ASProtect SKE 2.2 SDK中的API修复-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ASProtect SKE 2.2 SDK中的API修复

发表于: 2006-7-10 20:22 60055

ASProtect SKE 2.2 SDK中的API修复

kanxue

2006-7-10 20:22

60055

查看主题内容

收藏・14

免费・0

支持

最新回复 (93) ◀ 1 2 3 4 ▶
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 26 楼真是好文章，老大真厉害 2006-7-14 18:31 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 27 楼终于等到了，学习！ aspr的帮助文档哪里有？偶下的版本都没有带。。。。 2006-7-14 22:28 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 28 楼此时EAX＝1,结合源码及ASProtect帮助文档，可以猜出这个是GetRegistrationInformation。我跟踪了下这个 00404A2A - FF25 00504000 jmp [405000] 在00401212处eax的值仍然是1 为什么它是GetModeInformation？而不是GetRegistrationInformation？ 2006-7-15 06:40 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 29 楼最初由 chinadev* 发布* 我跟踪了下这个 00404A2A - FF25 00504000 jmp [405000] 在00401212处eax的值仍然是1 为什么它是GetModeInformation？而不是GetRegistrationInformation？参数可以区别开来： GetModeInformation( 0, &ModeName, &mode_status ); 这个参数：&mode_status 00401205 \|. 52 push edx //指向0012FA5C 00401206 \|. 68 CC864000 push 004086CC 0040120B \|. 6A 00 push 0 0040120D \|. E8 18380000 call 00404A2A 0012FA5C 00 04 00 00 E2 02 00 00 52 65 67 69 73 74 65 72 ...?..Register 0012FA6C 65 64 20 76 65 72 73 69 6F 6E 21 00 00 00 00 00 ed version!..... 2006-7-15 10:43 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 30 楼最初由 hbqjxhw* 发布* #include "stdafx.h" #include "resource.h" #include <shellapi.h> #include "include/aspr_api.h" #include "include/asprotect.h" kanxue楼主这几个文件在哪找? ........ 下载一个ASProtect SKE 2.2 Release原版，安装，在Examples目录下。 2006-7-15 10:48 0
kkangs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kkangs 31 楼 good! thanks~ 2006-7-17 19:59 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 32 楼最初由 Bewaar* 发布* 老大的文章每次都有一种里程碑似的指导意义，学习了。 nod.. 学习.. 发现Aspr2.2好象又强壮了不少 2006-7-18 16:07 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 33 楼强强强强 2006-7-19 12:49 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 34 楼你们个个怎么哪么牛啊。佩服，哎，我不知道要学到何年何月去了 2006-9-25 12:21 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 35 楼看雪一发帖,都是精品中的精品,只有学习的份了 2006-9-28 14:58 0
叶孓落落雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	叶孓落落 36 楼收藏啦... 2006-10-26 12:13 0
hcfhcf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	hcfhcf 37 楼如果此时运行脱壳后的文件dumped_.exe，就会异常，因为程序里会调用ASProtect的API函数： 00404A18 $- FF25 0C504000 jmp [40500C] //F2下断点 00404A1E $- FF25 08504000 jmp [405008] //F2下断点 00404A24 $- FF25 04504000 jmp [405004] //F2下断点 00404A2A $- FF25 00504000 jmp [405000] //F2下断点 00404A30 $- FF25 10504000 jmp [405010] //F2下断点请问这个00404A18这些地址是怎么找出来的？ 2006-12-5 18:14 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 38 楼当你修复IAT的时候,是不是有几个无效函数,而且地址n整齐? 那就是了. 2006-12-6 07:25 0
hcfhcf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	hcfhcf 39 楼但是那几个的地址跟这地址不一样，是不是一定要运行脱壳程序出错后看堆椎的返回？？？我现在脱的一个文件运行后不会出错(没有反应)，所以在堆栈里看不到这个地址了 2006-12-7 20:02 0
mervynlove 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 203 粉丝 0 关注私信	mervynlove 40 楼又是一篇极品好文啊学习了 2006-12-7 20:42 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 41 楼留名学习ing。。。 2006-12-7 23:31 0
棒棒糖雪币： 102 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	棒棒糖 42 楼到下面练习了几次，终于有所领悟，多谢kanxue 老师的指点：） 2006-12-8 01:15 0
棒棒糖雪币： 102 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	棒棒糖 43 楼 Ctrl+B找FF25 或直接Ctrl+F找:jmp dword ptr ds:[405000] 我是利用后者. 2006-12-8 01:17 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 44 楼哇卡卡厄.... 顶..老大厄 2006-12-8 08:50 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 45 楼对于DLL文件中的SDK还要改重定位吗?请高人指教一下 2006-12-8 10:12 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 46 楼最初由 linex* 发布* 对于DLL文件中的SDK还要改重定位吗?请高人指教一下曾经碰到同样的疑问,目前没找到重定位的方法,我只是修改call的地址解决,不过这样也许要修好多地方. 见过Volx的某个dll脱壳后文件,他的SDK重定位没问题,我的就是无法重定位,可能是重定位表的原因吧. 2006-12-8 13:50 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 47 楼现在也只有靠修改偏移量解决了,手动修改重定位表太麻烦,不懂 2006-12-8 13:57 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 48 楼先做个记号，然后回去试试，不行了再来学习 2006-12-8 15:23 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 49 楼最初由 cyto* 发布* 曾经碰到同样的疑问,目前没找到重定位的方法,我只是修改call的地址解决,不过这样也许要修好多地方. 见过Volx的某个dll脱壳后文件,他的SDK重定位没问题,我的就是无法重定位,可能是重定位表的原因吧. 以前是用别的方法改, 现在是改重定位表. 2006-12-9 20:39 0
々火狼々雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	々火狼々 50 楼对于好文是不顶不行了！ 2007-5-6 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanxue

