求助 ASProtect2.1x 的OEP被偷-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

求助 ASProtect2.1x 的OEP被偷

发表于: 2006-4-26 13:15 5252

求助 ASProtect2.1x 的OEP被偷

chenyong

2006-4-26 13:15

5252

各位大侠快来看看:
  查壳显示为 ASProtect 2.1x SKE -> Alexey Solodovnikov
  寻找OEP
OD忽略除INT3外的所有异常（注意同时忽略以下所有异常前面不要选），过两次异常后在CODE段下内存断点，到这里
代码:
0040B760 3D 00100000    cmp    eax, 1000
0040B765 73 0E          jnb    short 0040B775
0040B767 F7D8          neg    eax
0040B769 03C4          add    eax, esp
0040B76B 83C0 04       add    eax, 4
0040B76E 8500          test [eax], eax
0040B770 94             xchg eax, esp
0040B771 8B00          mov    eax, [eax]
0040B773 50             push eax
0040B774 C3             retn
0040B775 51             push ecx
0040B776 8D4C24 08    lea    ecx, [esp+8]
0040B77A 81E9 00100000 sub    ecx, 1000
0040B780 2D 00100000    sub    eax, 1000
0040B785 8501          test [ecx], eax
0040B787 3D 00100000    cmp    eax, 1000
0040B78C  ^ 73 EC          jnb    short 0040B77A
0040B78E 2BC8          sub    ecx, eax
0040B790 8BC4          mov    eax, esp
0040B792 8501          test [ecx], eax
0040B794 8BE1          mov    esp, ecx
0040B796 8B08          mov    ecx, [eax]
0040B798 8B40 04       mov    eax, [eax+4]
0040B79B 50             push eax
0040B79C C3             retn

根据看雪大哥们的介绍,这里代码应该是OEP的入口处
而我这里却是 0040B760 3D 00100000    cmp    eax, 1000
请各位大侠来帮帮忙,看一看,这到底里怎么回事情?
偶是菜鸟,请大侠们来指教
附件:http://www.hzjy.cn/download/ASProtect2.1x脱壳练习.exe

