(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]

发表于: 2006-3-8 09:39 65695

(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]

林海雪原

2006-3-8 09:39

65695

查看主题内容

收藏・2

免费・7

支持

最新回复 (163) ◀ 1 2 3 4 5 6 7 ▶
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 51 楼学习了，辛苦啦 2006-3-15 12:53 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 52 楼学习。 2006-3-15 13:06 0
leekeen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	leekeen 53 楼先顶后学了！ 2006-3-17 04:47 0
ambrose 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ambrose 54 楼学习中。。。。。谢谢。 2006-3-17 15:04 0
max 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	max 55 楼谢谢！学习中！ 2006-3-17 15:11 0
cyril 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	cyril 56 楼谢谢。。受益了。。 2006-3-17 17:07 0
archy 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 93 粉丝 0 关注私信	archy 57 楼周末，学习中。。。 2006-3-18 08:54 0
strawberry 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	strawberry 58 楼 i am newbie so i wana see. 2006-3-18 15:46 0
ppgao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ppgao 59 楼这是个计算机的天堂，真是不错，我是新来的。以后要多多来这学习。 2006-3-18 21:36 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 60 楼谢谢，学习中... 2006-3-21 00:30 0
lianghan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lianghan 61 楼支持!!!!!!!!!! 2006-3-21 10:15 0
freeia 雪币： 226 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 33 粉丝 1 关注私信	freeia 62 楼谢谢好文。楼主有联系方式吗？我发一个软件你破解试试看 2006-3-21 11:43 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 63 楼 QQ太烦了,打广诰的老加你..删了邮箱早被雨淋烂了..手机没费了(工资底,交不起).. 2006-3-21 13:59 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 64 楼避开，IAT加密？指的是不让aspr 把call [IAT]改成call xxxxxx? 2006-3-21 14:15 0
dfwangwei 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	dfwangwei 65 楼 key xuexi 2006-3-22 10:46 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 66 楼在cmp esi，eax下断，想看一下四种情况为何！但每次iat表仅仅展开少部分就报错了！！！！不知道何解！！！ 2006-3-25 16:12 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 67 楼凑个热闹，这里人多。 2006-3-25 19:21 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 68 楼最初由 Isaiah* 发布* 避开，IAT加密？