[原创]手脱ASProtect 2.1壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]手脱ASProtect 2.1壳

2006-4-6 10:35 20984

[原创]手脱ASProtect 2.1壳

linex

2006-4-6 10:35

20984

查看主题内容

收藏・1

点赞・7

打赏

最新回复 (75) ◀ 1 2 3 4 ▶
shijunbaoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	shijunbaoo 2006-4-11 16:34 26 楼 0 新人问题：1、stolen code 跟IAT加密是什么关系？ 2、怎样判断是否stolen code?
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-11 17:18 27 楼 0 1.stolen code 跟IAT加密没有什么关系吧,可以单独加stolen code,也可以单独IAT加密,也可以一起加,好像IAT加密比较容易一些. 2.主要还是靠经验吧,一般的程序头部都有一些明显特征.另外如果按我找OEP的方法在CODE下断找不到OEP很有可能就是stolen code了.
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-11 21:07 28 楼 0 最初由 linex* 发布* OEP被偷了吧 ...那该怎么办，有类似的参考文章看吗或是你有什么方法吗？
eyesonly 雪币： 247 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 262 粉丝 0 关注私信	eyesonly 2006-4-11 21:15 29 楼 0 支持，学习一下
shonker 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	shonker 2006-4-12 02:53 30 楼 0 学习了``的确是好东西
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-12 05:19 31 楼 0 能问两个很菜的问题吗？ 1.怎么判断iat是否是加密的. 2.esi中的4个值是怎么跟踪找到的，是不是所有的都是BA、88、91这三个值.
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-12 08:00 32 楼 0 1.请仔细看教程,输入表一般是连续的,中间用000000间隔,如果出现教程中的情况就是被加密了. 004BD174 7C82BB6D kernel32.GetTickCount 004BD178 5358C7CE //这个就是加密了. 004BD17C 7C82C07F kernel32.GetVersion 004BD180 44481099 //这个也是加密了 004BD184 7C82B44F kernel32.InterlockedDecrement 2. 00E775F2 3BF0 CMP ESI,EAX //这里下断点. 00E775F4 75 5E JNZ SHORT 00E77654 00E775F6 EB 01 JMP SHORT 00E775F9 就可以跟踪了,这个程序有三个值,有的是四个值.
laomms 雪币： 560 活跃值： (309) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 7 关注私信	laomms 34 2006-4-12 10:58 33 楼 0 好文，学习+收藏
阿飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	阿飞 2006-4-12 16:24 34 楼 0 楼主，能不能做个动画啊。。我实在看不明白。。做个动画可能会更详细一些的。拜托了。。。。做好后麻烦你传一个给我: email:kmtl886@163.com
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-12 16:41 35 楼 0 我学脱壳从来没用过动画,觉得有些问题动画说不清楚,还不如脱文来得舒服,对于您的要求只能say sorry了.
阿飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	阿飞 2006-4-12 18:35 36 楼 0 用动画加文章。是最好的。。我看的动画他们都是这么做的。那样学起来简单一点。。。
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-12 20:03 37 楼 0 linex,你还回我的问题呢。。我的那个软件OEP出口该怎么找，具体步骤？（我的那个IAT表没有被改掉，那找到OEP后是不是后面的步骤会简单了吗？）
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-13 01:48 38 楼 0 最初由 linex* 发布* 1.请仔细看教程,输入表一般是连续的,中间用000000间隔,如果出现教程中的情况就是被加密了. 004BD174 7C82BB6D kernel32.GetTickCount 004BD178 5358C7CE //这个就是加密了. 004BD17C 7C82C07F kernel32.GetVersion 004BD180 44481099 //这个也是加密了 ........ 3q!
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-13 07:52 39 楼 0 最初由 xwqgsterry* 发布* linex,你还回我的问题呢。。我的那个软件OEP出口该怎么找，具体步骤？（我的那个IAT表没有被改掉，那找到OEP后是不是后面的步骤会简单了吗？）带OEP抽取的请搜索特征码,2.11的搜83,C4,2C,5D,5F,5E,5B,C3,2.22的搜 83,C4,28,5D,5F,5E,5B,C3 ,具体的请参看其他文章. IAT表没有被改掉不见得好脱,如果是VC的比DELPHI要麻烦点.
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 11:55 40 楼 0 最初由林海雪原* 发布* 以前是,当前是,以后不一定是谢谢楼主的回答。还有个问题要问。代码:-------------------------------------------------------------------------------- 00E77188 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX 00E7718B B8 00070000 MOV EAX,700 00E77190 E8 B7B3FDFF CALL 00E5254C //就这里改吧 PATCH： 00E77190 - E9 6B8E2200 JMP 010A0043 -------------------------------------------------------------------------------- 像shooo分析的那个nspack主程序，我发现并不是每一个代码变形都会经过这个地方，而且就算有的到了这个地方，但是到这个地方后edx的值也并不是iat（大部分都是iat），怎么办？