2375

发帖

17045

回帖

350

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (93) ◀ 1 2 3 4 ▶
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 26 楼真是好文章，老大真厉害 2006-7-14 18:31 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 27 楼终于等到了，学习！ aspr的帮助文档哪里有？偶下的版本都没有带。。。。 2006-7-14 22:28 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 28 楼此时EAX＝1,结合源码及ASProtect帮助文档，可以猜出这个是GetRegistrationInformation。我跟踪了下这个 00404A2A - FF25 00504000 jmp [405000] 在00401212处eax的值仍然是1 为什么它是GetModeInformation？而不是GetRegistrationInformation？ 2006-7-15 06:40 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 29 楼最初由 chinadev* 发布* 我跟踪了下这个 00404A2A - FF25 00504000 jmp [405000] 在00401212处eax的值仍然是1 为什么它是GetModeInformation？而不是GetRegistrationInformation？参数可以区别开来： GetModeInformation( 0, &ModeName, &mode_status ); 这个参数：&mode_status 00401205 \|. 52 push edx //指向0012FA5C 00401206 \|. 68 CC864000 push 004086CC 0040120B \|. 6A 00 push 0 0040120D \|. E8 18380000 call 00404A2A 0012FA5C 00 04 00 00 E2 02 00 00 52 65 67 69 73 74 65 72 ...?..Register 0012FA6C 65 64 20 76 65 72 73 69 6F 6E 21 00 00 00 00 00 ed version!..... 2006-7-15 10:43 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 30 楼最初由 hbqjxhw* 发布* #include "stdafx.h" #include "resource.h" #include <shellapi.h> #include "include/aspr_api.h" #include "include/asprotect.h" kanxue楼主这几个文件在哪找? ........ 下载一个ASProtect SKE 2.2 Release原版，安装，在Examples目录下。 2006-7-15 10:48 0
kkangs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kkangs 31 楼 good! thanks~ 2006-7-17 19:59 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 32 楼最初由 Bewaar* 发布* 老大的文章每次都有一种里程碑似的指导意义，学习了。 nod.. 学习.. 发现Aspr2.2好象又强壮了不少 2006-7-18 16:07 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 33 楼强强强强 2006-7-19 12:49 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 34 楼你们个个怎么哪么牛啊。佩服，哎，我不知道要学到何年何月去了 2006-9-25 12:21 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 35 楼看雪一发帖,都是精品中的精品,只有学习的份了 2006-9-28 14:58 0
叶孓落落雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	叶孓落落 36 楼收藏啦... 2006-10-26 12:13 0
hcfhcf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	hcfhcf 37 楼如果此时运行脱壳后的文件dumped_.exe，就会异常，因为程序里会调用ASProtect的API函数： 00404A18 $- FF25 0C504000 jmp [40500C] //F2下断点 00404A1E $- FF25 08504000 jmp [405008] //F2下断点 00404A24 $- FF25 04504000 jmp [405004] //F2下断点 00404A2A $- FF25 00504000 jmp [405000] //F2下断点 00404A30 $- FF25 10504000 jmp [405010] //F2下断点请问这个00404A18这些地址是怎么找出来的？ 2006-12-5 18:14 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 38 楼当你修复IAT的时候,是不是有几个无效函数,而且地址n整齐? 那就是了. 2006-12-6 07:25 0
hcfhcf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	hcfhcf 39 楼但是那几个的地址跟这地址不一样，是不是一定要运行脱壳程序出错后看堆椎的返回？？？我现在脱的一个文件运行后不会出错(没有反应)，所以在堆栈里看不到这个地址了 2006-12-7 20:02 0
mervynlove 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 203 粉丝 0 关注私信	mervynlove 40 楼又是一篇极品好文啊学习了 2006-12-7 20:42 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 41 楼留名学习ing。。。 2006-12-7 23:31 0
棒棒糖雪币： 102 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	棒棒糖 42 楼到下面练习了几次，终于有所领悟，多谢kanxue 老师的指点：） 2006-12-8 01:15 0
棒棒糖雪币： 102 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	棒棒糖 43 楼 Ctrl+B找FF25 或直接Ctrl+F找:jmp dword ptr ds:[405000] 我是利用后者. 2006-12-8 01:17 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 44 楼哇卡卡厄.... 顶..老大厄 2006-12-8 08:50 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 45 楼对于DLL文件中的SDK还要改重定位吗?请高人指教一下 2006-12-8 10:12 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 46 楼最初由 linex* 发布* 对于DLL文件中的SDK还要改重定位吗?请高人指教一下曾经碰到同样的疑问,目前没找到重定位的方法,我只是修改call的地址解决,不过这样也许要修好多地方. 见过Volx的某个dll脱壳后文件,他的SDK重定位没问题,我的就是无法重定位,可能是重定位表的原因吧. 2006-12-8 13:50 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 47 楼现在也只有靠修改偏移量解决了,手动修改重定位表太麻烦,不懂 2006-12-8 13:57 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 48 楼先做个记号，然后回去试试，不行了再来学习 2006-12-8 15:23 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 49 楼最初由 cyto* 发布* 曾经碰到同样的疑问,目前没找到重定位的方法,我只是修改call的地址解决,不过这样也许要修好多地方. 见过Volx的某个dll脱壳后文件,他的SDK重定位没问题,我的就是无法重定位,可能是重定位表的原因吧. 以前是用别的方法改, 现在是改重定位表. 2006-12-9 20:39 0
々火狼々雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	々火狼々 50 楼对于好文是不顶不行了！ 2007-5-6 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复