[原创]ASProtect 2.1x SKE之木马克星5.50 build 2403 脱壳分析-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]ASProtect 2.1x SKE之木马克星5.50 build 2403 脱壳分析

发表于: 2006-4-18 17:08 17106

[原创]ASProtect 2.1x SKE之木马克星5.50 build 2403 脱壳分析

lchhome

2006-4-18 17:08

17106

查看主题内容

收藏・0

免费・7

支持

最新回复 (58) ◀ 1 2 3 ▶
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 26 楼然后按F7往下走到： 012ECDAF 2BF1 SUB ESI,ECX 012ECDB1 56 PUSH ESI 012ECDB2 BE F2E34800 MOV ESI,48E3F2 012ECDB7 BE EA774A00 MOV ESI,4A77EA 012ECDBC C3 RETN 来到这里，但是返回到壳中的OEP， 2006-4-19 11:28 0
hao1geren 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	hao1geren 27 楼最初由爱一个人好难* 发布* 破解了作者的软件，还那去买，简直是剽窃他人的合法利益！这种事情见怪不怪了，比如当初传奇的挂机外挂，其中有3个外挂模样几乎一样就是改了个名字，还有类似 “便宜外挂”的诸多外挂只要有这种PJ能力，就。。。了 2006-4-19 11:58 0
hao1geren 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	hao1geren 28 楼最初由酷酷发布即然你这么支持正版，那你还是改用正版的WinXp吧，不要去市场上买五块钱一张的盗版光盘(光盘成本为１元一张，另外四元，算是破解组织的利润，应该也算有偿破解吧)大家都一样，何必装清高呢？我们这里3块钱一张，不过光盘的成本还没那么高，也就6-8毛钱 2006-4-19 11:59 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 29 楼倘若是这样，与情中玉那厮有和区别！无语 2006-4-19 12:10 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 30 楼看雪论坛是不欢迎收费破解的，如果在论坛发这类广告，是见一个杀一个的 2006-4-19 12:12 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 31 楼最初由酷酷发布即然你这么支持正版，那你还是改用正版的WinXp吧，不要去市场上买五块钱一张的盗版光盘(光盘成本为１元一张，另外四元，算是破解组织的利润，应该也算有偿破解吧)大家都一样，何必装清高呢？我不装清高，只是说出我的心声而已！我的系统是XPHOME正版的，破解的系统有的带病毒！ 2006-4-19 12:15 0
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 32 楼晕，小生我还是不能脱这个壳，主要是基础知识不够，还得学习呀！尤其是，自己加代码这一块，头都大了 2006-4-19 16:18 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 33 楼最初由 morose* 发布* 晕，小生我还是不能脱这个壳，主要是基础知识不够，还得学习呀！尤其是，自己加代码这一块，头都大了二进制粘贴,很方便呀! 2006-4-19 16:42 0
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 34 楼这个不回复都不行了我搞这个木马克星5.50 build 2403 几天了哈哈一直就修复不好 2006-4-19 19:19 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 35 楼最初由 lchhome* 发布* 世上没有免费的午餐你总不能无劳而获，再说技术就是财富！看雪不是免费的午餐吗？ fly拿了工资吗？你做不到，不要说别人也做不到 2006-4-19 19:36 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 36 楼最初由 girl* 发布* 看雪不是免费的午餐吗？ fly拿了工资吗？你做不到，不要说别人也做不到对人品好的人只有一个字――赞！ 2006-4-19 20:42 0
koala 雪币： 222 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 178 粉丝 0 关注私信	koala 3 37 楼 BS楼主一下 2006-4-19 22:39 0
阿里西瓜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	阿里西瓜 38 楼新版的加了自杀代码！！ 2006-4-20 00:08 0
