[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta)

2006-5-10 08:55 9842

[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta)

linex

2006-5-10 08:55

9842

有时间的朋友帮忙给测试一下吧!
Asprotect2.3 Build4.26 Find OEP

/*
/////////////////////////////////////////////////////
Auther  : Linex	
version : v1.01
Test Environment : OllyDbg 1.1
                   ODBGScript 1.47 under WINXP or WIN2003
/////////////////////////////////////////////////////
*/

var tmp1            
var tmp2            
var tmp3            
var tmp4            
var tmp5            
var tmp6            
var tmp7            
var tmp8            
var tmp9            
var imgbase
var 1stsecbase
var 1stsecsize
var dllimgbase
var count
var transit1
var stolen
var stolenstart
var stolencmt
var stolenadds

checkversion:
cmp  $VERSION,"1.47"
jae  int3
msg  "ODBGScript version need 1.47 or higher!"
ret
int3:
msgyn "Setting:Ignore all exceptions except 'INT 3 breaks',Continue?(请设置忽略除INT3外的所有异常!继续吗?)"
cmp $RESULT,1
je  start					
ret
start:
dbh
BPHWCALL                //clear hardware breakpoint
GMI eip, MODULEBASE     //get imagebase
mov imgbase, $RESULT
log imgbase
mov tmp1, imgbase
add tmp1, 3C              //40003C
mov tmp1, [tmp1]
add tmp1, imgbase         //tmp1=signature VA
add tmp1, f8              //1st section
log tmp1
add tmp1, 8
mov 1stsecsize, [tmp1]
log 1stsecsize
add tmp1, 4
mov 1stsecbase, [tmp1]
add 1stsecbase, imgbase
log 1stsecbase
gpa "GetSystemTime", "kernel32.dll"
bp $RESULT
run
bc $RESULT
rtr
sti
GMEMI eip, MEMORYOWNER
mov dllimgbase, $RESULT
cmp dllimgbase, 0
je error
log dllimgbase
alloc 2000
mov stolen,$RESULT
log stolen
mov stolenstart,stolen
find dllimgbase, #3135310D0A#
mov tmp1, $RESULT
cmp tmp1, 0
je wrongver
mov tmp1, dllimgbase
add tmp1, 010e00
find tmp1, #B8050000005b5dc20400#      //MOV EAX,5 POP EBX POP EBP RETN 4
mov tmp4, $RESULT
cmp tmp4, 0
je error31
bphws tmp4 ,"x"

find tmp1, #8B45F08B55F43B55FC#          //remove anti
mov tmp5, $RESULT
cmp tmp5, 0
je wrongver
add tmp5,0e
bp tmp5 
 
find tmp1, #83c4245f5e5bc3#         //ADD ESP,24 POP EDI POP ESI POP EBX
mov tmp6, $RESULT
cmp tmp6, 0
je wrongver
sub tmp6,5
bphws tmp6 ,"x" 

find tmp1, #83c3088b0385c075df33c0#   //ADD EBX,8  MOV EAX,DWORD PTR DS:[EBX] TEST EAX,EAX
mov tmp7, $RESULT
cmp tmp7, 0
je error31
add tmp7,9
bp tmp7 
eob lab3
eoe lab3
run

lab3:
cmp eip, tmp4
je lab4
cmp eip,tmp5
je lab31
cmp eip,tmp7
je lab6
cmp eip,tmp6
je lab62
eob lab3
eoe lab3
run

lab31:
cmp !zf,1
je lab32
mov !zf,1
lab32:
bc tmp5
run

lab4:
mov [stolen],ebx
add stolen,4
run

lab6:
bc tmp7
bphwc tmp4
cob 
coe


lab61:
run
cmp eip,tmp6
je lab5
jmp lab61

lab62:
bc tmp7
bphwc tmp4
cob 
coe
bphwc tmp6
sti
rtr
sti
bprm 1stsecbase, 1stsecsize
run
bpmc
msg "OEP found, no stolen code at the OEP!"
pause
ret



lab5:
bphwc tmp6
sti
rtr
sti

oep:
msg "Stolen Oep Find !Press Ok to add cmtments"

cmtstolen:
mov stolencmt,[stolenstart]
cmp stolencmt,0
je end
mov tmp8,stolencmt
add tmp8,1
mov stolenadds,[tmp8]
mov stolenadds,stolenadds+stolencmt+5
eval "{stolencmt}"
cmt stolenadds, $RESULT
add stolenstart,4
jmp cmtstolen

end:

msg "cmtments  are added!"
ret


error:
msg "Error!"
pause
jmp end

wrongver:
msg "Unsupported Aspr version or it is not packed with Aspr?"
pause
jmp end

error31:
msg "Error 31!"
pause
jmp end

notfound:
msg "Not found"
pause

end:
ret

thank:
Volx,shoooo及帮助过我,支持我的朋友们!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