指的是不让aspr 把call [IAT]改成call xxxxxx? 也许表达不准,我是说尽量解出所有API之意.. 2006-3-25 19:23 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 69 楼最初由 killalarm* 发布* 在cmp esi，eax下断，想看一下四种情况为何！但每次iat表仅仅展开少部分就报错了！！！！不知道何解！！！在这里,有2种时候不报错:1,什么也不做,只是F4看看;2,esi的值修改正确了. 报错的情况,我只见过一种,就是把esi的值修改错了..i 不知你是那种?其实shoooo大侠写的详尽多了. 2006-3-25 19:30 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 70 楼好文，支持下！ 2006-3-26 16:31 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 71 楼最初由林海雪原* 发布* 报错的情况,我只见过一种,就是把esi的值修改错了..i 不知你是那种?其实shoooo大侠写的详尽多了. 果然是因为下断点出现异常，如果直接使用F4跑的话，没有出现异常！非常感谢！能不能把dump说的清楚的，就是不进行恢复代码的dump。是不是将所有的内存段都dump下来！？对于菜鸟第一次脱这种壳，还希望您能把教程写的更详细点，这样既能为我们这些菜鸟节约一些到处找教程的烦恼！也能使您的教程更具有傻瓜性！不过好是得再次感谢大虾的诲人不倦啊！ 2006-3-27 10:25 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 72 楼果然是强壳又遇到新问题！打补丁方面的！林海大虾能不能提供完整的patch代码！教程中的代码……处我无法看懂！可能是我太菜！但文章绝对是片好文加强文！ 2006-3-27 17:50 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 73 楼最初由 killalarm* 发布* 果然是强壳又遇到新问题！打补丁方面的！林海大虾能不能提供完整的patch代码！教程中的代码……处我无法看懂！可能是我太菜！但文章绝对是片好文加强文！关于dump ,z我没有做,走到伪oep之后,所有要访问的段都要吧? 哪一处patch? 2006-3-28 09:11 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 74 楼你好，我刚研究这方面的知识。那天碰到一个同样的壳，参照你的做法，但我这边这个壳明显参数设置要简单得多，1、好象函数没加密，2、OEP根据你提供的特征码好象很轻易的就找到了，3、我通过完整dump出来（用OD和LoadPE都进行dump了），再用ImportRec修复，只有一处无效，根据文章里面的研究，应该是GetProcAdress这个函数，手动修复。但是，后面程序无法运行，再用OD载入，发现入口处根本就不对。第一句话指向位置就不对，下面信息框提示某地址=[????]。。。请问这是什么原因？我又同理对记事本进行加壳，没设置任何参数及设置check sum参数（一个异常25次左右，一个异常32次左右），结果和这个都差不多，请问这是由于dump的关系还是需要syscom说的route check？谢谢啊。几天时间，从这儿从无到有，不容易啊！ 2006-3-28 09:23 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 75 楼最初由 lidou* 发布* ......3、我通过完整dump出来（用OD和LoadPE都进行dump了），再用ImportRec修复，只有一处无效，根据文章里面的研究，应该是GetProcAdress这个函数，手动修复。但是，后面程序无法运行，再用OD载入，发现入口处根本就不对。第一句话指向位置就不对，下面信息框提示某地址=[????]。。。请问这是什么原因？我又同理对记事本进行加壳，没设置任何参数及设置check sum参数（一个异常25次左右，一个异常32次左右），结果和这个都差不多，请问这是由于dump的关系还是需要syscom说的route check？谢谢啊。几天时间，从这儿从无到有，不容易啊！你没有dump它的VM区段!哪个"某地址=[????]。。。"应就在某VM中了,dump 所有要访问的段都要吧! 贴上你的OEP看看? 2006-3-28 09:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

