Asprotect 2.XX SKE IAT Fixer v1.02.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Asprotect 2.XX SKE IAT Fixer v1.02.

发表于: 2006-4-23 21:03 72302

Asprotect 2.XX SKE IAT Fixer v1.02.

VolX

2006-4-23 21:03

72302

查看主题内容

收藏・4

免费・7

支持

最新回复 (190) ◀ 1 2 3 4 5 6 7 8 ▶
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 26 楼顶~顶~顶~~~ 2006-4-24 13:12 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 27 楼严重强帖! 2006-4-24 13:57 0
morose 雪币： 233 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 28 楼对不起，问一个超级无敌菜的问题，就是这个角本怎么用，用在什么地方，是OD里面的角本么？我是一个初入破解的新手，还请指点，批评!! 2006-4-24 18:27 0
eyesonly 雪币： 247 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 262 粉丝 0 关注私信	eyesonly 29 楼最初由 fly* 发布* 第 1001 次发帖？猛人，无数 2006-4-24 19:33 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 30 楼近乎完美了强 2006-4-24 19:44 0
fishsss 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	fishsss 31 楼学习了。收藏了 2006-4-24 22:11 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 32 楼我晕太强了~ 这个和自动脱壳机，没有区别~~ 2006-4-25 02:23 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 33 楼不过，没有停到OEP 2006-4-25 02:50 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 34 楼估计操作系统原因，提示好几行错误。 2006-4-25 07:03 0
morose 雪币： 233 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 35 楼 BPHWCALL //clear hardware breakpoint 有这样的命令么? 2006-4-25 08:22 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 36 楼第 1001 次发帖。是不是二进制 2006-4-25 08:42 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 37 楼最初由 usa* 发布* /* Script written by VolX version : v1.02 Test Environment : OllyDbg 1.1 ODBGScript 1.47 under WINXP Thanks : Oleh Yuschuk - author of OllyDbg SHaG - author of OllyScript Epsylon3 - author of ODbgScript */ 谁有这个ODBGScript 1.47? 2006-4-25 08:54 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 38 楼最初由林海雪原* 发布* 谁有这个ODBGScript 1.47? http://bbs.pediy.com/showthread.php?s=&threadid=24489 2006-4-25 08:55 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 39 楼最初由 kanxue* 发布* http://bbs.pediy.com/showthread.php?s=&threadid=24489 多谢老大! 2006-4-25 08:58 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 40 楼果然是这个的问题,现在好了! 2006-4-25 09:09 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 41 楼顶老牛! 2006-4-25 11:41 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 42 楼这个脚本经测试已经很棒了不过还可以完善譬如到OEP才停止、修复变形CALL下行被偷代码 2006-4-25 12:36 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 43 楼最初由 okdodo* 发布* 这个脚本经测试已经很棒了不过还可以完善譬如到OEP才停止、修复变形CALL下行被偷代码其实这个脚本是写着玩的，修复 call xxxxxxxx 的地方应该根据各程序的不同而定，有些程序要在更早的地方修复，如有 pre-dip 的程序。印象中 syscom 的某个教程就有一个例子是叫 Multitranse 还是 MagicTrace ？在 OEP 或我这脚本所选的地方修复 call xxxxxxxx 都会漏掉几个 API 。 2006-4-25 20:50 0