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 11:59 41 楼 0 最初由 linex* 发布* 带OEP抽取的请搜索特征码,2.11的搜83,C4,2C,5D,5F,5E,5B,C3,2.22的搜 83,C4,28,5D,5F,5E,5B,C3 ,具体的请参看其他文章. IAT表没有被改掉不见得好脱,如果是VC的比DELPHI要麻烦点. 带oep抽取的，搜索这个特征码下硬件断点，或者下其它断点都断不下来，怎么办？有什么解决办法吗
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 21 回帖 294 粉丝 0 关注私信	林海雪原 6 2006-4-13 12:02 42 楼 0 已经说过N遍了,共有2处,在后一个F4就可以了,以后不说了
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-13 14:37 43 楼 0 最初由 chasgone* 发布* 谢谢楼主的回答。还有个问题要问。像shooo分析的那个nspack主程序，我发现并不是每一个代码变形都会经过这个地方，而且就算有的到了这个地方，但是到这个地方后edx的值也并不是iat（大部分都是iat），怎么办？ VC和Delphi的IAT修复方法是不同的,Delphi的程序这个PATCH点是固定的,你可以参考看雪老大的方法来修复VC.
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 17:19 44 楼 0 谢谢你的回答，我再去试试
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 17:29 45 楼 0 最初由林海雪原* 发布* 已经说过N遍了,共有2处,在后一个F4就可以了,以后不说了不要生气，我是菜鸟，照着你说的f4，问题解决了，呵呵
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-13 20:17 46 楼 0 最初由 linex* 发布* 带OEP抽取的请搜索特征码,2.11的搜83,C4,2C,5D,5F,5E,5B,C3,2.22的搜 83,C4,28,5D,5F,5E,5B,C3 ,具体的请参看其他文章. IAT表没有被改掉不见得好脱,如果是VC的比DELPHI要麻烦点. HOHO,我又有问题拉。 1。我以前发过一个帖子，查不出壳的一个软件，高手们都说是3重壳破掉了第一重，按他们的方法，第二的他们说是ASPR2。11的。。。我用你的方法搜83,C4,2C,5D,5F,5E,5B,C3，结果老是弹出一个窗口是 “不知道如何继续进行，因为内存地址9E1C3F76处是不易读取的。。。” 而用2。22的搜83,C4,28,5D,5F,5E,5B,C3却OK，跳转正常，经过两个RTN后到了 00400808 55 push ebp 00400809 8BEC mov ebp,esp 0040080B 6A 00 push 0 0040080D 53 push ebx 0040080E 56 push esi 0040080F 33C0 xor eax,eax 00400811 55 push ebp 00400812 68 B60F4000 push 400FB6 00400817 64:FF30 push dword ptr fs:[eax] 0040081A 64:8920 mov dword ptr fs:[eax],esp 0040081D A1 B8374000 mov eax,dword ptr ds:[4037B8] 00400822 C600 D7 mov byte ptr ds:[eax],0D7 00400825 B2 01 mov dl,1 00400827 A1 ECB03E00 mov eax,dword ptr ds:[3EB0EC] 0040082C E8 17A9FEFF call 003EB148 请问这是OEP吗？？？？呵呵，SORRY，老麻烦你~~~ 附上软件下载地址http://down.52fs.com/FSmarsV2.04C.exe （此软件是原软件，未脱壳）
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-14 09:26 47 楼 0 oep代码被偷了,这里是ASPR层的OEP 00B402D4 6A 60 PUSH 60 00B402D6 E9 DF090000 JMP 00B40CBA 00B402DB 64:EB 02 JMP SHORT 00B402E0 ; 多余的前缀 00B402DE CD 20 INT 20 00B402E0 68 E4D7262C PUSH 2C26D7E4 00B402E5 66:9C PUSHFW 00B402E7 57 PUSH EDI 00B402E8 81CF BC76B20C OR EDI,0CB276BC
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-14 12:35 48 楼 0 最初由 linex* 发布* oep代码被偷了,这里是ASPR层的OEP 00B402D4 6A 60 PUSH 60 00B402D6 E9 DF090000 JMP 00B40CBA 00B402DB 64:EB 02 JMP SHORT 00B402E0 ; 多余的前缀 00B402DE CD 20 INT 20 ........ 怎么走到这里的，具体步骤，THANKS~~~
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-14 13:47 49 楼 0 搜83,C4,2C,5D,5F,5E,5B,C3,下断,Ctrl+F9,F7
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-14 16:48 50 楼 0 最初由 linex* 发布* 搜83,C4,2C,5D,5F,5E,5B,C3,下断,Ctrl+F9,F7 希望你能写个脱文，因为这是关于VC的，VC的脱文真是太少了~~~~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

