两个月没脱壳了,发现Aspr好象又强壮了很多。。。
peid写的是2.1X SKE,但个人感觉应该是2.2或2.3的。用忽略内存的办法断不下来,用忽略INT3的办法断的。
IAT部分,修复代码部分,OEP也补回来了,或者说脱壳基本都已经完成了,运行发现还有call到壳里去的地方,难道说aspr现在不单单抽入口代码,连中间的地开始抽了吗?还是说校验、暗桩之术?请高手点拨一下。。
这是运行后出现问题的地方(一共有三处,这儿列两处):
004171F8 FF15 44285000 call dword ptr ds:[502844]<==指向00ECA770,在这儿有个很奇特的标志,栈里面和ECX有这个值:0012FB50 |00A42EB0 ASCII "456543e5vf54ft56"
看着象是什么校验??
004171FE FF15 3C285000 call dword ptr ds:[50283C]
00ECA770 55 push ebp
00ECA771 8BEC mov ebp,esp
00ECA773 53 push ebx
00ECA774 56 push esi
00ECA775 8B5D 0C mov ebx,dword ptr ss:[ebp+C]
00ECA778 8B75 08 mov esi,dword ptr ss:[ebp+8]
00ECA77B 8BC3 mov eax,ebx
00ECA77D E8 C27DFEFF call 00EB2544
00ECA782 A3 9864ED00 mov dword ptr ds:[ED6498],eax
00ECA787 8B15 9864ED00 mov edx,dword ptr ds:[ED6498]
00ECA78D 8BC6 mov eax,esi
00ECA78F 8BCB mov ecx,ebx
00ECA791 E8 BA7EFEFF call 00EB2650
00ECA796 891D 5487ED00 mov dword ptr ds:[ED8754],ebx
00ECA79C 53 push ebx
00ECA79D 8BCE mov ecx,esi
00ECA79F 8B15 5087ED00 mov edx,dword ptr ds:[ED8750]
00ECA7A5 A1 4C87ED00 mov eax,dword ptr ds:[ED874C]
00ECA7AA E8 B971FFFF call 00EC1968
00ECA7AF 833D AC84ED00 00 cmp dword ptr ds:[ED84AC],0
00ECA7B6 75 05 jnz short 00ECA7BD
00ECA7B8 E8 4FFFFFFF call 00ECA70C
00ECA7BD 5E pop esi
00ECA7BE 5B pop ebx
00ECA7BF 5D pop ebp
00ECA7C0 C2 0800 retn 8
请知道的高手一定回复一下。感觉都完成90%活儿,不成功真是不爽。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)