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (11)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼修复参考这篇： http://bbs.pediy.com/showthread.php?s=&threadid=24437 2006-4-26 13:22 0
chenyong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	chenyong 3 楼感谢kanxue老大的回复,偶看过那篇贴子,但由于偶是菜鸟,还是不明白.能不能针对偶发的那个具体分析一下啊! 非常感谢kanxue老大. 2006-4-26 13:58 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼最初由 chenyong* 发布* 感谢kanxue老大的回复,偶看过那篇贴子,但由于偶是菜鸟,还是不明白.能不能针对偶发的那个具体分析一下啊! 非常感谢kanxue老大. 如果你的版本也是ASP2.11,那和http://bbs.pediy.com/showthread.php?s=&threadid=24437修复一样的。即然你是自己加壳的，可以比照着加壳前的程序来找规律。你这个实例OEP应是： 0040BD0E - E9 81458F00 jmp 00D00294 另外，如想完美修复OEP是有难度的，如你真的是菜鸟还得花功夫上去。新版的ASP 2.2我也不会。 2006-4-26 17:35 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 5 楼测试下跨平台怎么样用的是补区段方法上传的附件： unpack_.rar （419.49kb，12次下载） 2006-4-27 04:21 0
平凡季节雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	平凡季节 6 楼 unpack_.rar 可以用. 用PEID查壳显示:"NOTHING FOUND " 请CHINADEV 可否把破解的过程帖出来谢谢 2006-4-27 09:01 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 7 楼啊。。随手删了论坛上有不少这样的问题`你可以参看下 http://bbs.pediy.com/showthread.php?s=&threadid=24007 2006-4-27 09:12 0
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 8 楼我发现在加壳的时候,用同样的选项,在给这个程序加壳,如果这个程序是我用DEBUG编译生成的,则没有OEP偷取,其代码如下: 004ABCE8 /E9 F3F70300 jmp 004EB4E0 这里进去; 004ABCED \|E9 1EEF1100 jmp 005CAC10 004ABCF2 \|E9 C97A0D00 jmp 005837C0 004ABCF7 \|E9 F4470200 jmp 004D04F0 004ABCFC \|E9 1FBF1000 jmp 005B7C20 004ABD01 \|E9 7A421500 jmp 005FFF80 004ABD06 \|E9 A5A00900 jmp 00545DB0 004ABD0B \|E9 D0FC0500 jmp 0050B9E0 004ABD10 \|E9 2B6D0600 jmp 00512A40 004ABD15 \|E9 F6531100 jmp 005C1110 进去后到这里,就是OEP了 004EB4E0 55 push ebp 004EB4E1 8BEC mov ebp, esp 004EB4E3 6A FF push -1 004EB4E5 68 E8836500 push 006583E8 004EB4EA 68 B4D24A00 push 004AD2B4 004EB4EF 64:A1 00000000 mov eax, fs:[0] 004EB4F5 50 push eax 004EB4F6 64:8925 0000000>mov fs:[0], esp 004EB4FD 83C4 90 add esp, -70 004EB500 53 push ebx 004EB501 56 push esi 004EB502 57 push edi 004EB503 8965 E8 mov [ebp-18], esp 004EB506 B8 94000000 mov eax, 94 004EB50B E8 60C4FFFF call 004E7970 004EB510 8965 84 mov [ebp-7C], esp 004EB513 8965 E8 mov [ebp-18], esp 004EB516 8B45 84 mov eax, [ebp-7C] 004EB519 8945 90 mov [ebp-70], eax 004EB51C 8B4D 90 mov ecx, [ebp-70] 004EB51F C701 94000000 mov dword ptr [ecx], 94 004EB525 8B55 90 mov edx, [ebp-70] 004EB528 52 push edx 004EB529 FF15 2CFA6700 call [67FA2C] ; kernel32.GetVersionExA 004EB52F 8B45 90 mov eax, [ebp-70] 如果是用RELEASE模式编译生成的,则加壳时就出现楼主的情况.请问这是为什么? 哪位高人可以回答下. 在加壳的是时候用的选项是" Resources Protection Anti-Debugger Protection CheckSum Protection Preserve Extra Data Protect Original EntryPoint " 加壳工具为 ASProtect SKE 2.11 build 03.13 Release [ASProtect.aspr2] 2006-4-27 09:57 0
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 9 楼 chinadev 我也觉得你应该把过程贴出来哦偶也是菜鸟偶要学习, 就请你再辛苦下下,谢谢啦 ~~!! 2006-4-27 10:09 0
chenyong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	chenyong 10 楼最初由 kanxue* 发布* 如果你的版本也是ASP2.11,那和http://bbs.pediy.com/showthread.php?s=&threadid=24437修复一样的。即然你是自己加壳的，可以比照着加壳前的程序来找规律。你这个实例OEP应是： 0040BD0E - E9 81458F00 jmp 00D00294 ........ 感谢kanxue老大的回复,我对照着没加壳的程序,用OD打开,OEP为: 0040BD0E > $ 6A 60 push 60 0040BD10 . 68 C8824200 push 004282C8 0040BD15 . E8 1E100000 call 0040CD38 0040BD1A . BF 94000000 mov edi, 94 0040BD1F . 8BC7 mov eax, edi 0040BD21 . E8 3AFAFFFF call 0040B760 0040BD26 . 8965 E8 mov [ebp-18], esp 0040BD29 . 8BF4 mov esi, esp 0040BD2B . 893E mov [esi], edi 0040BD2D . 56 push esi ; /pVersionInformation 0040BD2E . FF15 88524200 call [<&KERNEL32.GetVersionExA>] ; \GetVersionExA 但是加了壳以后我还不知怎样寻找OEP,麻烦kanxue把具体的过程说一下好吗如果有空把这脱壳的全过程以贴子形式发出来好吗?辛苦kanxue老大了,再次感谢kanxue老大. 加壳工具为:ASProtect SKE 2.11 build 03.13 Release [ASProtect.aspr2] 加壳方式: Resources Protection Anti-Debugger Protection CheckSum Protection Preserve Extra Data Protect Original EntryPoin 2006-4-27 12:40 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 11 楼我也遇到同样问题还没解决楼主解决了可以交流一下啊 PM 我呵呵 2006-9-4 05:34 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 12 楼大哥你真强啊 30个区段你都搞顶啊佩服 2006-10-23 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chenyong

