以壳解壳，菜鸟也脱ASProtect 1.23RC4-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

以壳解壳，菜鸟也脱ASProtect 1.23RC4

发表于: 2004-7-12 01:12 32378

以壳解壳，菜鸟也脱ASProtect 1.23RC4

小虾

2004-7-12 01:12

32378

查看主题内容

收藏・10

免费・7

支持

最新回复 (75) ◀ 1 2 3 4 ▶
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 26 楼我脱出来的程序在4063e4的数据和你的不一样是为什么啊,你的是API函数,我的是壳中的代码,有什么设置不同吗? 2004-7-17 11:52 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 27 楼可能是你脱壳过程Dump、组装、修复IAT、入口点修复等操作有误。 2004-7-17 14:31 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 28 楼我在没脱壳时,最后一步异常处,发现4063E4附近的数据和你脱出的程序不一样,和操作系统有关吗?我的是xp2002 ,或是ollydbg有关 2004-7-17 15:57 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 29 楼到最后一步异常时壳还没有完全解压，当然不同了。 2004-7-17 18:36 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 30 楼谢谢,已经搞定,是修复IAT时对象选错了,选了Ollydbg调试的文件,得不到完整的输入表,所以老出错,谢谢!!! 2004-7-18 02:52 0
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 31 楼支持！！ 2004-7-18 09:38 0
oinion 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 1 关注私信	oinion 32 楼试了几次，终於搞定了，也不知道前几次为何会失败，方法似乎都一样，怪了! 2004-7-25 02:11 0
xs007 雪币： 227 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	xs007 33 楼我也是啊，可能是LordPE~~~DUMP时的设置问题。也可能是： 00C656E7 \|F3:AA rep stos byte ptr es:[edi]　//在这里F2设一个断点。不用断。就在怀疑这两处出错了。HOHO~~~又做了几次~每次都成功。 2004-7-25 07:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 34 楼终于搞定了，不过为什么脱壳后用peid来查变成aspack2.12？ 2004-7-30 17:29 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 35 楼 1. 0012FF5C 00C6392C 0012FF60 00400000 NOTEPADy.00400000 0012FF64 F370A663 0012FF68 0012FFA4　//注意这个值。 0012FF6C 00C40000 为什么要注意这个值,在这下断的原理是什么? 2. 00C6571A 03C3 add eax,ebx ; NOTEPADy.00400000 00C6571C BB AC000000 mov ebx,0AC　//注意这个值，等下修复程序我们用得上。 00C65721 0BDB or ebx,ebx 00C65723 75 07 jnz short 00C6572C 00C65725 894424 1C mov dword ptr ss:[esp+1C],eax 00C65729 61 popad 00C6572A 50 push eax 00C6572B C3 retn 00C6572C E8 00000000 call 00C65731　//00C6572C动态地址必须记住，等一下用得着，这个地址是动态生成的，以你机器的地址为准。以壳解壳的目的是利用壳中处理STOLEN BYTES的代码,代替手动处理STOLEN BYTES!那么您是如何确定壳中代码何时开始处理的?另外解释一下为什么要注意ebp和这个动态地址! 我对原理的东西比较感兴趣,谢谢! 2004-8-19 14:02 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 36 楼不支持你都不行，祝小虾早日长成大虾~~~~ 有哪位愿意收我为徒吗？我是壳盲 2004-8-21 12:34 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 37 楼 QQ:93056345 愿意收徒弟玩的兄弟收留我啊~~~~：（ 2004-8-21 12:35 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 38 楼是啊，谁能说说meila2004提出的问题？我也不明白。 2004-8-27 18:59 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 39 楼 “现在我们来“组装”一下dumped.exe。先用LordPE打开dumped.exe，然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段，修改其Voffset=00860000（00C60000－00400000＝00860000），只保留LordPE的“验证PE”选项，最后重建PE。” 我没弄明白这一步到底怎么做的，请小虾兄指点迷津。 2004-8-30 16:34 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 40 楼看抓图： 2004-8-30 18:00 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 41 楼请问各位：哪里有AsprDbgr下载？我用GOOGLE没搜到。 2004-8-31 10:55 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 42 楼本论坛就有下载，搜索之。:) 2004-8-31 11:36 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 43 楼好文・・・支持・ 2004-9-1 15:42 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 44 楼还是看不懂。。唉！！！！你们说的我一点儿都不懂哦。努力ing 现在很多教程都不是讲的针对win2000的呀。现在都用2000了。还在门外徘徊哦。不得要领。。 2004-9-2 11:33 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 45 楼原因解释的也太…… 只教人how，却说不出why。。讨厌这种文章。 2004-9-2 13:48 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 46 楼最初由 likedust 发布原因解释的也太…… 只教人how，却说不出why。。讨厌这种文章。你先随着教程搞清楚how脱壳的如何？ 2004-9-2 14:47 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 47 楼最初由 likedust 发布原因解释的也太…… 只教人how，却说不出why。。讨厌这种文章。这种文章并不讨厌，当你看完了这些文章，你自己就学会了how，这时当你碰到这种类型的壳的时候，你就会脱了，当然如果你一时兴奋就写了下来，这时，别人看到了当然会问你why，当然你是不懂why的！所以你不回答！我想楼主不是想说，而是有些东西自己也没太弄明白，不想误导我们罢了！有空我们可以交流一下，慢慢的我相信我们自己也能搞清why的！ 2004-9-2 16:08 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 48 楼我成功不了，是xp系统，地址跟你的都不一样。。 2004-9-2 18:26 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 49 楼注意机器码！ 2004-9-3 00:00 0
aarfei 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	aarfei 50 楼这到底是什么东东 2004-10-10 00:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小虾

