[原创]ASProtect.SKE.2.11 stolen code解密-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (59) ◀ 1 2 3
梁小玉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	梁小玉 51 楼不错啊！经典啊！ 2006-7-20 20:45 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 52 楼 } 00A8897D 33C0 xor eax, eax 00A8897F 8A43 04 mov al, [ebx+4] 00A88982 8B55 F8 mov edx, [ebp-8] 00A88985 8B5482 40 mov edx, [edx+eax4+40] 00A88989 8BC6 mov eax, esi 00A8898B FFD2 call edx 该call返回后是跳转类型： eax = 0,1,2,3,4,5….分别对应机器码70，71，72，73….. 00A8898D 8BD8 mov ebx, eax 00A8898F 8B4D 10 mov ecx, [ebp+10] 00A88992 8BD3 mov edx, ebx 00A88994 8B45 F8 mov eax, [ebp-8] 00A88997 E8 74FBFFFF call 00A88510 在00A88937 call 00A88510进行比较 00A8899C 84C0 test al, al 00A8899E 74 17 je short 00A889B7 00A8893E处如果不跳的话可来到： 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A8894F处eax就是原jxx跳后的地址。跳的话可来到： 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 00A88962处eax就是原jxx不跳后的地址。 }//第二层返回 }//第一层返回求教！！！！大哥你後面的说明我看不明白小弟我下面这样的注释理解对吗？ } 00A8897D 33C0 xor eax, eax 00A8897F 8A43 04 mov al, [ebx+4] 00A88982 8B55 F8 mov edx, [ebp-8] 00A88985 8B5482 40 mov edx, [edx+eax4+40] 00A88989 8BC6 mov eax, esi 00A8898B FFD2 call edx 该call返回后是跳转类型： eax = 0,1,2,3,4,5….分别对应机器码70，71，72，73….. 00A8898D 8BD8 mov ebx, eax 00A8898F 8B4D 10 mov ecx, [ebp+10] 00A88992 8BD3 mov edx, ebx 00A88994 8B45 F8 mov eax, [ebp-8] 00A88997 E8 74FBFFFF call 00A88510 在00A88997 call 00A88510进行比较 <----- 原来的是00A88937 00A8899C 84C0 test al, al 00A8899E 74 17 je short 00A889B7 00A8899E处如果不跳的话可来到： <----- 原来的是00A8893E 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A8894F处eax就是原jxx跳后的地址。 00A8899E处，如果跳的话可来到： <----- 原来的是(跳的话可来到：) 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 00A88962处eax就是原jxx不跳后的地址。 }//第二层返回 }//第一层返回可是这行为何是这样啊？ 00A8899E 74 17 je short 00A889B7 为何不是这样呢？ 00A8899E 74 xx je short 00A88957 >>>>>还是这片码的地址全贴错了？<<<<<<<< 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 2006-7-22 18:44 0
dgcl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dgcl 53 楼谢谢，我正在学习这个 2006-7-22 19:37 0
梁小玉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	梁小玉 54 楼精华啊！学习学习！可就是不敢碰啊！ 2006-7-23 10:00 0
alwsym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	alwsym 55 楼非常感谢... 2006-7-30 19:05 0
lghuai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	lghuai 56 楼看不明白～～那我也顶 2006-7-30 19:12 0
zhangl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	zhangl 57 楼好好学习一下！～～～ 2006-8-25 13:48 0
likeaa 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	likeaa 58 楼有没有相关的CrackMe啊？光看部分代码和过程解说总感觉没有实际操作来的好 2006-9-27 23:27 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 59 楼看来很快就会出现ASRP的脱壳机了,期待中~!~! 2006-9-28 14:50 0
iamcrackin 雪币： 235 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 43 回帖 169 粉丝 0 关注私信	iamcrackin 3 60 楼未加壳的入口点： 00401350 > 55 push ebp 加壳后的入口点： 00C70270 55 push ebp 请问你这个加壳后的入口点是指壳的入口点还是OEP？根据理解，你应该说的是OEP。可为什么OEP的地址与未加壳的OEP地址不一样呢？ 2006-11-7 22:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (59) ◀ 1 2 3