hao1geren 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	hao1geren 39 楼最初由 girl* 发布* 看雪不是免费的午餐吗？ fly拿了工资吗？你做不到，不要说别人也做不到同意！ 2006-4-20 11:57 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 40 楼我只是觉得，靠破解谋取利润，也算是凭技术吃饭被说成骗钱，有点不公道，请问常年呆在这坛子里的人，哪个不是想提高自身的破解技术？而提高破解技术又是为什么？----难道说破解版就比正式版的好？最终还是因为正版软件要$$$ 或为了名声不管是为名还是为利-----这也算是利益的驱动人都不能脱俗----圣人也得吃饭，也得吃五谷杂粮 2006-4-20 12:26 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 41 楼最初由酷酷发布我只是觉得，靠破解谋取利润，也算是凭技术吃饭被说成骗钱，有点不公道，请问常年呆在这坛子里的人，哪个不是想提高自身的破解技术？而提高破解技术又是为什么？----难道说破解版就比正式版的好？最终还是因为正版软件要$$$ 或为了名声不管是为名还是为利-----这也算是利益的驱动人都不能脱俗----圣人也得吃饭，也得吃五谷杂粮说得好！强烈支持！就此，大家也可以讨论这个问题！这是个很现实的问题！ 2006-4-20 12:33 0
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 42 楼 005CCCF0 77D6A766 user32.DdeQueryConvInfo 005CCCF4 77D57F7C user32.DdeDisconnect 005CCCF8 77D57D7B user32.DdeConnect 005CCCFC 77D5A2EA user32.DdeUninitialize 005CCD00 77D5A4AE user32.DdeInitializeA 005CCD04 00000000 005CCD08 76D3B05D iphlpapi.GetUdpTable 005CCD0C 76D3ABE5 iphlpapi.GetTcpTable 005CCD10 00000000 005CCD14 10001660 getportl.GetXPPortList 005CCD18 00000000 005CCD1C 00371028 socketin.MonitorEnd 005CCD20 00000000 005CCD24 3E5C85AB 005CCD28 00000000 005CCD2C 003B1420 hookhook.SetHookReceiver 005CCD30 00000000 005CCD34 003B1550 hookhook.StartPasswordProtect 005CCD38 003B1580 hookhook.StopAPIHook 005CCD3C 003B17E0 hookhook.StartAPIHook 005CCD40 003B1930 hookhook.StartDebugHook 005CCD44 00000000 楼主我这是不是没有解密完全啊 2006-4-20 21:20 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 43 楼解密的IAT各不同函数之间是用00000000分开的你要找到IAT的起始地址到结束地址是否都是这样的，那就全解密了 005CCD24 3E5C85AB 这个好象没解密 2006-4-20 22:01 0
心情忆忆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	心情忆忆 44 楼好开心...............可以回复了,先支持一下.再好好看看, 2006-4-21 01:19 0
wuming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	wuming 45 楼好，顶。有没有脱ASProtect 2.0x Registered 的脱文？ 2006-4-21 12:48 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 46 楼网上多的是 2006-4-21 13:17 0
qqiu 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	qqiu 47 楼 00401000 我找到啊,内存里面,我只有10401000为什么啊??? 2006-4-21 14:33 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 48 楼最初由 machenglin* 发布* "在012E75F2句下断运行，注意数据区，可以看出ESI有17、42、AA三个值，其中17、AA不加密，只有42加密，把42改为AA即可" 这个可能只能作为个例。在调试中X1，X2，X3，要满足以下条件： X1=Y1 ........ 有的程序是三个值,有的程序是四个值,像你说的例子就是四个值的情况,一般是二个加密,二个不加密,只有自己测试怎么改才能不加密. 2006-4-21 16:48 0
侠盗雪币： 205 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 175 粉丝 0 关注私信	侠盗 49 楼正需要这样的文章！谢谢！ 2006-4-22 04:51 0
yzslly 雪币： 136 活跃值： (429) 能力值： ( LV9，RANK：170 ) 在线值：发帖 32 回帖 207 粉丝 1 关注私信	yzslly 4 50 楼不错，以前ASPR的脱壳教程少了些，现在呵呵。。。 2006-4-22 21:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lchhome

