首页
社区
课程
招聘
以壳解壳,菜鸟也脱ASProtect 1.23RC4
发表于: 2004-7-12 01:12 32402

以壳解壳,菜鸟也脱ASProtect 1.23RC4

2004-7-12 01:12
32402
00401000 N>  68 01D04000         [color=#0000D0]push[/color] NOTEPADy.0040D001[color=#008000] //载入后停在这里。[/color]
00401005     E8 01000000         [color=#0000D0]call[/color] NOTEPADy.0040100B
0040100A     C3                  [color=#0000D0]retn[/color]
0040100B     C3                  [color=#0000D0]retn[/color]
0040100C     72 79               [color=#0000D0]jb[/color] short NOTEPADy.00401087
0040100E     BD 1E8EF67C         [color=#0000D0]mov[/color] [color=#FF0000]ebp[/color],7CF68E1E
00401013     871E                [color=#0000D0]xchg[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[[color=#FF0000]esi[/color]],[color=#FF0000]ebx[/color]
00401015     89BD 723363B2       [color=#0000D0]mov[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]+B2633372],e>
0040101B     B1 39               [color=#0000D0]mov[/color] [color=#FF0000]cl[/color],39
00C539EC     3100                [color=#0000D0]xor[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[[color=#FF0000]eax[/color]],eax[color=#008000] //最后一次异常[/color]
00C539EE     64:8F05 00000000    [color=#0000D0]pop[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]fs[/color]:[0]
00C539F5     58                  [color=#0000D0]pop[/color] [color=#FF0000]eax[/color]
00C539F6     833D B07EC500 00    [color=#0000D0]cmp[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[C57EB0],0
00C539FD     74 14               [color=#0000D0]je[/color] short 00C53A13
00C539FF     6A 0C               [color=#0000D0]push[/color] 0C
00C53A01     B9 B07EC500         [color=#0000D0]mov[/color] [color=#FF0000]ecx[/color],0C57EB0
00C53A06     8D45 F8             [color=#0000D0]lea[/color] [color=#FF0000]eax[/color],[color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]-8]
00C53A09     BA 04000000         [color=#0000D0]mov[/color] [color=#FF0000]edx[/color],4
00C53A0E     E8 2DD1FFFF         [color=#0000D0]call[/color] 00C50B40
00C53A13     FF75 FC             [color=#0000D0]push[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]-4]
00C53A16     FF75 F8             [color=#0000D0]push[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]-8]
00C53A19     8B45 F4             [color=#0000D0]mov[/color] [color=#FF0000]eax[/color],[color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]-C]
00C53A1C     8338 00             [color=#0000D0]cmp[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[[color=#FF0000]eax[/color]],0
00C53A1F     74 02               [color=#0000D0]je[/color] short 00C53A23
00C53A21     FF30                [color=#0000D0]push[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[[color=#FF0000]eax[/color]]
00C53A23     FF75 F0             [color=#0000D0]push[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]-10]
00C53A26     FF75 EC             [color=#0000D0]push[/color] [color=#b000b0]dword[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ss[/color]:[[color=#FF0000]ebp[/color]-14]
00C53A29     C3                  retn[color=#008000] //我们在这里F2设一个断点,Shift+F9运行,中断在这里。[/color]
0012FF5C  00C6392C
0012FF60  00400000  NOTEPADy.00400000
0012FF64  F370A663
0012FF68  0012FFA4[color=#008000] //注意这个值。[/color]
0012FF6C  00C40000
00C656D4    /EB 44               [color=#0000D0]jmp[/color] short 00C6571A[color=#008000] //硬件中断在这里。[/color]
00C656D6    |EB 01               [color=#0000D0]jmp[/color] short 00C656D9
00C656D8    |9A 51579CFC BF00    [color=#0000D0]call[/color] far 00BF:FC9C5751
00C656DF    |0000                [color=#0000D0]add[/color] [color=#b000b0]byte[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[[color=#FF0000]eax[/color]],[color=#FF0000]al[/color]
00C656E1    |00B9 00000000       [color=#0000D0]add[/color] [color=#b000b0]byte[/color] [color=#b000b0]ptr[/color] [color=#FF0000]ds[/color]:[[color=#FF0000]ecx[/color]],[color=#FF0000]bh[/color]
00C656E7    |F3:AA               [color=#0000D0]rep[/color] [color=#0000D0]stos[/color] [color=#b000b0]byte[/color] [color=#b000b0]ptr[/color] [color=#FF0000]es[/color]:[[color=#FF0000]edi[/color]][color=#008000] //在这里F2设一个断点。[/color]
00C656E9    |9D                  [color=#0000D0]popfd[/color]
00C656EA    |5F                  [color=#0000D0]pop[/color] [color=#FF0000]edi[/color]
00C656EB    |59                  [color=#0000D0]pop[/color] [color=#FF0000]ecx[/color]
00C656EC    |C3                  [color=#0000D0]retn[/color]

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (75)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
支持一下
大家一起努力  :D
2004-7-12 01:14
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
3
谢谢Fly前辈的鼓励。:)
2004-7-12 01:17
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢,正学ASProtect 的脱壳
2004-7-12 01:23
0
雪    币: 15116
活跃值: (4878)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
写的详细~不错,支持一下,Fly都说大家一起努力了...可惜偶还是脱不调AMR的BT壳...哭了..一点头绪都没有.....:o
2004-7-12 03:49
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
6
最初由 LOCKLOSE 发布
写的详细~不错,支持一下,Fly都说大家一起努力了...可惜偶还是脱不调AMR的BT壳...哭了..一点头绪都没有.....:o