linex

发帖

267

回帖

290

RANK

关注

私信

他的文章

Execryptor加壳的MultiTranse 4.1.1

[原创]Processguard 中的自校验

[原创]Nspack3.7 Cracked

[求助] 如何为脱壳的软件重新加ASPR壳

[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) ◀ 1 2 3 4 ▶
shijunbaoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	shijunbaoo 2006-4-11 16:34 26 楼 0 新人问题：1、stolen code 跟IAT加密是什么关系？ 2、怎样判断是否stolen code?
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-11 17:18 27 楼 0 1.stolen code 跟IAT加密没有什么关系吧,可以单独加stolen code,也可以单独IAT加密,也可以一起加,好像IAT加密比较容易一些. 2.主要还是靠经验吧,一般的程序头部都有一些明显特征.另外如果按我找OEP的方法在CODE下断找不到OEP很有可能就是stolen code了.
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-11 21:07 28 楼 0 最初由 linex* 发布* OEP被偷了吧 ...那该怎么办，有类似的参考文章看吗或是你有什么方法吗？
eyesonly 雪币： 247 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 262 粉丝 0 关注私信	eyesonly 2006-4-11 21:15 29 楼 0 支持，学习一下
shonker 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	shonker 2006-4-12 02:53 30 楼 0 学习了``的确是好东西
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-12 05:19 31 楼 0 能问两个很菜的问题吗？ 1.怎么判断iat是否是加密的. 2.esi中的4个值是怎么跟踪找到的，是不是所有的都是BA、88、91这三个值.
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-12 08:00 32 楼 0 1.请仔细看教程,输入表一般是连续的,中间用000000间隔,如果出现教程中的情况就是被加密了. 004BD174 7C82BB6D kernel32.GetTickCount 004BD178 5358C7CE //这个就是加密了. 004BD17C 7C82C07F kernel32.GetVersion 004BD180 44481099 //这个也是加密了 004BD184 7C82B44F kernel32.InterlockedDecrement 2. 00E775F2 3BF0 CMP ESI,EAX //这里下断点. 00E775F4 75 5E JNZ SHORT 00E77654 00E775F6 EB 01 JMP SHORT 00E775F9 就可以跟踪了,这个程序有三个值,有的是四个值.
laomms 雪币： 560 活跃值： (309) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 7 关注私信	laomms 34 2006-4-12 10:58 33 楼 0 好文，学习+收藏
阿飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	阿飞 2006-4-12 16:24 34 楼 0 楼主，能不能做个动画啊。。我实在看不明白。。做个动画可能会更详细一些的。拜托了。。。。做好后麻烦你传一个给我: email:kmtl886@163.com
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-12 16:41 35 楼 0 我学脱壳从来没用过动画,觉得有些问题动画说不清楚,还不如脱文来得舒服,对于您的要求只能say sorry了.
阿飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	阿飞 2006-4-12 18:35 36 楼 0 用动画加文章。是最好的。。我看的动画他们都是这么做的。那样学起来简单一点。。。
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-12 20:03 37 楼 0 linex,你还回我的问题呢。。我的那个软件OEP出口该怎么找，具体步骤？（我的那个IAT表没有被改掉，那找到OEP后是不是后面的步骤会简单了吗？）
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-13 01:48 38 楼 0 最初由 linex* 发布* 1.请仔细看教程,输入表一般是连续的,中间用000000间隔,如果出现教程中的情况就是被加密了. 004BD174 7C82BB6D kernel32.GetTickCount 004BD178 5358C7CE //这个就是加密了. 004BD17C 7C82C07F kernel32.GetVersion 004BD180 44481099 //这个也是加密了 ........ 3q!
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-13 07:52 39 楼 0 最初由 xwqgsterry* 发布* linex,你还回我的问题呢。。我的那个软件OEP出口该怎么找，具体步骤？（我的那个IAT表没有被改掉，那找到OEP后是不是后面的步骤会简单了吗？）带OEP抽取的请搜索特征码,2.11的搜83,C4,2C,5D,5F,5E,5B,C3,2.22的搜 83,C4,28,5D,5F,5E,5B,C3 ,具体的请参看其他文章. IAT表没有被改掉不见得好脱,如果是VC的比DELPHI要麻烦点.
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 11:55 40 楼 0 最初由林海雪原* 发布* 以前是,当前是,以后不一定是谢谢楼主的回答。还有个问题要问。代码:-------------------------------------------------------------------------------- 00E77188 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX 00E7718B B8 00070000 MOV EAX,700 00E77190 E8 B7B3FDFF CALL 00E5254C //就这里改吧 PATCH： 00E77190 - E9 6B8E2200 JMP 010A0043 -------------------------------------------------------------------------------- 像shooo分析的那个nspack主程序，我发现并不是每一个代码变形都会经过这个地方，而且就算有的到了这个地方，但是到这个地方后edx的值也并不是iat（大部分都是iat），怎么办？