点赞・7

打赏

最新回复 (22)
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2006-5-10 08:58 2 楼 0 支持
baby2008 雪币： 442 活跃值： (1211) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 2006-5-10 09:38 3 楼 0 每天都有惊喜
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 2006-5-10 09:53 4 楼 0 ASPR 看来已经被分析到极点了
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 2006-5-10 11:03 5 楼 0 add to favorite...
yunfeng 雪币： 269 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 486 粉丝 0 关注私信	yunfeng 1 2006-5-10 12:26 6 楼 0 正在测试当中....
canmd 雪币： 203 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	canmd 2006-5-10 13:11 7 楼 0 测试当中....
jjwangjun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	jjwangjun 2006-5-10 14:36 8 楼 0 支持
arja 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 58 粉丝 0 关注私信	arja 2006-5-10 19:23 9 楼 0 好家伙顶啊！
SexFenG 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	SexFenG 2006-5-10 19:47 10 楼 0 老大。搞个Aspr stolen 的很方便的脚本啊,打破现在的僵局！
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 2006-5-10 19:51 11 楼 0 试一试脚本是不是这好
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 2006-5-10 23:16 12 楼 0 有了这个脚本省事多了
jjdg 雪币： 241 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 79 回帖 333 粉丝 2 关注私信	jjdg 2006-5-11 13:17 13 楼 0 为什么有的软件检测出来是asp的壳，用aspack脱了以后就不能运行了呢？
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-5-11 14:30 14 楼 0 楼上看来是新学,我以前就是aspack和Asprotect分不清的.
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2006-5-11 21:23 15 楼 0 箭在弦，没有靶，找了几个都是版本不对。先藏着，碰到了再用。谢谢楼主！
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 2006-8-7 16:27 16 楼 0 dump出来没办法运行，是不是还要修复iat啊
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 2006-8-7 17:29 17 楼 0 走到oep了，也dump了，但是iat不知如何修复，谁能指点一下么？
mengyanxu 雪币： 270 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 64 粉丝 0 关注私信	mengyanxu 2006-8-8 16:13 18 楼 0 强人支持一下
hbzqzjn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	hbzqzjn 2006-8-8 16:27 19 楼 0 好东西收下厉害
shineh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	shineh 2006-8-9 09:36 20 楼 0 谢谢楼主，学习
孤城雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	孤城 2006-8-9 22:02 21 楼 0 压缩壳和加密壳不一样的概念！
bairen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	bairen 2006-8-10 20:38 22 楼 0 支持,,,,相当支持
李东国雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 273 粉丝 1 关注私信	李东国 2006-8-11 15:53 23 楼 0 要支持的，呵呵
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

linex

发帖

267

回帖

290

RANK

关注

私信

他的文章

Execryptor加壳的MultiTranse 4.1.1

[原创]Processguard 中的自校验

[原创]Nspack3.7 Cracked

[求助] 如何为脱壳的软件重新加ASPR壳

[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2006-5-10 08:58 2 楼 0 支持
baby2008 雪币： 442 活跃值： (1211) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 2006-5-10 09:38 3 楼 0 每天都有惊喜
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 2006-5-10 09:53 4 楼 0 ASPR 看来已经被分析到极点了
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 2006-5-10 11:03 5 楼 0 add to favorite...
yunfeng 雪币： 269 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 486 粉丝 0 关注私信	yunfeng 1 2006-5-10 12:26 6 楼 0 正在测试当中....
canmd 雪币： 203 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	canmd 2006-5-10 13:11 7 楼 0 测试当中....
jjwangjun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	jjwangjun 2006-5-10 14:36 8 楼 0 支持
arja 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 58 粉丝 0 关注私信	arja 2006-5-10 19:23 9 楼 0 好家伙顶啊！
SexFenG 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	SexFenG 2006-5-10 19:47 10 楼 0 老大。搞个Aspr stolen 的很方便的脚本啊,打破现在的僵局！
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 2006-5-10 19:51 11 楼 0 试一试脚本是不是这好
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 2006-5-10 23:16 12 楼 0 有了这个脚本省事多了
jjdg 雪币： 241 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 79 回帖 333 粉丝 2 关注私信	jjdg 2006-5-11 13:17 13 楼 0 为什么有的软件检测出来是asp的壳，用aspack脱了以后就不能运行了呢？
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-5-11 14:30 14 楼 0 楼上看来是新学,我以前就是aspack和Asprotect分不清的.
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2006-5-11 21:23 15 楼 0 箭在弦，没有靶，找了几个都是版本不对。先藏着，碰到了再用。谢谢楼主！
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 2006-8-7 16:27 16 楼 0 dump出来没办法运行，是不是还要修复iat啊
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 2006-8-7 17:29 17 楼 0 走到oep了，也dump了，但是iat不知如何修复，谁能指点一下么？
mengyanxu 雪币： 270 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 64 粉丝 0 关注私信	mengyanxu 2006-8-8 16:13 18 楼 0 强人支持一下
hbzqzjn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	hbzqzjn 2006-8-8 16:27 19 楼 0 好东西收下厉害
shineh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	shineh 2006-8-9 09:36 20 楼 0 谢谢楼主，学习
孤城雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	孤城 2006-8-9 22:02 21 楼 0 压缩壳和加密壳不一样的概念！
bairen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	bairen 2006-8-10 20:38 22 楼 0 支持,,,,相当支持
李东国雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 273 粉丝 1 关注私信	李东国 2006-8-11 15:53 23 楼 0 要支持的，呵呵
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复