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 44 楼简单的修复 Advanced Import Protection 的脚本只能针对特定的程序。。输入表加密了就没办法了。。要配合asm code 使用。首先要找到 00AB5FBD 68 D45FAB00 push 0AB5FD4 00AB5FC2 FF75 14 push dword ptr ss:[ebp+14]－－》这里就是调用的地址;必需找到。 00AB5FC5 FF75 0C push dword ptr ss:[ebp+C] 00AB5FC8 8B45 08 mov eax,dword ptr ss:[ebp+8] 只要跟相应的call就能找得到的。。每一个调用应该都是这样子的。。下面脚本是我针对我自己写的一个程序。。 var StartCode //保存asm 代码起点 4167ef var tem //用做临时变量 var MyCode // var oep //变量保存，原始eip var n //保存未知的 mov oep,eip //这里保存 mov StartCode,11880 // mov n,0 mov eip,StartCode mov tem,eip add tem,19 bp tem //当找到加密代码时，会在这里断下 mov tem,eip add tem,24 bp tem //当查代代码结束时断下 bp AB5FC5 //输入表在ds:[esp]里面 eob le1 //当发生中断时执行这里的脚本 eoe le1 run le1: mov tem,StartCode add tem,19 cmp eip,tem //中断时比较是否为查加密代码处 je break0 cmp eip,AB5FC5//执行壳里面的代码之后会在这里 je break1 mov tem,StartCode add tem,24 cmp eip,tem //比较搜索是否结束 je break2 ret break0: mov MyCode,edx//save edx to Mycode mov eip,edx run ret break2: mov eip,oep mov eax,n ret break1: mov eax,[esp] mov tem,StartCode add tem,26 mov eip,tem mov edx,MyCode// 恢复edx run ret －－－－－－－－－－－－－］ asmcdoe 00011880 BA 00104000 mov edx,QQCrack.<ModuleEntryPoint> 00011885 803A E8 cmp byte ptr ds:[edx],0E8 00011888 75 11 jnz short 0001189B 0001188A 8B42 01 mov eax,dword ptr ds:[edx+1] 0001188D 03C2 add eax,edx 0001188F 83C0 05 add eax,5 00011892 3D 00001C01 cmp eax,11C0000 00011897 75 02 jnz short 0001189B 00011899 8BC0 mov eax,eax 0001189B 42 inc edx 0001189C 81FA 55314000 cmp edx,403155 000118A2 ^ 76 E1 jbe short 00011885 000118A4 8BC0 mov eax,eax 000118A6 33F6 xor esi,esi 000118A8 B9 00804000 mov ecx,408000 000118AD 3901 cmp dword ptr ds:[ecx],eax 000118AF 75 0A jnz short 000118BB 000118B1 894A 02 mov dword ptr ds:[edx+2],ecx 000118B4 66:C702 FF15 mov word ptr ds:[edx],15FF 000118B9 ^ EB CA jmp short 00011885 000118BB 83C1 04 add ecx,4 000118BE 81F9 C0804000 cmp ecx,4080C0 000118C4 ^ 7C E7 jl short 000118AD 000118C6 42 inc edx 000118C7 ^ EB BC jmp short 00011885 2006-4-25 22:58 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 45 楼最初由 VolX* 发布* 其实这个脚本是写着玩的，修复 call xxxxxxxx 的地方应该根据各程序的不同而定，有些程序要在更早的地方修复，如有 pre-dip 的程序。印象中 syscom 的某个教程就有一个例子是叫 Multitranse 还是 MagicTrace ？在 OEP 或我这脚本所选的地方修复 call xxxxxxxx 都会漏掉几个 API 。 Greets fly out to you,VolX :-) 2006-4-25 23:00 0
dbwjh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dbwjh 46 楼好啊!好啊!好啊! 2006-4-26 07:42 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 47 楼最初由 FlyToTheSpace* 发布* 简单的修复 Advanced Import Protection 的脚本只能针对特定的程序。。输入表加密了就没办法了。。要配合asm code 使用。输入表加密了可以先解密IAT后再用, 看别人的代码之前,不如自己先写一个,比较一下更容易理解. 2006-4-26 09:43 0
魔域苍龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	魔域苍龙 48 楼厉害顶 ~~~~~~ 2006-4-27 15:38 0
anchengw 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	anchengw 49 楼我用过这个脚本出现如下的错误：错误位于行61,文本：BPHWCALL 无此命令：BPHWCALL 这是怎么回事啊，请高人指点OD版本1.10 2006-4-27 20:20 0
ziro 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ziro 50 楼 nice post 2006-4-27 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

