[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术

发表于: 2006-4-7 16:38 46409

[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术

kanxue

2006-4-7 16:38

46409

查看主题内容

收藏・13

免费・0

支持

最新回复 (91) ◀ 1 2 3 4 ▶
have 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 0 关注私信	have 26 楼好文章　。先收下来了 2006-4-8 01:04 0
qq2008 雪币： 781 活跃值： (501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 162 粉丝 1 关注私信	qq2008 27 楼学习 2006-4-8 02:00 0
ww990 雪币： 217 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 285 粉丝 0 关注私信	ww990 1 28 楼学习一下 2006-4-8 08:00 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 29 楼 ?的很好,??... 我帐? aspr 的 Import ?可以有更?更多的?化... 以後一定?咄化的~!!! 2006-4-8 08:02 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 30 楼不错，不过偶喜欢只快速脱壳，分析很少看... 2006-4-8 08:38 0
eyesonly 雪币： 247 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 262 粉丝 0 关注私信	eyesonly 31 楼学习一下，支持 2006-4-8 09:55 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 32 楼看雪厉害呀！~~ 2006-4-8 10:31 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 33 楼新人来顶了~ 2006-4-8 13:11 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 34 楼期待写个脚本出来， 2006-4-8 15:22 0
曾经雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	曾经 35 楼实在是好文章。一言90顶！ 2006-4-8 16:03 0
lslzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lslzh 36 楼看不明白! 2006-4-8 21:34 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 37 楼 009ABE00??53???????????push ebx 009ABE01??56???????????push esi 009ABE02??57???????????push edi 009ABE03??55???????????push ebp 009ABE04??8BFA??????????mov edi,edx 009ABE06??B3 01????????? mov bl,1 009ABE08??8BF0??????????mov esi,eax 009ABE0A??83C6 08???????? add esi,8 009ABE0D??8BEE??????????mov ebp,esi 009ABE0F??EB 15????????? jmp short 009ABE26 009ABE11??55???????????push ebp 009ABE12??FFD7??????????call edi //处理部分CALL，变成PUSH XXXXXXXX，RETN 或 JUMP XXXXXXXX 009ABE14??84C0??????????test al,al 009ABE16??75 04????????? jnz short 009ABE1C 009ABE18??33DB??????????xor ebx,ebx 009ABE1A??EB 10????????? jmp short 009ABE2C 009ABE1C??8B45 04???????? mov eax,dword ptr ss:[ebp+4] 009ABE1F??83C0 08???????? add eax,8 009ABE22??03F0??????????add esi,eax 009ABE24??8BEE??????????mov ebp,esi 009ABE26??837D 04 00???????cmp dword ptr ss:[ebp+4],0 009ABE2A?^ 75 E5????????? jnz short 009ABE11 009ABE2C??8BC3??????????mov eax,ebx 009ABE2E??5D???????????pop ebp 009ABE2F??5F???????????pop edi 009ABE30??5E???????????pop esi 009ABE31??5B???????????pop ebx 009ABE32??C3???????????retn 009AC47C??55???????????push ebp 009AC47D??8BEC??????????mov ebp,esp 009AC47F??83C4 F8???????? add esp,-8 009AC482??53???????????push ebx 009AC483??56???????????push esi 009AC484??C645 FF 01???????mov byte ptr ss:[ebp-1],1 009AC488??A1 0C389B00?????? mov eax,dword ptr ds:[9B380C] 009AC48D??8B00??????????mov eax,dword ptr ds:[eax] 009AC48F??8B30??????????mov esi,dword ptr ds:[eax] 009AC491??8B5D 08???????? mov ebx,dword ptr ss:[ebp+8] 009AC494??8D45 F8???????? lea eax,dword ptr ss:[ebp-8] 009AC497??8B53 04???????? mov edx,dword ptr ds:[ebx+4] 009AC49A??E8 0923FFFF?????? call 0099E7A8 //分配内存 009AC49F??8D53 08???????? lea edx,dword ptr ds:[ebx+8] 009AC4A2??8B4B 04???????? mov ecx,dword ptr ds:[ebx+4] 009AC4A5??8B45 F8???????? mov eax,dword ptr ss:[ebp-8] //要处理的字节数 009AC4A8??E8 039BFDFF?????? call 00985FB0 009AC4AD??8B45 F8???????? mov eax,dword ptr ss:[ebp-8] 009AC4B0??E8 73FFFFFF?????? call 009AC428 009AC4B5??0333??????????add esi,dword ptr ds:[ebx] 009AC4B7??8BDE??????????mov ebx,esi 009AC4B9??B8 02000000?????? mov eax,2 009AC4BE??E8 0164FDFF?????? call 009828C4 009AC4C3??85C0??????????test eax,eax 009AC4C5??75 13????????? jnz short 009AC4DA 009AC4C7??C603 68???????? mov byte ptr ds:[ebx],68 //变成 PUSH XXXXXXXX 009AC4CA??8D43 01???????? lea eax,dword ptr ds:[ebx+1] 009AC4CD??8B55 