[原创]手脱ASProtect 2.1壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]手脱ASProtect 2.1壳

发表于: 2006-4-6 10:35 21735

[原创]手脱ASProtect 2.1壳

linex

2006-4-6 10:35

21735

【脱壳文件】EPSON打印机工具
【下载地址】http://www.ssclg.com/download/sscserve.exe
【加壳方式】ASProtect 2.1x SKE -> Alexey Solodovnikov
【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教
【调试环境】：Win2003、OllyDBD、PEiD、LordPE、ImportREC
【脱壳过程】：近日论坛闲逛，遇此软件，学了N久ASPR了，正愁无软柿可捏，于是照猫画虎一番，算给我等菜鸟写个笔记吧。

      一、避开加密，得到完整IAT
   OD忽略除INT3外的所有异常（注意同时忽略以下所有异常前面不要选），过两次异常后在CODE段下内存断点，到这里:

004B09F0    55              PUSH EBP
004B09F1    8BEC            MOV EBP,ESP
004B09F3    83C4 F0         ADD ESP,-10
004B09F6    B8 40074B00     MOV EAX,ssc_serv.004B0740
004B09FB    E8 7C5CF5FF     CALL ssc_serv.0040667C
004B0A00    A1 70744B00     MOV EAX,DWORD PTR DS:[4B7470]
004B0A05    8B00            MOV EAX,DWORD PTR DS:[EAX]
004B0A07    E8 D43FFBFF     CALL ssc_serv.004649E0
004B0A0C    A1 70744B00     MOV EAX,DWORD PTR DS:[4B7470]
004B0A11    8B00            MOV EAX,DWORD PTR DS:[EAX]
004B0A13    BA 800A4B00     MOV EDX,ssc_serv.004B0A80                ; ASCII "SSC Service Utility"
004B0A18    E8 BB3BFBFF     CALL ssc_serv.004645D8
004B0A1D    8B0D C0754B00   MOV ECX,DWORD PTR DS:[4B75C0]            ; ssc_serv.004BC344
004B0A23    A1 70744B00     MOV EAX,DWORD PTR DS:[4B7470]
004B0A28    8B00            MOV EAX,DWORD PTR DS:[EAX]

004BD154  7C96AE65  ntdll.RtlDeleteCriticalSection
004BD158  7C95F2FC  ntdll.RtlLeaveCriticalSection
004BD15C  7C95F337  ntdll.RtlEnterCriticalSection
004BD160  7C8284E0  kernel32.InitializeCriticalSection
004BD164  7C828CFC  kernel32.VirtualFree
004BD168  7C82BEC9  kernel32.VirtualAlloc
004BD16C  7C82BC09  kernel32.LocalFree
004BD170  7C82BB92  kernel32.LocalAlloc
004BD174  7C82BB6D  kernel32.GetTickCount
004BD178  5358C7CE
004BD17C  7C82C07F  kernel32.GetVersion
004BD180  44481099
004BD184  7C82B44F  kernel32.InterlockedDecrement
004BD188  7C82B43B  kernel32.InterlockedIncrement
004BD18C  7C818EA7  kernel32.VirtualQuery
004BD190  7C82DC10  kernel32.WideCharToMultiByte
004BD194  7C82BC7C  kernel32.MultiByteToWideChar
004BD198  CDFA8D2A
004BD19C  7C817702  kernel32.lstrcpynA
004BD1A0  F92B6CBC
004BD1A4  21D669D5
004BD1A8  F915B282

00E7EBF6   /EB 0A           JMP SHORT 00E7EC02
00E7EBF8   |68 E8F4E700     PUSH 0E7F4E8                             ; ASCII "85
00E7EBFD   |E8 2A62FEFF     CALL 00E64E2C
00E7EC02   \A1 1C37E800     MOV EAX,DWORD PTR DS:[E8371C]
00E7EC07    8B00            MOV EAX,DWORD PTR DS:[EAX]
00E7EC09    E8 0A8CFFFF     CALL 00E77818          //这里进去！
00E7EC0E    84C0            TEST AL,AL
00E7EC10    75 0A           JNZ SHORT 00E7EC1C
00E7EC12    68 E8F4E700     PUSH 0E7F4E8                             ; ASCII "85