发帖

回帖

RANK

关注

私信

他的文章

求助 ASProtect2.1x 的OEP被偷 5253

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼修复参考这篇： http://bbs.pediy.com/showthread.php?s=&threadid=24437 2006-4-26 13:22 0
chenyong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	chenyong 3 楼感谢kanxue老大的回复,偶看过那篇贴子,但由于偶是菜鸟,还是不明白.能不能针对偶发的那个具体分析一下啊! 非常感谢kanxue老大. 2006-4-26 13:58 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼最初由 chenyong* 发布* 感谢kanxue老大的回复,偶看过那篇贴子,但由于偶是菜鸟,还是不明白.能不能针对偶发的那个具体分析一下啊! 非常感谢kanxue老大. 如果你的版本也是ASP2.11,那和http://bbs.pediy.com/showthread.php?s=&threadid=24437修复一样的。即然你是自己加壳的，可以比照着加壳前的程序来找规律。你这个实例OEP应是： 0040BD0E - E9 81458F00 jmp 00D00294 另外，如想完美修复OEP是有难度的，如你真的是菜鸟还得花功夫上去。新版的ASP 2.2我也不会。 2006-4-26 17:35 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 5 楼测试下跨平台怎么样用的是补区段方法上传的附件： unpack_.rar （419.49kb，12次下载） 2006-4-27 04:21 0
平凡季节雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	平凡季节 6 楼 unpack_.rar 可以用. 用PEID查壳显示:"NOTHING FOUND " 请CHINADEV 可否把破解的过程帖出来谢谢 2006-4-27 09:01 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 7 楼啊。。随手删了论坛上有不少这样的问题`你可以参看下 http://bbs.pediy.com/showthread.php?s=&threadid=24007 2006-4-27 09:12 0
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 8 楼我发现在加壳的时候,用同样的选项,在给这个程序加壳,如果这个程序是我用DEBUG编译生成的,则没有OEP偷取,其代码如下: 004ABCE8 /E9 F3F70300 jmp 004EB4E0 这里进去; 004ABCED \|E9 1EEF1100 jmp 005CAC10 004ABCF2 \|E9 C97A0D00 jmp 005837C0 004ABCF7 \|E9 F4470200 jmp 004D04F0 004ABCFC \|E9 1FBF1000 jmp 005B7C20 004ABD01 \|E9 7A421500 jmp 005FFF80 004ABD06 \|E9 A5A00900 jmp 00545DB0 004ABD0B \|E9 D0FC0500 jmp 0050B9E0 004ABD10 \|E9 2B6D0600 jmp 00512A40 004ABD15 \|E9 F6531100 jmp 005C1110 进去后到这里,就是OEP了 004EB4E0 55 push ebp 004EB4E1 8BEC mov ebp, esp 004EB4E3 6A FF push -1 004EB4E5 68 E8836500 push 006583E8 004EB4EA 68 B4D24A00 push 004AD2B4 004EB4EF 64:A1 00000000 mov eax, fs:[0] 004EB4F5 50 push eax 004EB4F6 64:8925 0000000>mov fs:[0], esp 004EB4FD 83C4 90 add esp, -70 004EB500 53 push ebx 004EB501 56 push esi 004EB502 57 push edi 004EB503 8965 E8 mov [ebp-18], esp 004EB506 B8 94000000 mov eax, 94 004EB50B E8 60C4FFFF call 004E7970 004EB510 8965 84 mov [ebp-7C], esp 004EB513 8965 E8 mov [ebp-18], esp 004EB516 8B45 84 mov eax, [ebp-7C] 004EB519 8945 90 mov [ebp-70], eax 004EB51C 8B4D 90 mov ecx, [ebp-70] 004EB51F C701 94000000 mov dword ptr [ecx], 94 004EB525 8B55 90 mov edx, [ebp-70] 004EB528 52 push edx 004EB529 FF15 2CFA6700 call [67FA2C] ; kernel32.GetVersionExA 004EB52F 8B45 90 mov eax, [ebp-70] 如果是用RELEASE模式编译生成的,则加壳时就出现楼主的情况.请问这是为什么? 哪位高人可以回答下. 在加壳的是时候用的选项是" Resources Protection Anti-Debugger Protection CheckSum Protection Preserve Extra Data Protect Original EntryPoint " 加壳工具为 ASProtect SKE 2.11 build 03.13 Release [ASProtect.aspr2] 2006-4-27 09:57 0
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 9 楼 chinadev 我也觉得你应该把过程贴出来哦偶也是菜鸟偶要学习, 就请你再辛苦下下,谢谢啦 ~~!! 2006-4-27 10:09 0
chenyong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	chenyong 10 楼最初由 kanxue* 发布* 如果你的版本也是ASP2.11,那和http://bbs.pediy.com/showthread.php?s=&threadid=24437修复一样的。即然你是自己加壳的，可以比照着加壳前的程序来找规律。你这个实例OEP应是： 0040BD0E - E9 81458F00 jmp 00D00294 ........ 感谢kanxue老大的回复,我对照着没加壳的程序,用OD打开,OEP为: 0040BD0E > $ 6A 60 push 60 0040BD10 . 68 C8824200 push 004282C8 0040BD15 . E8 1E100000 call 0040CD38 0040BD1A . BF 94000000 mov edi, 94 0040BD1F . 8BC7 mov eax, edi 0040BD21 . E8 3AFAFFFF call 0040B760 0040BD26 . 8965 E8 mov [ebp-18], esp 0040BD29 . 8BF4 mov esi, esp 0040BD2B . 893E mov [esi], edi 0040BD2D . 56 push esi ; /pVersionInformation 0040BD2E . FF15 88524200 call [<&KERNEL32.GetVersionExA>] ; \GetVersionExA 但是加了壳以后我还不知怎样寻找OEP,麻烦kanxue把具体的过程说一下好吗如果有空把这脱壳的全过程以贴子形式发出来好吗?辛苦kanxue老大了,再次感谢kanxue老大. 加壳工具为:ASProtect SKE 2.11 build 03.13 Release [ASProtect.aspr2] 加壳方式: Resources Protection Anti-Debugger Protection CheckSum Protection Preserve Extra Data Protect Original EntryPoin 2006-4-27 12:40 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 11 楼我也遇到同样问题还没解决楼主解决了可以交流一下啊 PM 我呵呵 2006-9-4 05:34 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 12 楼大哥你真强啊 30个区段你都搞顶啊佩服 2006-10-23 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复