F8???????? mov edx,dword ptr ss:[ebp-8] 009AC4D0??8910??????????mov dword ptr ds:[eax],edx 009AC4D2??83C3 05???????? add ebx,5 009AC4D5??C603 C3???????? mov byte ptr ds:[ebx],0C3 //RETN 009AC4D8??EB 10????????? jmp short 009AC4EA 009AC4DA??8B45 F8???????? mov eax,dword ptr ss:[ebp-8] 009AC4DD??2BC3??????????sub eax,ebx 009AC4DF??83E8 05???????? sub eax,5 009AC4E2??8D53 01???????? lea edx,dword ptr ds:[ebx+1] 009AC4E5??8902??????????mov dword ptr ds:[edx],eax 009AC4E7??C603 E9???????? mov byte ptr ds:[ebx],0E9 //变成JUMP XXXXXXXX 009AC4EA??8A45 FF???????? mov al,byte ptr ss:[ebp-1] 009AC4ED??5E???????????pop esi 009AC4EE??5B???????????pop ebx 009AC4EF??59???????????pop ecx 009AC4F0??59???????????pop ecx 009AC4F1??5D???????????pop ebp 009AC4F2??C2 0400???????? retn 4 我见过2个程序，吃的代码都一样，0x36个字节，不过还原蛮简单的，其它的不是很清楚 10003030 68 0000BC00 push 0BC0000 10003035 C3 retn 00BC0000? > \68 FFFFFFFF????? push -1 00BC0005? .?50??????????push eax 00BC0006? .?83C8 FF??????? or eax,FFFFFFFF 00BC0009? .?40??????????inc eax 00BC000A? .?64:8B00??????? mov eax,dword ptr fs:[eax] 00BC000D? .?50??????????push eax 00BC000E? .?64:EB 02???????jmp short dumped_.00BC0013 00BC0011???CD??????????db CD 00BC0012???20??????????db 20???????????????????????;?CHAR ' ' 00BC0013? >?81E8 F6C57142???? sub eax,4271C5F6 00BC0019? .?8B4424 0C?????? mov eax,dword ptr ss:[esp+C] 00BC001D? .?64:8925 00000000???mov dword ptr fs:[0],esp 00BC0024? .?896C24 0C?????? mov dword ptr ss:[esp+C],ebp 00BC0028? .?BD 96594800????? mov ebp,485996 00BC002D? .?C1CD A7??????? ror ebp,0A7 00BC0030? .?8D6C24 0C?????? lea ebp,dword ptr ss:[esp+C] 00BC0034? .?50??????????push eax 00BC0035? .?C3??????????retn 2006-4-9 03:31 0
luzhmu 雪币： 86 活跃值： (1038) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 38 楼一个字:强!!! 2006-4-9 08:22 0
斩天雪币： 225 活跃值： (1066) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 115 粉丝 0 关注私信	斩天 39 楼要是以后这种壳被普及了,我等还玩什么 2006-4-9 11:00 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 40 楼最初由 kimmal* 发布* 009ABE00??53???????????push ebx 009ABE01??56???????????push esi 009ABE02??57???????????push edi 009ABE03??55???????????push ebp 009ABE04??8BFA??????????mov edi,edx ........ 嗯，会抽一些标准函数，或者库函数等一般VC的会抽这个 push -1 push eax mov eax,dword ptr fs:[0] push eax mov eax,dword ptr ss:[esp+C] mov dword ptr fs:[0],esp mov dword ptr ss:[esp+C],ebp lea ebp,dword ptr ss:[esp+C] push eax retn 就是你贴的那个原型 delphi的有时会抽得更多，甚至10几个，但都是标准样子的库函数，像拷贝内存，取字符串长度等，集中在代码段的前面 2006-4-9 11:36 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 41 楼我碰到一个不是普通的，要不我都按delphi摸板修复了搞的脱壳的程序需要壳代码运行。。。 2006-4-9 11:43 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 42 楼这么强的壳，还以为用个内存断点，或ESP定律就能搞定的，看来只有多学习才行呀 2006-4-9 14:06 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 43 楼看雪的文章越写越好看了，支持一下；我的系统坏了，正在抢修ing；因为卸载了一下softICE键盘和鼠标都失效了，由于服务关闭的很多，连安全模式都进不去，发死愁了，我里面有真贵资料，现在装了一个 vista在其它盘上，正在破解原c盘上的加密保护，哈哈 2006-4-9 15:13 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 44 楼最初由 Ivanov* 发布* 看雪的文章越写越好看了，支持一下；我的系统坏了，正在抢修ing；因为卸载了一下softICE键盘和鼠标都失效了，由于服务关闭的很多，连安全模式都进不去，发死愁了，我里面有真贵资料，现在装了一个 vista在其它盘上，正在破解原c盘上的加密保护，哈哈 -_-b ===>$%^#@#$#&^(%$^ ===> :-) 2006-4-9 15:45 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 45 楼壳太强了,通用的脚本估计不好做啊 2006-4-9 16:56 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 46 楼老大出手,必是精品~ 2006-4-9 22:09 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 47 楼精品啊精品 2006-4-10 08:14 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 48 楼很好,学无止境 2006-4-10 11:53 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 49 楼哈哈，主要是出去了段时间，回来都没怎么仔细看新帖，看雪兄这篇才看到。这样的好文章一定要顶一下的！ 2006-4-10 12:23 0
daxia200N 雪币： 690 活跃值： (1821) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 50 楼老大的精品文章一定拜读 2006-4-10 13:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanxue

2369

发帖

17027

回帖

350

RANK

关注

私信

他的文章

[公告]由于近几天，有大量爬虫抓取论坛文章，导致论坛访问较慢，部分版块需要登录可见 6722

关于我们

联系我们

企业服务

看雪公众号

最新回复 (91) ◀ 1 2 3 4 ▶
have 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 0 关注私信	have 26 楼好文章　。先收下来了 2006-4-8 01:04 0
qq2008 雪币： 781 活跃值： (501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 162 粉丝 1 关注私信	qq2008 27 楼学习 2006-4-8 02:00 0
ww990 雪币： 217 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 285 粉丝 0 关注私信	ww990 1 28 楼学习一下 2006-4-8 08:00 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 29 楼 ?的很好,??... 我帐? aspr 的 Import ?可以有更?更多的?化... 以後一定?咄化的~!!! 2006-4-8 08:02 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 30 楼不错，不过偶喜欢只快速脱壳，分析很少看... 2006-4-8 08:38 0
eyesonly 雪币： 247 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 262 粉丝 0 关注私信	eyesonly 31 楼学习一下，支持 2006-4-8 09:55 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 32 楼看雪厉害呀！~~ 2006-4-8 10:31 0
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 33 楼新人来顶了~ 2006-4-8 13:11 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 34 楼期待写个脚本出来， 2006-4-8 15:22 0
曾经雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	曾经 35 楼实在是好文章。一言90顶！ 2006-4-8 16:03 0
lslzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lslzh 36 楼看不明白! 2006-4-8 21:34 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 37 楼 009ABE00??53???????????push ebx 009ABE01??56???????????push esi 009ABE02??57???????????push edi 009ABE03??55???????????push ebp 009ABE04??8BFA??????????mov edi,edx 009ABE06??B3 01????????? mov bl,1 009ABE08??8BF0??????????mov esi,eax 009ABE0A??83C6 08???????? add esi,8 009ABE0D??8BEE??????????mov ebp,esi 009ABE0F??EB 15????????? jmp short 009ABE26 009ABE11??55???????????push ebp 009ABE12??FFD7??????????call edi //处理部分CALL，变成PUSH XXXXXXXX，RETN 或 JUMP XXXXXXXX 009ABE14??84C0??????????test al,al 009ABE16??75 04????????? jnz short 009ABE1C 009ABE18??33DB??????????xor ebx,ebx 009ABE1A??EB 10????????? jmp short 009ABE2C 009ABE1C??8B45 04???????? mov eax,dword ptr ss:[ebp+4] 009ABE1F??83C0 08???????? add eax,8 009ABE22??03F0??????????add esi,eax 009ABE24??8BEE??????????mov ebp,esi 009ABE26??837D 04 00???????cmp dword ptr ss:[ebp+4],0 009ABE2A?