(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]

发表于: 2006-3-8 09:39 65682

(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]

林海雪原

2006-3-8 09:39

65682

查看主题内容

收藏・2

免费・7

支持

最新回复 (163) ◀ 1 2 3 4 5 6 7 ▶
aaaa 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	aaaa 126 楼 ding 2006-5-18 14:35 0
懒得烦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	懒得烦 127 楼我也是菜鸟~~什么时候变大虾呢~！？？我们一起加油哈~HOHO~~ 2006-5-18 18:25 0
wdxfh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wdxfh 128 楼小菜鸟来这学习咯 2006-5-18 19:45 0
pspdx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	pspdx 129 楼谢谢了！！！！ 2006-5-18 23:08 0
catacai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	catacai 130 楼学习中，我遇到个加密的，一脱就重新启动 2006-5-19 14:20 0
TeRi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	TeRi 131 楼终于可以看了。。呵呵。。多谢。 2006-5-19 16:36 0
godhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 141 粉丝 0 关注私信	godhack 132 楼一定要看看，谢谢了啊！！！ 2006-5-26 15:31 0
柳叶飞刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	柳叶飞刀 133 楼好象比较复杂，仔细看看再说。 2006-5-26 16:04 0
bjjhf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bjjhf 134 楼我也是新手，学习中。。。。。。。。。。。。 2006-7-6 16:39 0
dongfeng 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	dongfeng 135 楼软件在哪找的 2006-7-6 17:27 0
天天小妖雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	天天小妖 136 楼这个一定要看看，我有好多这种壳的软件没办法脱呢 2006-7-6 17:45 0
pdsdadao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pdsdadao 137 楼顶一下,学习. 2006-7-6 23:18 0
卡巴司机雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	卡巴司机 138 楼鼓励一下,继续努力 2006-7-7 22:15 0
lovees 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	lovees 139 楼收下了，谢谢~！~ 2006-7-8 22:25 0
fkueba 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	fkueba 140 楼希望多点这样的文章，谢谢了 2006-7-12 12:06 0
残心雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	残心 141 楼新手。学习一下。。。 2006-7-12 12:34 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 142 楼与其临渊羡鱼，不如退而结网。只是，网线在哪儿啊？：（ 2006-7-12 17:02 0
sstrong 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	sstrong 143 楼请教楼主怎样脱ASProtect 2.0x Registered 这个壳 2006-7-13 00:36 0
弗兰克雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	弗兰克 144 楼都是新手啊,学习中,thanks for sharing! 2006-7-19 10:28 0
shiyiqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	shiyiqin 145 楼看看自学难啊 2006-7-19 13:19 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 146 楼学习中, up up up 2006-7-20 20:06 0
梁小玉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	梁小玉 147 楼搞不定的一壳啊！在脱ASPr2.1壳的就遇到了不少的麻烦！现在搞这个！ 2006-7-20 20:48 0
bianqiyou 雪币： 182 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	bianqiyou 148 楼 xiexie kankan !! 2006-7-20 23:43 0
adanbr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	adanbr 149 楼 happy^^ 2006-7-21 14:20 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 150 楼多处不懂, 特虚心求教, 谢谢先... ⑴、分配二块内存，一块要足够大，看雪老大的HideOD这时有点力不从心，用其它的插件，大小是原文件code段的大小，我这是00240000；为何要这么大, 是要搜索整个 "code" sectors(原程序+ASPr壳)的全部code空间吗? HideOD's AllocMem不能用, 那到底是用哪个插件? 能否言明这片大内存是用来还原stolen-code的吗? stolen-code可以靠自几添写的程序来自动完成? 还是只能靠手工完成? ⑵、用nop填充你分到的大内存，在最后一句写上jmp XXXX，这个XXXX应是你的另一块内存地址；那块小内存写上你保存所有esi值的代码（注意：ESI-03000000+00400000才是你要的值！这个不用我多说吧？），保存好后别忘了Call 一下esi，然后retn；这是利用中途拦截法吗? Call一下esi是啥目的? 这是修改原程序码了, 那要是有自校验功能怎么突破? ⑶、现在找到基址00400000在堆栈中的位置，把它改成你的大内存的首址，我这是03000000；现在可以运行了！看见内存中一串红色的数据，心里真的很高兴！还是那句话，代码很简单，自己写！修复后的jmp表很好看：还原这个跳转表是不是不等於先前的IAT表还原, 他的内涵和IAT的内涵有相关吗? 2006-7-22 01:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

