首页
社区
课程
招聘
最近还有哪位师兄弟研究Aspr的?
发表于: 2006-8-6 22:26 4194

最近还有哪位师兄弟研究Aspr的?

2006-8-6 22:26
4194
两个月没脱壳了,发现Aspr好象又强壮了很多。。。

peid写的是2.1X SKE,但个人感觉应该是2.2或2.3的。用忽略内存的办法断不下来,用忽略INT3的办法断的。
IAT部分,修复代码部分,OEP也补回来了,或者说脱壳基本都已经完成了,运行发现还有call到壳里去的地方,难道说aspr现在不单单抽入口代码,连中间的地开始抽了吗?还是说校验、暗桩之术?请高手点拨一下。。
这是运行后出现问题的地方(一共有三处,这儿列两处):
004171F8    FF15 44285000      call dword ptr ds:[502844]<==指向00ECA770,在这儿有个很奇特的标志,栈里面和ECX有这个值:0012FB50    |00A42EB0   ASCII "456543e5vf54ft56"
看着象是什么校验??
004171FE    FF15 3C285000      call dword ptr ds:[50283C]

00ECA770    55                 push ebp
00ECA771    8BEC               mov ebp,esp
00ECA773    53                 push ebx
00ECA774    56                 push esi
00ECA775    8B5D 0C            mov ebx,dword ptr ss:[ebp+C]
00ECA778    8B75 08            mov esi,dword ptr ss:[ebp+8]
00ECA77B    8BC3               mov eax,ebx
00ECA77D    E8 C27DFEFF        call 00EB2544
00ECA782    A3 9864ED00        mov dword ptr ds:[ED6498],eax
00ECA787    8B15 9864ED00      mov edx,dword ptr ds:[ED6498]
00ECA78D    8BC6               mov eax,esi
00ECA78F    8BCB               mov ecx,ebx
00ECA791    E8 BA7EFEFF        call 00EB2650
00ECA796    891D 5487ED00      mov dword ptr ds:[ED8754],ebx
00ECA79C    53                 push ebx
00ECA79D    8BCE               mov ecx,esi
00ECA79F    8B15 5087ED00      mov edx,dword ptr ds:[ED8750]
00ECA7A5    A1 4C87ED00        mov eax,dword ptr ds:[ED874C]
00ECA7AA    E8 B971FFFF        call 00EC1968
00ECA7AF    833D AC84ED00 00   cmp dword ptr ds:[ED84AC],0
00ECA7B6    75 05              jnz short 00ECA7BD
00ECA7B8    E8 4FFFFFFF        call 00ECA70C
00ECA7BD    5E                 pop esi
00ECA7BE    5B                 pop ebx
00ECA7BF    5D                 pop ebp
00ECA7C0    C2 0800            retn 8

请知道的高手一定回复一下。感觉都完成90%活儿,不成功真是不爽。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
现在的aspr中间抽的不多  对比原版手动修复就可以。
2006-8-6 23:14
0
雪    币: 208
活跃值: (41)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
多谢okdodo的回答。
如果仅仅是抽代码倒好办,对比原版我把它copy回来就可以了,但我跟进去转了一圈,感觉好象不象是代码被偷,总之觉得好象那段代码有点邪恶。
2006-8-6 23:32
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
4
Asprotect的SDK函数。
跟注册标志有关。
2006-8-7 14:27
0
雪    币: 208
活跃值: (41)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
cyto能否详述或推荐相关资料?我跟进去看了一下,非常麻烦。
2006-8-7 16:55
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
6
最初由 lidou 发布
cyto能否详述或推荐相关资料?我跟进去看了一下,非常麻烦。


查kanxue坛主的一篇文章,从理论上介绍SDK函数。
也可以查machenglin的文章(系列)。
2006-8-7 17:50
0
雪    币: 208
活跃值: (41)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
多谢cyto指点。
我再学习学习。
2006-8-7 21:19
0
游客
登录 | 注册 方可回帖
返回
//