^ 75 E5????????? jnz short 009ABE11 009ABE2C??8BC3??????????mov eax,ebx 009ABE2E??5D???????????pop ebp 009ABE2F??5F???????????pop edi 009ABE30??5E???????????pop esi 009ABE31??5B???????????pop ebx 009ABE32??C3???????????retn 009AC47C??55???????????push ebp 009AC47D??8BEC??????????mov ebp,esp 009AC47F??83C4 F8???????? add esp,-8 009AC482??53???????????push ebx 009AC483??56???????????push esi 009AC484??C645 FF 01???????mov byte ptr ss:[ebp-1],1 009AC488??A1 0C389B00?????? mov eax,dword ptr ds:[9B380C] 009AC48D??8B00??????????mov eax,dword ptr ds:[eax] 009AC48F??8B30??????????mov esi,dword ptr ds:[eax] 009AC491??8B5D 08???????? mov ebx,dword ptr ss:[ebp+8] 009AC494??8D45 F8???????? lea eax,dword ptr ss:[ebp-8] 009AC497??8B53 04???????? mov edx,dword ptr ds:[ebx+4] 009AC49A??E8 0923FFFF?????? call 0099E7A8 //分配内存 009AC49F??8D53 08???????? lea edx,dword ptr ds:[ebx+8] 009AC4A2??8B4B 04???????? mov ecx,dword ptr ds:[ebx+4] 009AC4A5??8B45 F8???????? mov eax,dword ptr ss:[ebp-8] //要处理的字节数 009AC4A8??E8 039BFDFF?????? call 00985FB0 009AC4AD??8B45 F8???????? mov eax,dword ptr ss:[ebp-8] 009AC4B0??E8 73FFFFFF?????? call 009AC428 009AC4B5??0333??????????add esi,dword ptr ds:[ebx] 009AC4B7??8BDE??????????mov ebx,esi 009AC4B9??B8 02000000?????? mov eax,2 009AC4BE??E8 0164FDFF?????? call 009828C4 009AC4C3??85C0??????????test eax,eax 009AC4C5??75 13????????? jnz short 009AC4DA 009AC4C7??C603 68???????? mov byte ptr ds:[ebx],68 //变成 PUSH XXXXXXXX 009AC4CA??8D43 01???????? lea eax,dword ptr ds:[ebx+1] 009AC4CD??8B55 F8???????? mov edx,dword ptr ss:[ebp-8] 009AC4D0??8910??????????mov dword ptr ds:[eax],edx 009AC4D2??83C3 05???????? add ebx,5 009AC4D5??C603 C3???????? mov byte ptr ds:[ebx],0C3 //RETN 009AC4D8??EB 10????????? jmp short 009AC4EA 009AC4DA??8B45 F8???????? mov eax,dword ptr ss:[ebp-8] 009AC4DD??2BC3??????????sub eax,ebx 009AC4DF??83E8 05???????? sub eax,5 009AC4E2??8D53 01???????? lea edx,dword ptr ds:[ebx+1] 009AC4E5??8902??????????mov dword ptr ds:[edx],eax 009AC4E7??C603 E9???????? mov byte ptr ds:[ebx],0E9 //变成JUMP XXXXXXXX 009AC4EA??8A45 FF???????? mov al,byte ptr ss:[ebp-1] 009AC4ED??5E???????????pop esi 009AC4EE??5B???????????pop ebx 009AC4EF??59???????????pop ecx 009AC4F0??59???????????pop ecx 009AC4F1??5D???????????pop ebp 009AC4F2??C2 0400???????? retn 4 我见过2个程序，吃的代码都一样，0x36个字节，不过还原蛮简单的，其它的不是很清楚 10003030 68 0000BC00 push 0BC0000 10003035 C3 retn 00BC0000? > \68 FFFFFFFF????? push -1 00BC0005? .?50??????????push eax 00BC0006? .?83C8 FF??????? or eax,FFFFFFFF 00BC0009? .?40??????????inc eax 00BC000A? .?64:8B00??????? mov eax,dword ptr fs:[eax] 00BC000D? .?50??????????push eax 00BC000E? .?64:EB 02???????jmp short dumped_.00BC0013 00BC0011???CD??????????db CD 00BC0012???20??????????db 20???????????????????????;?CHAR ' ' 00BC0013? >?81E8 F6C57142???? sub