林海雪原

发帖

294

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (163) ◀ 1 2 3 4 5 6 7 ▶
aaaa 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	aaaa 126 楼 ding 2006-5-18 14:35 0
懒得烦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	懒得烦 127 楼我也是菜鸟~~什么时候变大虾呢~！？？我们一起加油哈~HOHO~~ 2006-5-18 18:25 0
wdxfh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wdxfh 128 楼小菜鸟来这学习咯 2006-5-18 19:45 0
pspdx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	pspdx 129 楼谢谢了！！！！ 2006-5-18 23:08 0
catacai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	catacai 130 楼学习中，我遇到个加密的，一脱就重新启动 2006-5-19 14:20 0
TeRi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	TeRi 131 楼终于可以看了。。呵呵。。多谢。 2006-5-19 16:36 0
godhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 141 粉丝 0 关注私信	godhack 132 楼一定要看看，谢谢了啊！！！ 2006-5-26 15:31 0
柳叶飞刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	柳叶飞刀 133 楼好象比较复杂，仔细看看再说。 2006-5-26 16:04 0
bjjhf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bjjhf 134 楼我也是新手，学习中。。。。。。。。。。。。 2006-7-6 16:39 0
dongfeng 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	dongfeng 135 楼软件在哪找的 2006-7-6 17:27 0
天天小妖雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	天天小妖 136 楼这个一定要看看，我有好多这种壳的软件没办法脱呢 2006-7-6 17:45 0
pdsdadao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pdsdadao 137 楼顶一下,学习. 2006-7-6 23:18 0
卡巴司机雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	卡巴司机 138 楼鼓励一下,继续努力 2006-7-7 22:15 0
lovees 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	lovees 139 楼收下了，谢谢~！~ 2006-7-8 22:25 0
fkueba 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	fkueba 140 楼希望多点这样的文章，谢谢了 2006-7-12 12:06 0
残心雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	残心 141 楼新手。学习一下。。。 2006-7-12 12:34 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 142 楼与其临渊羡鱼，不如退而结网。只是，网线在哪儿啊？：（ 2006-7-12 17:02 0
sstrong 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	sstrong 143 楼请教楼主怎样脱ASProtect 2.0x Registered 这个壳 2006-7-13 00:36 0
弗兰克雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	弗兰克 144 楼都是新手啊,学习中,thanks for sharing! 2006-7-19 10:28 0
shiyiqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	shiyiqin 145 楼看看自学难啊 2006-7-19 13:19 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 146 楼学习中, up up up 2006-7-20 20:06 0
梁小玉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	梁小玉 147 楼搞不定的一壳啊！在脱ASPr2.1壳的就遇到了不少的麻烦！现在搞这个！ 2006-7-20 20:48 0
bianqiyou 雪币： 182 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	bianqiyou 148 楼 xiexie kankan !! 2006-7-20 23:43 0
adanbr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	adanbr 149 楼 happy^^ 2006-7-21 14:20 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 150 楼多处不懂, 特虚心求教, 谢谢先... ⑴、分配二块内存，一块要足够大，看雪老大的HideOD这时有点力不从心，用其它的插件，大小是原文件code段的大小，我这是00240000；为何要这么大, 是要搜索整个 "code" sectors(原程序+ASPr壳)的全部code空间吗? HideOD's AllocMem不能用, 那到底是用哪个插件? 能否言明这片大内存是用来还原stolen-code的吗? stolen-code可以靠自几添写的程序来自动完成? 还是只能靠手工完成? ⑵、用nop填充你分到的大内存，在最后一句写上jmp XXXX，这个XXXX应是你的另一块内存地址；那块小内存写上你保存所有esi值的代码（注意：ESI-03000000+00400000才是你要的值！这个不用我多说吧？），保存好后别忘了Call 一下esi，然后retn；这是利用中途拦截法吗? Call一下esi是啥目的? 这是修改原程序码了, 那要是有自校验功能怎么突破? ⑶、现在找到基址00400000在堆栈中的位置，把它改成你的大内存的首址，我这是03000000；现在可以运行了！看见内存中一串红色的数据，心里真的很高兴！还是那句话，代码很简单，自己写！修复后的jmp表很好看：还原这个跳转表是不是不等於先前的IAT表还原, 他的内涵和IAT的内涵有相关吗? 2006-7-22 01:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复