梁小玉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	梁小玉 51 楼不错啊！经典啊！ 2006-7-20 20:45 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 52 楼 } 00A8897D 33C0 xor eax, eax 00A8897F 8A43 04 mov al, [ebx+4] 00A88982 8B55 F8 mov edx, [ebp-8] 00A88985 8B5482 40 mov edx, [edx+eax4+40] 00A88989 8BC6 mov eax, esi 00A8898B FFD2 call edx 该call返回后是跳转类型： eax = 0,1,2,3,4,5….分别对应机器码70，71，72，73….. 00A8898D 8BD8 mov ebx, eax 00A8898F 8B4D 10 mov ecx, [ebp+10] 00A88992 8BD3 mov edx, ebx 00A88994 8B45 F8 mov eax, [ebp-8] 00A88997 E8 74FBFFFF call 00A88510 在00A88937 call 00A88510进行比较 00A8899C 84C0 test al, al 00A8899E 74 17 je short 00A889B7 00A8893E处如果不跳的话可来到： 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A8894F处eax就是原jxx跳后的地址。跳的话可来到： 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 00A88962处eax就是原jxx不跳后的地址。 }//第二层返回 }//第一层返回求教！！！！大哥你後面的说明我看不明白小弟我下面这样的注释理解对吗？ } 00A8897D 33C0 xor eax, eax 00A8897F 8A43 04 mov al, [ebx+4] 00A88982 8B55 F8 mov edx, [ebp-8] 00A88985 8B5482 40 mov edx, [edx+eax4+40] 00A88989 8BC6 mov eax, esi 00A8898B FFD2 call edx 该call返回后是跳转类型： eax = 0,1,2,3,4,5….分别对应机器码70，71，72，73….. 00A8898D 8BD8 mov ebx, eax 00A8898F 8B4D 10 mov ecx, [ebp+10] 00A88992 8BD3 mov edx, ebx 00A88994 8B45 F8 mov eax, [ebp-8] 00A88997 E8 74FBFFFF call 00A88510 在00A88997 call 00A88510进行比较 <----- 原来的是00A88937 00A8899C 84C0 test al, al 00A8899E 74 17 je short 00A889B7 00A8899E处如果不跳的话可来到： <----- 原来的是00A8893E 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A8894F处eax就是原jxx跳后的地址。 00A8899E处，如果跳的话可来到： <----- 原来的是(跳的话可来到：) 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 00A88962处eax就是原jxx不跳后的地址。 }//第二层返回 }//第一层返回可是这行为何是这样啊？ 00A8899E 74 17 je short 00A889B7 为何不是这样呢？ 00A8899E 74 xx je short 00A88957 >>>>>还是这片码的地址全贴错了？<<<<<<<< 00A88949 0345 F4 add eax, [ebp-C] 00A8894C 8B55 F8 mov edx, [ebp-8] 00A8894F 0342 68 add eax, [edx+68] 00A88952 EB 7B jmp short 00A889CF 00A88957 8B45 F8 mov eax, [ebp-8] 00A8895A 8B40 18 mov eax, [eax+18] 00A8895D 03C7 add eax, edi 00A8895F 8B55 F8 mov edx, [ebp-8] 00A88962 0342 68 add eax, [edx+68] 00A88965 EB 68 jmp short 00A889CF 2006-7-22 18:44 0
dgcl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dgcl 53 楼谢谢，我正在学习这个 2006-7-22 19:37 0
梁小玉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	梁小玉 54 楼精华啊！学习学习！可就是不敢碰啊！ 2006-7-23 10:00 0
alwsym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	alwsym 55 楼非常感谢... 2006-7-30 19:05 0
lghuai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	lghuai 56 楼看不明白～～那我也顶 2006-7-30 19:12 0
zhangl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	zhangl 57 楼好好学习一下！～～～ 2006-8-25 13:48 0
likeaa 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	likeaa 58 楼有没有相关的CrackMe啊？光看部分代码和过程解说总感觉没有实际操作来的好 2006-9-27 23:27 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 59 楼看来很快就会出现ASRP的脱壳机了,期待中~!~! 2006-9-28 14:50 0
iamcrackin 雪币： 235 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 43 回帖 169 粉丝 0 关注私信	iamcrackin 3 60 楼未加壳的入口点： 00401350 > 55 push ebp 加壳后的入口点： 00C70270 55 push ebp 请问你这个加壳后的入口点是指壳的入口点还是OEP？根据理解，你应该说的是OEP。可为什么OEP的地址与未加壳的OEP地址不一样呢？ 2006-11-7 22:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复