VolX

发帖

107

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (190) ◀ 1 2 3 4 5 6 7 8 ▶
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 26 楼顶~顶~顶~~~ 2006-4-24 13:12 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 27 楼严重强帖! 2006-4-24 13:57 0
morose 雪币： 233 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 28 楼对不起，问一个超级无敌菜的问题，就是这个角本怎么用，用在什么地方，是OD里面的角本么？我是一个初入破解的新手，还请指点，批评!! 2006-4-24 18:27 0
eyesonly 雪币： 247 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 262 粉丝 0 关注私信	eyesonly 29 楼最初由 fly* 发布* 第 1001 次发帖？猛人，无数 2006-4-24 19:33 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 30 楼近乎完美了强 2006-4-24 19:44 0
fishsss 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	fishsss 31 楼学习了。收藏了 2006-4-24 22:11 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 32 楼我晕太强了~ 这个和自动脱壳机，没有区别~~ 2006-4-25 02:23 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 33 楼不过，没有停到OEP 2006-4-25 02:50 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 34 楼估计操作系统原因，提示好几行错误。 2006-4-25 07:03 0
morose 雪币： 233 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 35 楼 BPHWCALL //clear hardware breakpoint 有这样的命令么? 2006-4-25 08:22 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 36 楼第 1001 次发帖。是不是二进制 2006-4-25 08:42 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 37 楼最初由 usa* 发布* /* Script written by VolX version : v1.02 Test Environment : OllyDbg 1.1 ODBGScript 1.47 under WINXP Thanks : Oleh Yuschuk - author of OllyDbg SHaG - author of OllyScript Epsylon3 - author of ODbgScript */ 谁有这个ODBGScript 1.47? 2006-4-25 08:54 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 38 楼最初由林海雪原* 发布* 谁有这个ODBGScript 1.47? http://bbs.pediy.com/showthread.php?s=&threadid=24489 2006-4-25 08:55 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 39 楼最初由 kanxue* 发布* http://bbs.pediy.com/showthread.php?s=&threadid=24489 多谢老大! 2006-4-25 08:58 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 40 楼果然是这个的问题,现在好了! 2006-4-25 09:09 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 41 楼顶老牛! 2006-4-25 11:41 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 42 楼这个脚本经测试已经很棒了不过还可以完善譬如到OEP才停止、修复变形CALL下行被偷代码 2006-4-25 12:36 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 43 楼最初由 okdodo* 发布* 这个脚本经测试已经很棒了不过还可以完善譬如到OEP才停止、修复变形CALL下行被偷代码其实这个脚本是写着玩的，修复 call xxxxxxxx 的地方应该根据各程序的不同而定，有些程序要在更早的地方修复，如有 pre-dip 的程序。印象中 syscom 的某个教程就有一个例子是叫 Multitranse 还是 MagicTrace ？在 OEP 或我这脚本所选的地方修复 call xxxxxxxx 都会漏掉几个 API 。 2006-4-25 20:50 0
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 44 楼简单的修复 Advanced Import Protection 的脚本只能针对特定的程序。。输入表加密了就没办法了。。要配合asm code 使用。首先要找到 00AB5FBD 68 D45FAB00 push 0AB5FD4 00AB5FC2 FF75 14 push dword ptr ss:[ebp+14]－－》这里就是调用的地址;必需找到。 00AB5FC5 FF75 0C push dword ptr ss:[ebp+C] 00AB5FC8 8B45 08 mov eax,dword ptr ss:[ebp+8] 只要跟相应的call就能找得到的。。每一个调用应该都是这样子的。。下面脚本是我针对我自己写的一个程序。。 var StartCode //保存asm 代码起点 4167ef var tem //用做临时变量 var MyCode // var oep //变量保存，原始eip var n //保存未知的 mov oep,eip //这里保存 mov StartCode,11880 // mov n,0 mov eip,StartCode mov tem,eip add tem,19 bp tem //当找到加密代码时，会在这里断下 mov tem,eip add tem,24 bp tem //当查代代码结束时断下 bp AB5FC5 //输入表在ds:[esp]里面 eob le1 //当发生中断时执行这里的脚本 eoe le1 run le1: mov tem,StartCode add tem,19 cmp eip,tem //中断时比较是否为查加密代码处 je break0 cmp eip,AB5FC5//执行壳里面的代码之后会在这里 je break1 mov tem,StartCode add tem,24 cmp eip,tem //比较搜索是否结束 je break2 ret break0: mov MyCode,edx//save edx to Mycode mov eip,edx run ret break2: mov eip,oep mov eax,n ret break1: mov eax,[esp] mov tem,StartCode add tem,26 mov eip,tem mov edx,MyCode// 恢复edx run ret －－－－－－－－－－－－－］ asmcdoe 00011880 BA 00104000 mov edx,QQCrack.<ModuleEntryPoint> 00011885 803A E8 cmp byte ptr ds:[edx],0E8 00011888 75 11 jnz short 0001189B 0001188A 8B42 01 mov eax,dword ptr ds:[edx+1] 0001188D 03C2 add eax,edx 0001188F 83C0 05 add eax,5 00011892 3D 00001C01 cmp eax,11C0000 00011897 75 02 jnz short 0001189B 00011899 8BC0 mov eax,eax 0001189B 42 inc edx 0001189C 81FA 55314000 cmp edx,403155 000118A2 ^ 76 E1 jbe short 00011885 000118A4 8BC0 mov eax,eax 000118A6 33F6 xor esi,esi 000118A8 B9 00804000 mov ecx,408000 000118AD 3901 cmp dword ptr ds:[ecx],eax 000118AF 75 0A jnz short 000118BB 000118B1 894A 02 mov dword ptr ds:[edx+2],ecx 000118B4 66:C702 FF15 mov word ptr ds:[edx],15FF 000118B9 ^ EB CA jmp short 00011885 000118BB 83C1 04 add ecx,4 000118BE 81F9 C0804000 cmp ecx,4080C0 000118C4 ^ 7C E7 jl short 000118AD 000118C6 42 inc edx 000118C7 ^ EB BC jmp short 00011885 2006-4-25 22:58 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 45 楼最初由 VolX* 发布* 其实这个脚本是写着玩的，修复 call xxxxxxxx 的地方应该根据各程序的不同而定，有些程序要在更早的地方修复，如有 pre-dip 的程序。印象中 syscom 的某个教程就有一个例子是叫 Multitranse 还是 MagicTrace ？在 OEP 或我这脚本所选的地方修复 call xxxxxxxx 都会漏掉几个 API 。 Greets fly out to you,VolX :-) 2006-4-25 23:00 0
dbwjh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dbwjh 46 楼好啊!好啊!好啊! 2006-4-26 07:42 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 47 楼最初由 FlyToTheSpace* 发布* 简单的修复 Advanced Import Protection 的脚本只能针对特定的程序。。输入表加密了就没办法了。。要配合asm code 使用。输入表加密了可以先解密IAT后再用, 看别人的代码之前,不如自己先写一个,比较一下更容易理解. 2006-4-26 09:43 0
魔域苍龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	魔域苍龙 48 楼厉害顶 ~~~~~~ 2006-4-27 15:38 0
anchengw 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	anchengw 49 楼我用过这个脚本出现如下的错误：错误位于行61,文本：BPHWCALL 无此命令：BPHWCALL 这是怎么回事啊，请高人指点OD版本1.10 2006-4-27 20:20 0
ziro 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ziro 50 楼 nice post 2006-4-27 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复