00E77916    50              PUSH EAX
00E77917    56              PUSH ESI
00E77918    E8 9BFCFFFF     CALL 00E775B8              〈〈〈〈――――这里进去

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・7

支持

最新回复 (75) 1 2 3 4 ▶
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2 楼没有OEP抽取就是好! 2006-4-6 11:53 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 3 楼学习 2006-4-6 11:57 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 4 楼支持！ 2006-4-6 14:01 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 5 楼学习，支持一下。 2006-4-6 14:15 0
xingbing 雪币： 175 活跃值： (2531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 6 楼学习，支持楼主。 2006-4-6 21:34 0
lis 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	lis 7 楼学习。谢谢。 2006-4-6 21:57 0
have 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 0 关注私信	have 8 楼学习，支持一下。 2006-4-7 01:47 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 9 楼到10A0000处写上我抄的代码代码:-------------------------------------------------------------------------------- 010A0000 0000 ADD BYTE PTR DS:[EAX],AL 010A0002 0000 ADD BYTE PTR DS:[EAX],AL 010A0004 0000 ADD BYTE PTR DS:[EAX],AL 010A0006 0000 ADD BYTE PTR DS:[EAX],AL 010A0008 0000 ADD BYTE PTR DS:[EAX],AL 010A000A BA 00104000 MOV EDX,401000 010A000F 803A E8 CMP BYTE PTR DS:[EDX],0E8 010A0012 75 14 JNZ SHORT 010A0028 010A0014 8B42 01 MOV EAX,DWORD PTR DS:[EDX+1] 010A0017 03C2 ADD EAX,EDX 010A0019 05 05000000 ADD EAX,5 010A001E 3D 00000601 CMP EAX,1060000 010A0023 75 03 JNZ SHORT 010A0028 010A0025 EB 0C JMP SHORT 010A0033 010A0027 90 NOP 010A0028 42 INC EDX 010A0029 81FA 00104B00 CMP EDX,4B1000 010A002F ^ 72 DE JB SHORT 010A000F 010A0031 - EB FE JMP SHORT 010A0031 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX 010A0039 60 PUSHAD 010A003A FFE2 JMP EDX 010A003C 90 NOP 010A003D 90 NOP 010A003E 90 NOP 010A003F 90 NOP 010A0040 90 NOP 010A0041 90 NOP 010A0042 90 NOP 010A0043 60 PUSHAD 010A0044 B8 54D14B00 MOV EAX,4BD154 010A0049 90 NOP 010A004A 3910 CMP DWORD PTR DS:[EAX],EDX 010A004C 75 23 JNZ SHORT 010A0071 010A004E 8B0D 00010A01 MOV ECX,DWORD PTR DS:[10A0100] 010A0054 C701 FF250000 MOV DWORD PTR DS:[ECX],25FF 010A005A 8941 02 MOV DWORD PTR DS:[ECX+2],EAX 010A005D 61 POPAD 010A005E 90 NOP 010A005F 8B15 00010A01 MOV EDX,DWORD PTR DS:[10A0100] 010A0065 90 NOP 010A0066 90 NOP 010A0067 90 NOP 010A0068 ^ EB BE JMP SHORT 010A0028 010A006A 90 NOP 010A006B 90 NOP 010A006C 90 NOP 010A006D 90 NOP 010A006E 90 NOP 010A006F 90 NOP 010A0070 90 NOP 010A0071 83C0 04 ADD EAX,4 010A0074 3D 00D94B00 CMP EAX,4BD900 010A0079 ^ 7E CF JLE SHORT 010A004A 010A007B ^ EB E0 JMP SHORT 010A005D 010A007D 90 NOP -------------------------------------------------------------------------------- 菜鸟想问一个问题请问这些代码是怎么得来的？ 2006-4-7 09:02 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 10 楼抄自SYSCOM和林海雪原的代码. 我再加点注释吧. 2006-4-7 09:16 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 11 楼最初由 linex* 发布* 抄自SYSCOM和林海雪原的代码. 我再加点注释吧. 这些代码难道都是固定的吗，只须改几个地址就可以吗？ 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX 010A004E 8B0D 00010A01 MOV ECX,DWORD PTR DS:[10A0100] 010A005F 8B15 00010A01 MOV EDX,DWORD PTR DS:[10A0100] 只要把:[10A0100]改为自己的实际地址就可以吗？ :[10A0100]是如何而来？ 2006-4-7 09:39 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 12 楼只是为了保存一下edx的值用的，10A0100这个地址任意找个空地方就行． 2006-4-7 10:17 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 13 楼支持一下。 2006-4-7 10:42 0