eax,4271C5F6 00BC0019? .?8B4424 0C?????? mov eax,dword ptr ss:[esp+C] 00BC001D? .?64:8925 00000000???mov dword ptr fs:[0],esp 00BC0024? .?896C24 0C?????? mov dword ptr ss:[esp+C],ebp 00BC0028? .?BD 96594800????? mov ebp,485996 00BC002D? .?C1CD A7??????? ror ebp,0A7 00BC0030? .?8D6C24 0C?????? lea ebp,dword ptr ss:[esp+C] 00BC0034? .?50??????????push eax 00BC0035? .?C3??????????retn 2006-4-9 03:31 0
luzhmu 雪币： 86 活跃值： (1038) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 38 楼一个字:强!!! 2006-4-9 08:22 0
斩天雪币： 225 活跃值： (1066) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 115 粉丝 0 关注私信	斩天 39 楼要是以后这种壳被普及了,我等还玩什么 2006-4-9 11:00 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 40 楼最初由 kimmal* 发布* 009ABE00??53???????????push ebx 009ABE01??56???????????push esi 009ABE02??57???????????push edi 009ABE03??55???????????push ebp 009ABE04??8BFA??????????mov edi,edx ........ 嗯，会抽一些标准函数，或者库函数等一般VC的会抽这个 push -1 push eax mov eax,dword ptr fs:[0] push eax mov eax,dword ptr ss:[esp+C] mov dword ptr fs:[0],esp mov dword ptr ss:[esp+C],ebp lea ebp,dword ptr ss:[esp+C] push eax retn 就是你贴的那个原型 delphi的有时会抽得更多，甚至10几个，但都是标准样子的库函数，像拷贝内存，取字符串长度等，集中在代码段的前面 2006-4-9 11:36 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 41 楼我碰到一个不是普通的，要不我都按delphi摸板修复了搞的脱壳的程序需要壳代码运行。。。 2006-4-9 11:43 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 42 楼这么强的壳，还以为用个内存断点，或ESP定律就能搞定的，看来只有多学习才行呀 2006-4-9 14:06 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 43 楼看雪的文章越写越好看了，支持一下；我的系统坏了，正在抢修ing；因为卸载了一下softICE键盘和鼠标都失效了，由于服务关闭的很多，连安全模式都进不去，发死愁了，我里面有真贵资料，现在装了一个 vista在其它盘上，正在破解原c盘上的加密保护，哈哈 2006-4-9 15:13 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 44 楼最初由 Ivanov* 发布* 看雪的文章越写越好看了，支持一下；我的系统坏了，正在抢修ing；因为卸载了一下softICE键盘和鼠标都失效了，由于服务关闭的很多，连安全模式都进不去，发死愁了，我里面有真贵资料，现在装了一个 vista在其它盘上，正在破解原c盘上的加密保护，哈哈 -_-b ===>$%^#@#$#&^(%$^ ===> :-) 2006-4-9 15:45 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 45 楼壳太强了,通用的脚本估计不好做啊 2006-4-9 16:56 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 46 楼老大出手,必是精品~ 2006-4-9 22:09 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 47 楼精品啊精品 2006-4-10 08:14 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 48 楼很好,学无止境 2006-4-10 11:53 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 49 楼哈哈，主要是出去了段时间，回来都没怎么仔细看新帖，看雪兄这篇才看到。这样的好文章一定要顶一下的！ 2006-4-10 12:23 0
daxia200N 雪币： 690 活跃值： (1821) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 50 楼老大的精品文章一定拜读 2006-4-10 13:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复