林海雪原

发帖

294

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (163) ◀ 1 2 3 4 5 6 7 ▶
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 51 楼学习了，辛苦啦 2006-3-15 12:53 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 52 楼学习。 2006-3-15 13:06 0
leekeen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	leekeen 53 楼先顶后学了！ 2006-3-17 04:47 0
ambrose 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ambrose 54 楼学习中。。。。。谢谢。 2006-3-17 15:04 0
max 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	max 55 楼谢谢！学习中！ 2006-3-17 15:11 0
cyril 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	cyril 56 楼谢谢。。受益了。。 2006-3-17 17:07 0
archy 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 93 粉丝 0 关注私信	archy 57 楼周末，学习中。。。 2006-3-18 08:54 0
strawberry 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	strawberry 58 楼 i am newbie so i wana see. 2006-3-18 15:46 0
ppgao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ppgao 59 楼这是个计算机的天堂，真是不错，我是新来的。以后要多多来这学习。 2006-3-18 21:36 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 60 楼谢谢，学习中... 2006-3-21 00:30 0
lianghan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lianghan 61 楼支持!!!!!!!!!! 2006-3-21 10:15 0
freeia 雪币： 226 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 33 粉丝 1 关注私信	freeia 62 楼谢谢好文。楼主有联系方式吗？我发一个软件你破解试试看 2006-3-21 11:43 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 63 楼 QQ太烦了,打广诰的老加你..删了邮箱早被雨淋烂了..手机没费了(工资底,交不起).. 2006-3-21 13:59 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 64 楼避开，IAT加密？指的是不让aspr 把call [IAT]改成call xxxxxx? 2006-3-21 14:15 0
dfwangwei 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	dfwangwei 65 楼 key xuexi 2006-3-22 10:46 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 66 楼在cmp esi，eax下断，想看一下四种情况为何！但每次iat表仅仅展开少部分就报错了！！！！不知道何解！！！ 2006-3-25 16:12 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 67 楼凑个热闹，这里人多。 2006-3-25 19:21 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 68 楼最初由 Isaiah* 发布* 避开，IAT加密？指的是不让aspr 把call [IAT]改成call xxxxxx? 也许表达不准,我是说尽量解出所有API之意.. 2006-3-25 19:23 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 69 楼最初由 killalarm* 发布* 在cmp esi，eax下断，想看一下四种情况为何！但每次iat表仅仅展开少部分就报错了！！！！不知道何解！！！在这里,有2种时候不报错:1,什么也不做,只是F4看看;2,esi的值修改正确了. 报错的情况,我只见过一种,就是把esi的值修改错了..i 不知你是那种?其实shoooo大侠写的详尽多了. 2006-3-25 19:30 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 70 楼好文，支持下！ 2006-3-26 16:31 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 71 楼最初由林海雪原* 发布* 报错的情况,我只见过一种,就是把esi的值修改错了..i 不知你是那种?其实shoooo大侠写的详尽多了. 果然是因为下断点出现异常，如果直接使用F4跑的话，没有出现异常！非常感谢！能不能把dump说的清楚的，就是不进行恢复代码的dump。是不是将所有的内存段都dump下来！？对于菜鸟第一次脱这种壳，还希望您能把教程写的更详细点，这样既能为我们这些菜鸟节约一些到处找教程的烦恼！也能使您的教程更具有傻瓜性！不过好是得再次感谢大虾的诲人不倦啊！ 2006-3-27 10:25 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 72 楼果然是强壳又遇到新问题！打补丁方面的！林海大虾能不能提供完整的patch代码！教程中的代码……处我无法看懂！可能是我太菜！但文章绝对是片好文加强文！ 2006-3-27 17:50 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 73 楼最初由 killalarm* 发布* 果然是强壳又遇到新问题！打补丁方面的！林海大虾能不能提供完整的patch代码！教程中的代码……处我无法看懂！可能是我太菜！但文章绝对是片好文加强文！关于dump ,z我没有做,走到伪oep之后,所有要访问的段都要吧? 哪一处patch? 2006-3-28 09:11 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 74 楼你好，我刚研究这方面的知识。那天碰到一个同样的壳，参照你的做法，但我这边这个壳明显参数设置要简单得多，1、好象函数没加密，2、OEP根据你提供的特征码好象很轻易的就找到了，3、我通过完整dump出来（用OD和LoadPE都进行dump了），再用ImportRec修复，只有一处无效，根据文章里面的研究，应该是GetProcAdress这个函数，手动修复。但是，后面程序无法运行，再用OD载入，发现入口处根本就不对。第一句话指向位置就不对，下面信息框提示某地址=[????]。。。请问这是什么原因？我又同理对记事本进行加壳，没设置任何参数及设置check sum参数（一个异常25次左右，一个异常32次左右），结果和这个都差不多，请问这是由于dump的关系还是需要syscom说的route check？谢谢啊。几天时间，从这儿从无到有，不容易啊！ 2006-3-28 09:23 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 75 楼最初由 lidou* 发布* ......3、我通过完整dump出来（用OD和LoadPE都进行dump了），再用ImportRec修复，只有一处无效，根据文章里面的研究，应该是GetProcAdress这个函数，手动修复。但是，后面程序无法运行，再用OD载入，发现入口处根本就不对。第一句话指向位置就不对，下面信息框提示某地址=[????]。。。请问这是什么原因？我又同理对记事本进行加壳，没设置任何参数及设置check sum参数（一个异常25次左右，一个异常32次左右），结果和这个都差不多，请问这是由于dump的关系还是需要syscom说的route check？谢谢啊。几天时间，从这儿从无到有，不容易啊！你没有dump它的VM区段!哪个"某地址=[????]。。。"应就在某VM中了,dump 所有要访问的段都要吧! 贴上你的OEP看看? 2006-3-28 09:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复