松松雪币： 221 活跃值： (44) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 110 粉丝 0 关注私信	松松 1 14 楼又来一篇详细的，参照前几位大大的文章+这篇，ASPR2。1X应该不成问题了. 2006-4-7 11:32 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 15 楼 asp2.1ske的iat是不是都只要改一下esi的值就可以解决问题 2006-4-9 21:17 0
落海听潮雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	落海听潮 16 楼支持一个~~~!!! 2006-4-9 23:50 0
shijunbaoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	shijunbaoo 17 楼新手问个问题：如果软件是多重加壳，那么脱壳方法又是怎样的呢？ 2006-4-10 10:23 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 18 楼我是来学习的~~ 2006-4-10 12:26 0
qqqqwwww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	qqqqwwww 19 楼学习，支持一下 2006-4-10 12:31 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 20 楼弱弱的问一局在这句“搜索参考字符串，找到到达IAT处理的CALL。” 具体是什么操作，怎么找到CALL，怎么到达CALL，F4？F8？SHIFT+F9？？问题好多~~~ SORRY，我是菜鸟，不要让我去看书，希望大大们能指导一下~~ 这样进步才快~ 2006-4-10 13:10 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 21 楼饿。。。。上面的我明白了，我再问一句 “进去后，找到IAT处理的CALL” 这怎么找？？上面的CALL进去后然后一直F8找这个CALL吗？？？ 2006-4-10 13:21 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 22 楼。。。又有问题了我换个软件，一样的壳，CODE设断后。。。可是不会到 004B09F0 55 PUSH EBP 004B09F1 8BEC MOV EBP,ESP 004B09F3 83C4 F0 ADD ESP,-10 004B09F6 B8 40074B00 MOV EAX,ssc_serv.004B0740 004B09FB E8 7C5CF5FF CALL ssc_serv.0040667C 004B0A00 A1 70744B00 MOV EAX,DWORD PTR DS:[4B7470] 004B0A05 8B00 MOV EAX,DWORD PTR DS:[EAX] 004B0A07 E8 D43FFBFF CALL ssc_serv.004649E0 004B0A0C A1 70744B00 MOV EAX,DWORD PTR DS:[4B7470] 004B0A11 8B00 MOV EAX,DWORD PTR DS:[EAX] 004B0A13 BA 800A4B00 MOV EDX,ssc_serv.004B0A80 ; ASCII "SSC Service Utility" 却到了 003FFAE7 75 1D JNZ SHORT 003FFB06 003FFAE9 83C5 20 ADD EBP,20 003FFAEC A1 84364000 MOV EAX,DWORD PTR DS:[403684] 003FFAF1 8078 0A 00 CMP BYTE PTR DS:[EAX+A],0 003FFAF5 75 0F JNZ SHORT 003FFB06 003FFAF7 B8 1F000000 MOV EAX,1F 003FFAFC E8 C32DFDFF CALL 003D28C4 003FFB01 C1E0 02 SHL EAX,2 003FFB04 2BE8 SUB EBP,EAX 003FFB06 E8 A9D0FFFF CALL 003FCBB4 003FFB0B 8BD8 MOV EBX,EAX 003FFB0D 833D E4B54000 00 CMP DWORD PTR DS:[40B5E4],0 003FFB14 74 15 JE SHORT 003FFB2B 为什么？？？？？？？ 2006-4-10 13:39 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 23 楼 OEP被偷了吧 2006-4-10 14:26 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 24 楼最初由 chasgone* 发布* asp2.1ske的iat是不是都只要改一下esi的值就可以解决问题以前是,当前是,以后不一定是 2006-4-10 16:11 0
fangwen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	fangwen 25 楼学习，支持一下。 2006-4-10 17:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

linex

发帖

267

回帖

290

RANK

关注

私信

他的文章

Execryptor加壳的MultiTranse 4.1.1 4655
[原创]Processguard 中的自校验 7875
[原创]Nspack3.7 Cracked 10747
[求助] 如何为脱壳的软件重新加ASPR壳 4564
[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta) 10439