在搞带CC的AMR?
2004-7-12 10:12
0
雪    币: 227
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
支持一下,自己什么时候也应该练得写写破文
2004-7-12 10:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
原来你就是小虾说。
:D :D
2004-7-12 12:16
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
9
我的LOADPE设置正确吗?为什么我组装出来的东东根本无法用OD载入?
2004-7-12 14:56
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
10
组装时只保留“Validate PE”选项
去掉上面的第一个选项
2004-7-12 15:01
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
11
最初由 fly 发布
组装时只保留“Validate PE”选项
去掉上面的第一个选项


已经去掉了第一人选项,可以用OD载入,并修改好了开头部分,但是还是不能运行,有空的兄弟帮着看看吧,谢谢点击下载:附件!unpack.rar
2004-7-12 15:16
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
12
输入表没搞好吧?
验证PE后再修复输入表
2004-7-12 15:20
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
13
最初由 fly 发布
输入表没搞好吧?
验证PE后再修复输入表


我是用AsprDbgr修复的,提示一切OK,没有无效的指针,继续努力中(还不清楚是啊里出的问题)

唉,重新做了一次,成了.到现在也不知为什么上次的不能用.(可能是第一次时,我脱运行了几次,脱了几个不同的dump,然后在修复时没有对应相应次数的原因吧)
2004-7-12 15:45
0
雪    币: 261
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
14
本代码的着色效果由xTiNt自动完成
下载xTiNt http://211.90.75.84/web/kanaun/download/xTiNt.rar

哦下不了
2004-7-12 16:43
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
15
2004-7-12 16:56
0
雪    币: 261
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
16
收到
谢谢大哥
2004-7-12 16:59
0
雪    币: 323
活跃值: (589)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
17
请clide2000把脱壳后的文件放上来参考一下!
2004-7-13 17:40
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
启动RecImport,OEP:00860000,RAV:000062E4,大小:240,搜索IAT
大家能告诉我这个菜鸟,这些是怎么知道的吗?
2004-7-13 17:53
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
19
最初由 springkang[DFCG 发布
请clide2000把脱壳后的文件放上来参考一下!


点击下载:附件!Unpack_dumped.rar

最初由 metalqiang 发布
启动RecImport,OEP:00860000,RAV:000062E4,大小:240,搜索IAT
大家能告诉我这个菜鸟,这些是怎么知道的吗?


这下面以经注释的很清楚了呀。
AsprDbgr v1.0beta <:P> Made by me... Manko.

  iEP=401000 <G:\Documents and Settings\whx\桌面\NOTEPADy.EXE>
[COLOR=red]
    IAT Start: 4062E4 //这个是IAT开始位置
          End: 406524 //结束地址
       Length: 240  //IAT大小
      IATentry 40639C = C51C64 resolved as GetModuleHandleA
      IATentry 4063E4 = C51CD8 resoLved as GetCommandLineA
    6 invalid entries erased.
  Dip-Table at adress: C57AB4
    0 0 0 0 0 0 0 0 0 0 0 0 0 0
  Last SEH passed. <C530EE> Searching for signatures. Singlestepping to OEP!
    Call + OEP-jump-setup at: C63AD4 < Gode: E8000000 5D81ED >
    Mutated, stolen byets at: C63B20 < Code: EB02CD20 F2EB019A >
    Erase of stolen bytes at: C63A83 < Code: 9CFCBFC2 3AC600B9 >
      Repz ... found. Skipping erase of stolen bytes. ;>
  possible <temp)OEP: 4010D3 <Reached from preOEP: C63A94>
2004-7-13 18:21
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
IAT Start: 4062E4 //这个是IAT开始位置
          End: 406524 //结束地址
       Length: 240  //IAT大小
其他壳的这个怎么找呢?初学者不大明白,谢谢解答~~~
2004-7-13 19:21
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
21
压缩壳的IAT比较好找,变态壳就不那好找了,这只能靠你去多看看精华文章自己学习。论坛有很多文章都有解释,你可以找找看。
2004-7-13 20:08
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
F8后程序将跳到这里,到了这里程序代码已经解开,可以用LordPE纠正一下文件大小后完整Dump下程序。
文件大小如何确定,如何纠正?谢谢3
原始大小和修正后的大小都是23000,正确吗?
接着我们再进行区域脱壳:00C60000,大小=00008000,也就是脱出上面的部分壳处理代码段.
  请问为什么大小是8000?
我已在LOADPE中发现此段,谢谢。
2004-7-13 21:45
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
23
纠正大小LordPE会自动完成。
区段脱壳大小为什么是8000,可以在LordPE区哉脱壳窗口中看到
附抓图两张:

2004-7-13 22:09
0
雪    币: 282
活跃值: (233)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
24
我脱出来的程序F9运行后显示
访问违反: 写入到 [FFFFFFFF]  地址是00941CD8
我跟踪原程序,发现00941CD8处有数据,而脱壳后的程序没有,请大虾指教一下,能把脱完的程序发我一个吗?我的邮箱是:
[email]wangli_com@163.com[/email]
2004-7-16 22:07
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
25
最初由 wangli_com 发布
我脱出来的程序F9运行后显示
访问违反: 写入到 [FFFFFFFF] 地址是00941CD8
我跟踪原程序,发现00941CD8处有数据,而脱壳后的程序没有,请大虾指教一下,能把脱完的程序发我一个吗?我的邮箱是:
[email]wangli_com@163.com[/email]

我已在19楼放上一个脱好的程序。
点击下载:附件!Unpack_dumped.rar
2004-7-16 23:31
0
游客
登录 | 注册 方可回帖
返回
//