳,遂只能手动脱壳。
一.脱壳
拖入OD脱壳:
入口:
我们需要F7(F8会导致程序卡死)单步至地址006CD014:
此时CTRL+B搜索FF95 FF030000 68 00000000 C3并选中地址006CD2D5 按F4+F8:
到达此处:
往下拉 并选中地址0073A0FB 按F2+F9 再F8单步出此函数:
到达此处:
此时CTRL+B搜索B8 01000000C2 0C00 68 00000000 C3并选中地址0073A5D1 按F4+F8:
到达此处:
此时CTRL+B搜索8B45 08 E8 AAFDFFFF并选中地址00722C96 按F2+F9。F9按8次 再取消断点:
注:第6次才会在数据窗口出现导入表函数。
此时CTRL+B搜索FF35 D4347300 E8 01000000并选中地址0072620C 按F2+F9 并取消断点,F7单步进CALL:
此时3次F8再F7:
一直F7至此处:
往下拉,选中地址00724EE7 按F2+F9 取消断点 再F8+F7:
到达此处:
一直F7至地址01120000(或注意右边滚动条在最上方) :
往下拉 选中地址01120089 按F2+F9。F9按10次 (或注意寄存器窗口EDX=FFFFFFD8)
再取消断点:
一直F7至地址0042CDB0处 选中DUMP之:
双击已脱壳程序正常运行 拖入PEID查看:
至此由ASProtect v1.23 RC1 * 加壳程序已被脱壳成功。
PS:你们可以自己单步试试
二.算法:
将已脱壳程序拖入OD,右键-查找-所有参考文本 发现可疑字符串:
选中任意一个回车 它们都调用一个函数 :
我们选取一个地址00406592 并用IDA查找+F5 原来是CPrArray类的一个成员函数:
往下分析 应该此即为关键算法了:
三.总结:
算法就是从注册表[Software\\Microsoft\\Internet Explorer\\TypedURLs]目录下开始遍历并对比网址取出帐号名及密码。
帖子在网吧发的。。。。。。。。。没人愿意在过年给我牵网线吧。
完。
-------------------------------
http://pan.baidu.com/s/1W6P8U 密码:f5mc
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
轻飘飘的拿个一楼
|
|
|
谢谢lz,如果能解释为什么需要这样去操作就更好了
|
|
|
|
|
|
|
|
|
被反调试吊打数十次得出来的经验。 反正你想着要到入口点 看esp是否相等 熟知各种编程语言入口点
像这个是C++ 会有getvesion.... getcommand.... 
|
|
|
|
|
|
|
|
|
|
|
|
我当时遇到一点问题没弄出来 就强行了 可能方法不对 你试了可以?
|
|
|
当然是可以的
|
|
|
|
|
|
|
|
|
|
|
|
感谢支持
|
|
|
呵呵 赞一个 谢谢分享
|
|
|
|
|
|
|