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) 1 2 3 4 ▶
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2 楼没有OEP抽取就是好! 2006-4-6 11:53 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 3 楼学习 2006-4-6 11:57 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 4 楼支持！ 2006-4-6 14:01 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 5 楼学习，支持一下。 2006-4-6 14:15 0
xingbing 雪币： 175 活跃值： (2531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 6 楼学习，支持楼主。 2006-4-6 21:34 0
lis 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	lis 7 楼学习。谢谢。 2006-4-6 21:57 0
have 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 0 关注私信	have 8 楼学习，支持一下。 2006-4-7 01:47 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 9 楼到10A0000处写上我抄的代码代码:-------------------------------------------------------------------------------- 010A0000 0000 ADD BYTE PTR DS:[EAX],AL 010A0002 0000 ADD BYTE PTR DS:[EAX],AL 010A0004 0000 ADD BYTE PTR DS:[EAX],AL 010A0006 0000 ADD BYTE PTR DS:[EAX],AL 010A0008 0000 ADD BYTE PTR DS:[EAX],AL 010A000A BA 00104000 MOV EDX,401000 010A000F 803A E8 CMP BYTE PTR DS:[EDX],0E8 010A0012 75 14 JNZ SHORT 010A0028 010A0014 8B42 01 MOV EAX,DWORD PTR DS:[EDX+1] 010A0017 03C2 ADD EAX,EDX 010A0019 05 05000000 ADD EAX,5 010A001E 3D 00000601 CMP EAX,1060000 010A0023 75 03 JNZ SHORT 010A0028 010A0025 EB 0C JMP SHORT 010A0033 010A0027 90 NOP 010A0028 42 INC EDX 010A0029 81FA 00104B00 CMP EDX,4B1000 010A002F ^ 72 DE JB SHORT 010A000F 010A0031 - EB FE JMP SHORT 010A0031 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX 010A0039 60 PUSHAD 010A003A FFE2 JMP EDX 010A003C 90 NOP 010A003D 90 NOP 010A003E 90 NOP 010A003F 90 NOP 010A0040 90 NOP 010A0041 90 NOP 010A0042 90 NOP 010A0043 60 PUSHAD 010A0044 B8 54D14B00 MOV EAX,4BD154 010A0049 90 NOP 010A004A 3910 CMP DWORD PTR DS:[EAX],EDX 010A004C 75 23 JNZ SHORT 010A0071 010A004E 8B0D 00010A01 MOV ECX,DWORD PTR DS:[10A0100] 010A0054 C701 FF250000 MOV DWORD PTR DS:[ECX],25FF 010A005A 8941 02 MOV DWORD PTR DS:[ECX+2],EAX 010A005D 61 POPAD 010A005E 90 NOP 010A005F 8B15 00010A01 MOV EDX,DWORD PTR DS:[10A0100] 010A0065 90 NOP 010A0066 90 NOP 010A0067 90 NOP 010A0068 ^ EB BE JMP SHORT 010A0028 010A006A 90 NOP 010A006B 90 NOP 010A006C 90 NOP 010A006D 90 NOP 010A006E 90 NOP 010A006F 90 NOP 010A0070 90 NOP 010A0071 83C0 04 ADD EAX,4 010A0074 3D 00D94B00 CMP EAX,4BD900 010A0079 ^ 7E CF JLE SHORT 010A004A 010A007B ^ EB E0 JMP SHORT 010A005D 010A007D 90 NOP -------------------------------------------------------------------------------- 菜鸟想问一个问题请问这些代码是怎么得来的？ 2006-4-7 09:02 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 10 楼抄自SYSCOM和林海雪原的代码. 我再加点注释吧. 2006-4-7 09:16 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 11 楼最初由 linex* 发布* 抄自SYSCOM和林海雪原的代码. 我再加点注释吧. 这些代码难道都是固定的吗，只须改几个地址就可以吗？ 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX 010A004E 8B0D 00010A01 MOV ECX,DWORD PTR DS:[10A0100] 010A005F 8B15 00010A01 MOV EDX,DWORD PTR DS:[10A0100] 只要把:[10A0100]改为自己的实际地址就可以吗？ :[10A0100]是如何而来？ 2006-4-7 09:39 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 12 楼只是为了保存一下edx的值用的，10A0100这个地址任意找个空地方就行． 2006-4-7 10:17 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 13 楼支持一下。 2006-4-7 10:42 0