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 11:59 41 楼 0 最初由 linex* 发布* 带OEP抽取的请搜索特征码,2.11的搜83,C4,2C,5D,5F,5E,5B,C3,2.22的搜 83,C4,28,5D,5F,5E,5B,C3 ,具体的请参看其他文章. IAT表没有被改掉不见得好脱,如果是VC的比DELPHI要麻烦点. 带oep抽取的，搜索这个特征码下硬件断点，或者下其它断点都断不下来，怎么办？有什么解决办法吗
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 21 回帖 294 粉丝 0 关注私信	林海雪原 6 2006-4-13 12:02 42 楼 0 已经说过N遍了,共有2处,在后一个F4就可以了,以后不说了
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-13 14:37 43 楼 0 最初由 chasgone* 发布* 谢谢楼主的回答。还有个问题要问。像shooo分析的那个nspack主程序，我发现并不是每一个代码变形都会经过这个地方，而且就算有的到了这个地方，但是到这个地方后edx的值也并不是iat（大部分都是iat），怎么办？ VC和Delphi的IAT修复方法是不同的,Delphi的程序这个PATCH点是固定的,你可以参考看雪老大的方法来修复VC.
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 17:19 44 楼 0 谢谢你的回答，我再去试试
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 2006-4-13 17:29 45 楼 0 最初由林海雪原* 发布* 已经说过N遍了,共有2处,在后一个F4就可以了,以后不说了不要生气，我是菜鸟，照着你说的f4，问题解决了，呵呵
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-13 20:17 46 楼 0 最初由 linex* 发布* 带OEP抽取的请搜索特征码,2.11的搜83,C4,2C,5D,5F,5E,5B,C3,2.22的搜 83,C4,28,5D,5F,5E,5B,C3 ,具体的请参看其他文章. IAT表没有被改掉不见得好脱,如果是VC的比DELPHI要麻烦点. HOHO,我又有问题拉。 1。我以前发过一个帖子，查不出壳的一个软件，高手们都说是3重壳破掉了第一重，按他们的方法，第二的他们说是ASPR2。11的。。。我用你的方法搜83,C4,2C,5D,5F,5E,5B,C3，结果老是弹出一个窗口是 “不知道如何继续进行，因为内存地址9E1C3F76处是不易读取的。。。” 而用2。22的搜83,C4,28,5D,5F,5E,5B,C3却OK，跳转正常，经过两个RTN后到了 00400808 55 push ebp 00400809 8BEC mov ebp,esp 0040080B 6A 00 push 0 0040080D 53 push ebx 0040080E 56 push esi 0040080F 33C0 xor eax,eax 00400811 55 push ebp 00400812 68 B60F4000 push 400FB6 00400817 64:FF30 push dword ptr fs:[eax] 0040081A 64:8920 mov dword ptr fs:[eax],esp 0040081D A1 B8374000 mov eax,dword ptr ds:[4037B8] 00400822 C600 D7 mov byte ptr ds:[eax],0D7 00400825 B2 01 mov dl,1 00400827 A1 ECB03E00 mov eax,dword ptr ds:[3EB0EC] 0040082C E8 17A9FEFF call 003EB148 请问这是OEP吗？？？？呵呵，SORRY，老麻烦你~~~ 附上软件下载地址http://down.52fs.com/FSmarsV2.04C.exe （此软件是原软件，未脱壳）
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-14 09:26 47 楼 0 oep代码被偷了,这里是ASPR层的OEP 00B402D4 6A 60 PUSH 60 00B402D6 E9 DF090000 JMP 00B40CBA 00B402DB 64:EB 02 JMP SHORT 00B402E0 ; 多余的前缀 00B402DE CD 20 INT 20 00B402E0 68 E4D7262C PUSH 2C26D7E4 00B402E5 66:9C PUSHFW 00B402E7 57 PUSH EDI 00B402E8 81CF BC76B20C OR EDI,0CB276BC
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-14 12:35 48 楼 0 最初由 linex* 发布* oep代码被偷了,这里是ASPR层的OEP 00B402D4 6A 60 PUSH 60 00B402D6 E9 DF090000 JMP 00B40CBA 00B402DB 64:EB 02 JMP SHORT 00B402E0 ; 多余的前缀 00B402DE CD 20 INT 20 ........ 怎么走到这里的，具体步骤，THANKS~~~
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-14 13:47 49 楼 0 搜83,C4,2C,5D,5F,5E,5B,C3,下断,Ctrl+F9,F7
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-14 16:48 50 楼 0 最初由 linex* 发布* 搜83,C4,2C,5D,5F,5E,5B,C3,下断,Ctrl+F9,F7 希望你能写个脱文，因为这是关于VC的，VC的脱文真是太少了~~~~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复