发帖

2248

回帖

410

RANK

关注

私信

他的文章

[原创]Exe程序尾部附加数据添加程序(含源码) 19120

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) ◀ 1 2 3 4 ▶
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 26 楼我脱出来的程序在4063e4的数据和你的不一样是为什么啊,你的是API函数,我的是壳中的代码,有什么设置不同吗? 2004-7-17 11:52 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 27 楼可能是你脱壳过程Dump、组装、修复IAT、入口点修复等操作有误。 2004-7-17 14:31 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 28 楼我在没脱壳时,最后一步异常处,发现4063E4附近的数据和你脱出的程序不一样,和操作系统有关吗?我的是xp2002 ,或是ollydbg有关 2004-7-17 15:57 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 29 楼到最后一步异常时壳还没有完全解压，当然不同了。 2004-7-17 18:36 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 30 楼谢谢,已经搞定,是修复IAT时对象选错了,选了Ollydbg调试的文件,得不到完整的输入表,所以老出错,谢谢!!! 2004-7-18 02:52 0
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 31 楼支持！！ 2004-7-18 09:38 0
oinion 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 1 关注私信	oinion 32 楼试了几次，终於搞定了，也不知道前几次为何会失败，方法似乎都一样，怪了! 2004-7-25 02:11 0
xs007 雪币： 227 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	xs007 33 楼我也是啊，可能是LordPE~~~DUMP时的设置问题。也可能是： 00C656E7 \|F3:AA rep stos byte ptr es:[edi]　//在这里F2设一个断点。不用断。就在怀疑这两处出错了。HOHO~~~又做了几次~每次都成功。 2004-7-25 07:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 34 楼终于搞定了，不过为什么脱壳后用peid来查变成aspack2.12？ 2004-7-30 17:29 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 35 楼 1. 0012FF5C 00C6392C 0012FF60 00400000 NOTEPADy.00400000 0012FF64 F370A663 0012FF68 0012FFA4　//注意这个值。 0012FF6C 00C40000 为什么要注意这个值,在这下断的原理是什么? 2. 00C6571A 03C3 add eax,ebx ; NOTEPADy.00400000 00C6571C BB AC000000 mov ebx,0AC　//注意这个值，等下修复程序我们用得上。 00C65721 0BDB or ebx,ebx 00C65723 75 07 jnz short 00C6572C 00C65725 894424 1C mov dword ptr ss:[esp+1C],eax 00C65729 61 popad 00C6572A 50 push eax 00C6572B C3 retn 00C6572C E8 00000000 call 00C65731　//00C6572C动态地址必须记住，等一下用得着，这个地址是动态生成的，以你机器的地址为准。以壳解壳的目的是利用壳中处理STOLEN BYTES的代码,代替手动处理STOLEN BYTES!那么您是如何确定壳中代码何时开始处理的?另外解释一下为什么要注意ebp和这个动态地址! 我对原理的东西比较感兴趣,谢谢! 2004-8-19 14:02 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 36 楼不支持你都不行，祝小虾早日长成大虾~~~~ 有哪位愿意收我为徒吗？我是壳盲 2004-8-21 12:34 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 37 楼 QQ:93056345 愿意收徒弟玩的兄弟收留我啊~~~~：（ 2004-8-21 12:35 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 38 楼是啊，谁能说说meila2004提出的问题？我也不明白。 2004-8-27 18:59 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 39 楼 “现在我们来“组装”一下dumped.exe。先用LordPE打开dumped.exe，然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段，修改其Voffset=00860000（00C60000－00400000＝00860000），只保留LordPE的“验证PE”选项，最后重建PE。” 我没弄明白这一步到底怎么做的，请小虾兄指点迷津。 2004-8-30 16:34 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 40 楼看抓图： 2004-8-30 18:00 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 41 楼请问各位：哪里有AsprDbgr下载？我用GOOGLE没搜到。 2004-8-31 10:55 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 42 楼本论坛就有下载，搜索之。:) 2004-8-31 11:36 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 43 楼好文・・・支持・ 2004-9-1 15:42 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 44 楼还是看不懂。。唉！！！！你们说的我一点儿都不懂哦。努力ing 现在很多教程都不是讲的针对win2000的呀。现在都用2000了。还在门外徘徊哦。不得要领。。 2004-9-2 11:33 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 45 楼原因解释的也太…… 只教人how，却说不出why。。讨厌这种文章。 2004-9-2 13:48 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 46 楼最初由 likedust 发布原因解释的也太…… 只教人how，却说不出why。。讨厌这种文章。你先随着教程搞清楚how脱壳的如何？ 2004-9-2 14:47 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 47 楼最初由 likedust 发布原因解释的也太…… 只教人how，却说不出why。。讨厌这种文章。这种文章并不讨厌，当你看完了这些文章，你自己就学会了how，这时当你碰到这种类型的壳的时候，你就会脱了，当然如果你一时兴奋就写了下来，这时，别人看到了当然会问你why，当然你是不懂why的！所以你不回答！我想楼主不是想说，而是有些东西自己也没太弄明白，不想误导我们罢了！有空我们可以交流一下，慢慢的我相信我们自己也能搞清why的！ 2004-9-2 16:08 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 48 楼我成功不了，是xp系统，地址跟你的都不一样。。 2004-9-2 18:26 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 49 楼注意机器码！ 2004-9-3 00:00 0
aarfei 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	aarfei 50 楼这到底是什么东东 2004-10-10 00:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复