松松雪币： 221 活跃值： (44) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 110 粉丝 0 关注私信	松松 1 14 楼又来一篇详细的，参照前几位大大的文章+这篇，ASPR2。1X应该不成问题了. 2006-4-7 11:32 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 15 楼 asp2.1ske的iat是不是都只要改一下esi的值就可以解决问题 2006-4-9 21:17 0
落海听潮雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	落海听潮 16 楼支持一个~~~!!! 2006-4-9 23:50 0
shijunbaoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	shijunbaoo 17 楼新手问个问题：如果软件是多重加壳，那么脱壳方法又是怎样的呢？ 2006-4-10 10:23 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 18 楼我是来学习的~~ 2006-4-10 12:26 0
qqqqwwww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	qqqqwwww 19 楼学习，支持一下 2006-4-10 12:31 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 20 楼弱弱的问一局在这句“搜索参考字符串，找到到达IAT处理的CALL。” 具体是什么操作，怎么找到CALL，怎么到达CALL，F4？F8？SHIFT+F9？？问题好多~~~ SORRY，我是菜鸟，不要让我去看书，希望大大们能指导一下~~ 这样进步才快~ 2006-4-10 13:10 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 21 楼饿。。。。上面的我明白了，我再问一句 “进去后，找到IAT处理的CALL” 这怎么找？？上面的CALL进去后然后一直F8找这个CALL吗？？？ 2006-4-10 13:21 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 22 楼。。。又有问题了我换个软件，一样的壳，CODE设断后。。。可是不会到 004B09F0 55 PUSH EBP 004B09F1 8BEC MOV EBP,ESP 004B09F3 83C4 F0 ADD ESP,-10 004B09F6 B8 40074B00 MOV EAX,ssc_serv.004B0740 004B09FB E8 7C5CF5FF CALL ssc_serv.0040667C 004B0A00 A1 70744B00 MOV EAX,DWORD PTR DS:[4B7470] 004B0A05 8B00 MOV EAX,DWORD PTR DS:[EAX] 004B0A07 E8 D43FFBFF CALL ssc_serv.004649E0 004B0A0C A1 70744B00 MOV EAX,DWORD PTR DS:[4B7470] 004B0A11 8B00 MOV EAX,DWORD PTR DS:[EAX] 004B0A13 BA 800A4B00 MOV EDX,ssc_serv.004B0A80 ; ASCII "SSC Service Utility" 却到了 003FFAE7 75 1D JNZ SHORT 003FFB06 003FFAE9 83C5 20 ADD EBP,20 003FFAEC A1 84364000 MOV EAX,DWORD PTR DS:[403684] 003FFAF1 8078 0A 00 CMP BYTE PTR DS:[EAX+A],0 003FFAF5 75 0F JNZ SHORT 003FFB06 003FFAF7 B8 1F000000 MOV EAX,1F 003FFAFC E8 C32DFDFF CALL 003D28C4 003FFB01 C1E0 02 SHL EAX,2 003FFB04 2BE8 SUB EBP,EAX 003FFB06 E8 A9D0FFFF CALL 003FCBB4 003FFB0B 8BD8 MOV EBX,EAX 003FFB0D 833D E4B54000 00 CMP DWORD PTR DS:[40B5E4],0 003FFB14 74 15 JE SHORT 003FFB2B 为什么？？？？？？？ 2006-4-10 13:39 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 23 楼 OEP被偷了吧 2006-4-10 14:26 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 24 楼最初由 chasgone* 发布* asp2.1ske的iat是不是都只要改一下esi的值就可以解决问题以前是,当前是,以后不一定是 2006-4-10 16:11 0
fangwen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	fangwen 25 楼学习，支持一下。 2006-4-10 17:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复