发帖

106

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) ◀ 1 2 3 ▶
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 26 楼然后按F7往下走到： 012ECDAF 2BF1 SUB ESI,ECX 012ECDB1 56 PUSH ESI 012ECDB2 BE F2E34800 MOV ESI,48E3F2 012ECDB7 BE EA774A00 MOV ESI,4A77EA 012ECDBC C3 RETN 来到这里，但是返回到壳中的OEP， 2006-4-19 11:28 0
hao1geren 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	hao1geren 27 楼最初由爱一个人好难* 发布* 破解了作者的软件，还那去买，简直是剽窃他人的合法利益！这种事情见怪不怪了，比如当初传奇的挂机外挂，其中有3个外挂模样几乎一样就是改了个名字，还有类似 “便宜外挂”的诸多外挂只要有这种PJ能力，就。。。了 2006-4-19 11:58 0
hao1geren 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	hao1geren 28 楼最初由酷酷发布即然你这么支持正版，那你还是改用正版的WinXp吧，不要去市场上买五块钱一张的盗版光盘(光盘成本为１元一张，另外四元，算是破解组织的利润，应该也算有偿破解吧)大家都一样，何必装清高呢？我们这里3块钱一张，不过光盘的成本还没那么高，也就6-8毛钱 2006-4-19 11:59 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 29 楼倘若是这样，与情中玉那厮有和区别！无语 2006-4-19 12:10 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 30 楼看雪论坛是不欢迎收费破解的，如果在论坛发这类广告，是见一个杀一个的 2006-4-19 12:12 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 31 楼最初由酷酷发布即然你这么支持正版，那你还是改用正版的WinXp吧，不要去市场上买五块钱一张的盗版光盘(光盘成本为１元一张，另外四元，算是破解组织的利润，应该也算有偿破解吧)大家都一样，何必装清高呢？我不装清高，只是说出我的心声而已！我的系统是XPHOME正版的，破解的系统有的带病毒！ 2006-4-19 12:15 0
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 32 楼晕，小生我还是不能脱这个壳，主要是基础知识不够，还得学习呀！尤其是，自己加代码这一块，头都大了 2006-4-19 16:18 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 33 楼最初由 morose* 发布* 晕，小生我还是不能脱这个壳，主要是基础知识不够，还得学习呀！尤其是，自己加代码这一块，头都大了二进制粘贴,很方便呀! 2006-4-19 16:42 0
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 34 楼这个不回复都不行了我搞这个木马克星5.50 build 2403 几天了哈哈一直就修复不好 2006-4-19 19:19 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 35 楼最初由 lchhome* 发布* 世上没有免费的午餐你总不能无劳而获，再说技术就是财富！看雪不是免费的午餐吗？ fly拿了工资吗？你做不到，不要说别人也做不到 2006-4-19 19:36 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 36 楼最初由 girl* 发布* 看雪不是免费的午餐吗？ fly拿了工资吗？你做不到，不要说别人也做不到对人品好的人只有一个字――赞！ 2006-4-19 20:42 0
koala 雪币： 222 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 178 粉丝 0 关注私信	koala 3 37 楼 BS楼主一下 2006-4-19 22:39 0
阿里西瓜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	阿里西瓜 38 楼新版的加了自杀代码！！ 2006-4-20 00:08 0
hao1geren 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	hao1geren 39 楼最初由 girl* 发布* 看雪不是免费的午餐吗？ fly拿了工资吗？你做不到，不要说别人也做不到同意！ 2006-4-20 11:57 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 40 楼我只是觉得，靠破解谋取利润，也算是凭技术吃饭被说成骗钱，有点不公道，请问常年呆在这坛子里的人，哪个不是想提高自身的破解技术？而提高破解技术又是为什么？----难道说破解版就比正式版的好？最终还是因为正版软件要$$$ 或为了名声不管是为名还是为利-----这也算是利益的驱动人都不能脱俗----圣人也得吃饭，也得吃五谷杂粮 2006-4-20 12:26 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 41 楼最初由酷酷发布我只是觉得，靠破解谋取利润，也算是凭技术吃饭被说成骗钱，有点不公道，请问常年呆在这坛子里的人，哪个不是想提高自身的破解技术？而提高破解技术又是为什么？----难道说破解版就比正式版的好？最终还是因为正版软件要$$$ 或为了名声不管是为名还是为利-----这也算是利益的驱动人都不能脱俗----圣人也得吃饭，也得吃五谷杂粮说得好！强烈支持！就此，大家也可以讨论这个问题！这是个很现实的问题！ 2006-4-20 12:33 0
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 42 楼 005CCCF0 77D6A766 user32.DdeQueryConvInfo 005CCCF4 77D57F7C user32.DdeDisconnect 005CCCF8 77D57D7B user32.DdeConnect 005CCCFC 77D5A2EA user32.DdeUninitialize 005CCD00 77D5A4AE user32.DdeInitializeA 005CCD04 00000000 005CCD08 76D3B05D iphlpapi.GetUdpTable 005CCD0C 76D3ABE5 iphlpapi.GetTcpTable 005CCD10 00000000 005CCD14 10001660 getportl.GetXPPortList 005CCD18 00000000 005CCD1C 00371028 socketin.MonitorEnd 005CCD20 00000000 005CCD24 3E5C85AB 005CCD28 00000000 005CCD2C 003B1420 hookhook.SetHookReceiver 005CCD30 00000000 005CCD34 003B1550 hookhook.StartPasswordProtect 005CCD38 003B1580 hookhook.StopAPIHook 005CCD3C 003B17E0 hookhook.StartAPIHook 005CCD40 003B1930 hookhook.StartDebugHook 005CCD44 00000000 楼主我这是不是没有解密完全啊 2006-4-20 21:20 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 43 楼解密的IAT各不同函数之间是用00000000分开的你要找到IAT的起始地址到结束地址是否都是这样的，那就全解密了 005CCD24 3E5C85AB 这个好象没解密 2006-4-20 22:01 0
心情忆忆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	心情忆忆 44 楼好开心...............可以回复了,先支持一下.再好好看看, 2006-4-21 01:19 0
wuming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	wuming 45 楼好，顶。有没有脱ASProtect 2.0x Registered 的脱文？ 2006-4-21 12:48 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 46 楼网上多的是 2006-4-21 13:17 0
qqiu 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	qqiu 47 楼 00401000 我找到啊,内存里面,我只有10401000为什么啊??? 2006-4-21 14:33 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 48 楼最初由 machenglin* 发布* "在012E75F2句下断运行，注意数据区，可以看出ESI有17、42、AA三个值，其中17、AA不加密，只有42加密，把42改为AA即可" 这个可能只能作为个例。在调试中X1，X2，X3，要满足以下条件： X1=Y1 ........ 有的程序是三个值,有的程序是四个值,像你说的例子就是四个值的情况,一般是二个加密,二个不加密,只有自己测试怎么改才能不加密. 2006-4-21 16:48 0
侠盗雪币： 205 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 175 粉丝 0 关注私信	侠盗 49 楼正需要这样的文章！谢谢！ 2006-4-22 04:51 0
yzslly 雪币： 136 活跃值： (429) 能力值： ( LV9，RANK：170 ) 在线值：发帖 32 回帖 207 粉丝 1 关注私信	yzslly 4 50 楼不错，以前ASPR的脱壳教程少了些，现在呵呵。。。 2006-4-22 21:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复