首页
社区
课程
招聘
[原创]ASProtect.SKE.2.11 stolen code解密
发表于: 2006-4-21 21:50 33788

[原创]ASProtect.SKE.2.11 stolen code解密

wak 活跃值
4
2006-4-21 21:50
33788
收藏
免费 7
支持
分享
最新回复 (59)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
不错啊!经典啊!
2006-7-20 20:45
0
雪    币: 225
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52

}
00A8897D 33C0 xor eax, eax
00A8897F 8A43 04 mov al, [ebx+4]
00A88982 8B55 F8 mov edx, [ebp-8]
00A88985 8B5482 40 mov edx, [edx+eax*4+40]
00A88989 8BC6 mov eax, esi
00A8898B FFD2 call edx
该call返回后是跳转类型:
eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73…..
00A8898D 8BD8 mov ebx, eax
00A8898F 8B4D 10 mov ecx, [ebp+10]
00A88992 8BD3 mov edx, ebx
00A88994 8B45 F8 mov eax, [ebp-8]
00A88997 E8 74FBFFFF call 00A88510
在00A88937 call 00A88510进行比较
00A8899C 84C0 test al, al
00A8899E 74 17 je short 00A889B7
00A8893E处如果不跳的话可来到:
00A88949 0345 F4 add eax, [ebp-C]
00A8894C 8B55 F8 mov edx, [ebp-8]
00A8894F 0342 68 add eax, [edx+68]
00A88952 EB 7B jmp short 00A889CF
00A8894F处eax就是原jxx跳后的地址。
跳的话可来到:
00A88957 8B45 F8 mov eax, [ebp-8]
00A8895A 8B40 18 mov eax, [eax+18]
00A8895D 03C7 add eax, edi
00A8895F 8B55 F8 mov edx, [ebp-8]
00A88962 0342 68 add eax, [edx+68]
00A88965 EB 68 jmp short 00A889CF
00A88962处eax就是原jxx不跳后的地址。
}//第二层返回
}//第一层返回


求教!!!!
大哥你後面的说明 我看不明白
小弟我下面这样的注释理解 对吗?

}
      00A8897D    33C0            xor     eax, eax
00A8897F    8A43 04         mov     al, [ebx+4]
00A88982    8B55 F8         mov     edx, [ebp-8]
00A88985    8B5482 40       mov     edx, [edx+eax*4+40]
00A88989    8BC6            mov     eax, esi
00A8898B    FFD2            call    edx
该call返回后是跳转类型:
eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73…..
00A8898D    8BD8            mov     ebx, eax
00A8898F    8B4D 10         mov     ecx, [ebp+10]
00A88992    8BD3            mov     edx, ebx
00A88994    8B45 F8         mov     eax, [ebp-8]
00A88997    E8 74FBFFFF     call    00A88510
在00A88997   call    00A88510进行比较         <----- 原来的是00A88937
00A8899C    84C0            test    al, al
00A8899E    74 17           je      short 00A889B7

00A8899E处如果不跳的话可来到:                <----- 原来的是00A8893E
00A88949    0345 F4         add     eax, [ebp-C]
00A8894C    8B55 F8         mov     edx, [ebp-8]
00A8894F    0342 68         add     eax, [edx+68]
00A88952    EB 7B           jmp     short 00A889CF
00A8894F处eax就是原jxx跳后的地址。

00A8899E处,如果跳的话可来到:        <----- 原来的是(跳的话可来到:)
00A88957    8B45 F8         mov     eax, [ebp-8]
00A8895A    8B40 18         mov     eax, [eax+18]
00A8895D    03C7            add     eax, edi
00A8895F    8B55 F8         mov     edx, [ebp-8]
00A88962    0342 68         add     eax, [edx+68]
00A88965    EB 68           jmp     short 00A889CF
00A88962处eax就是原jxx不跳后的地址。
  }//第二层返回
}//第一层返回

可是这行为何是这样啊?
00A8899E    74 17           je      short 00A889B7

为何不是这样呢?
00A8899E    74 xx           je      short 00A88957

>>>>>还是这片码的地址全贴错了?<<<<<<<<
00A88949    0345 F4         add     eax, [ebp-C]
00A8894C    8B55 F8         mov     edx, [ebp-8]
00A8894F    0342 68         add     eax, [edx+68]
00A88952    EB 7B           jmp     short 00A889CF
00A88957    8B45 F8         mov     eax, [ebp-8]
00A8895A    8B40 18         mov     eax, [eax+18]
00A8895D    03C7            add     eax, edi
00A8895F    8B55 F8         mov     edx, [ebp-8]
00A88962    0342 68         add     eax, [edx+68]
00A88965    EB 68           jmp     short 00A889CF
2006-7-22 18:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
谢谢,我正在学习这个
2006-7-22 19:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
精华啊!学习学习!可就是不敢碰啊!
2006-7-23 10:00
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
非常感谢...
2006-7-30 19:05
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
看不明白~~
那我也顶
2006-7-30 19:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
好好学习一下!~~~
2006-8-25 13:48
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
有没有相关的CrackMe啊?光看部分代码和过程解说总感觉没有实际操作来的好
2006-9-27 23:27
0
雪    币: 250
活跃值: (11)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
59
看来很快就会出现ASRP的脱壳机了,期待中~!~!
2006-9-28 14:50
0
雪    币: 235
活跃值: (12)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
60
未加壳的入口点:
00401350 > 55 push ebp
加壳后的入口点:
00C70270 55 push ebp

请问你这个加壳后的入口点是指壳的入口点还是OEP?根据理解,你应该说的是OEP。可为什么OEP的地址与未加壳的OEP地址不一样呢?
2006-11-7 22:21
0
游客
登录 | 注册 方可回帖
返回
//