能力值:
(RANK:50 )
|
-
-
2 楼
FTP下载地址。。严重支持
|
能力值:
(RANK:350 )
|
-
-
3 楼
最初由 laomms 发布 ASProtect 2.11补区段脱壳动画,已经上传到论坛的FTP上。
FTP可以长期保存,但为了照顾一些没FTP权限的朋友,传了一份到临时空间,下载链接:
http://www.live-share.com/files/48542/ASPR.rar.html
|
能力值:
( LV13,RANK:1370 )
|
-
-
4 楼
最初由 kanxue 发布 http://www.live-share.com/
原来还有这样的好地方,注册用户支持500M。
|
能力值:
(RANK:50 )
|
-
-
5 楼
请楼主把 记事本文件也发上来 。。。
|
能力值:
(RANK:50 )
|
-
-
6 楼
帮忙把原文附上来
------------------------------------------------------------------------------------------------------------------------
一、修复IAT,找到OEP:
OD载入,运行VolX的Aspr2.XX_IATfixer_v1.02s脚本:
00401000 > 68 01406900 PUSH BDKS.00694001 ; OD载入停在这里
00401005 E8 01000000 CALL BDKS.0040100B
0040100A C3 RETN
0040100B C3 RETN
0040100C 84C3 TEST BL,AL
脚本结束后停在这里,OD的记录里记载着OEP地址,LOG中记载着IAT的起始地址及大小:
01230290 55 PUSH EBP ; 00050B31C,OEP地址
01230291 F2: PREFIX REPNE:
01230292 EB 01 JMP SHORT 01230295
01230294 9A 8D6C5144 2EE>CALL FAR EB2E:44516C8D
0123029B 01F3 ADD EBX,ESI
0123029D 83ED 44 SUB EBP,44
012302A0 BD 1EE94700 MOV EBP,47E91E
看脚本LOG记录:
OEP=0050B31C-00400000=0010b31c
信息=iatstartaddr: 00512190-00400000=00112190
信息=iatsize: 000007F4
使用LORDPE完整转存,保存成dumpd.exe,启动\ImportREC v1.6F Fix,填入OEP 0010b31c.RVA=00112190,Size=7F4--->获取输入表,指针全部正确。修复转储文件,得到dumped_.exe。
二、补区段
Alt+M,打开内存窗口。
在00BA0000~012E0000下所有Priv类型F2断点,然后逐步F9,看程序运行中需要壳中的哪些区段。
可以看出程序运行需要壳中的下面区段
00BA0000-00BD0000
00FF0000-01033000
01040000-01054000
01200000-01201000
01230000-01234000
012A0000-012A1000
012B0000-012B1000
012C0000-012C1000
012D0000-012D1000
012E0000-012E1000
共10个区段,此时LordPE--->区域转存--->上面的10个区段。
再用LordPE加载dumped_.exe,选取区段表SECTIONS,右击从硬盘载入区段。分别将这10个区段载入。
同时修改每个区段头的VM Address,改为区段地址减00400000
00BA0000-00400000=7A0000
00FF0000-00400000=BF0000
01040000-00400000=C40000
01200000-00400000=E00000
01230000-00400000=E30000
012A0000-00400000=EA0000
012B0000-00400000=EB0000
012C0000-00400000=EC0000
012D0000-00400000=ED0000
012E0000-00400000=EE0000
保存后,用PEID的REBUILD PE插件重建dumped_.exe
三、修复壳自检Route CHECK
在新补的区段全部F2下断,三次F9,停在下面,逐步F8,至mov eax,dword ptr ds:[eax+34],开始修改:
01018A20 55 PUSH EBP ; 停在这里,逐步F8
01018A21 8BEC MOV EBP,ESP
01018A23 83C4 F8 ADD ESP,-8
01018A26 53 PUSH EBX
...
01018A5B 8B73 30 MOV ESI,DWORD PTR DS:[EBX+30] ; TEXT.012324F8
01018A5E 8B7B 14 MOV EDI,DWORD PTR DS:[EBX+14]
01018A61 A1 F0370201 MOV EAX,DWORD PTR DS:[10237F0]
01018A66 8B40 34 MOV EAX,DWORD PTR DS:[EAX+34] ; NOP掉
01018A69 FFD0 CALL EAX ; NOP掉
01018A6B 2945 0C SUB DWORD PTR SS:[EBP+C],EAX ; NOP掉后修改为mov eax,dword ptr ss:[esp+58]
01018A6E 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] ; NOP掉后修改为sub eax,5
01018A71 2B43 18 SUB EAX,DWORD PTR DS:[EBX+18]
01018A74 2B43 68 SUB EAX,DWORD PTR DS:[EBX+68]
01018A77 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
01018A7A 8D43 24 LEA EAX,DWORD PTR DS:[EBX+24]
01018A7D 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX
01018A80 85FF TEST EDI,EDI
修改后代码:
01018A5B 8B73 30 MOV ESI,DWORD PTR DS:[EBX+30] ; TEXT.012324F8
01018A5E 8B7B 14 MOV EDI,DWORD PTR DS:[EBX+14]
01018A61 A1 F0370201 MOV EAX,DWORD PTR DS:[10237F0]
01018A66 90 NOP
01018A67 90 NOP
01018A68 8B4424 58 MOV EAX,DWORD PTR SS:[ESP+58]
01018A6C 83E8 05 SUB EAX,5
01018A6F 90 NOP
01018A70 90 NOP
01018A71 2B43 18 SUB EAX,DWORD PTR DS:[EBX+18]
01018A74 2B43 68 SUB EAX,DWORD PTR DS:[EBX+68]
01018A77 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
01018A7A 8D43 24 LEA EAX,DWORD PTR DS:[EBX+24]
01018A7D 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX
01018A80 85FF TEST EDI,EDI
保存后即运行正常。脱壳成功。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
东西一定是好东西,请发下密码,谢谢啦~
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
密码是
aspr unpack
|
能力值:
(RANK:50 )
|
-
-
9 楼
老大来加个精华啊?
这样好的东西 还是动画 顶
|
能力值:
( LV13,RANK:1370 )
|
-
-
10 楼
最初由 bestchao 发布 老大来加个精华啊? 这样好的东西 还是动画 顶
精华这么好骗的吗!?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
既是练手学习老兄把那个原来加壳的也放上吧,,谢谢
|
能力值:
(RANK:50 )
|
-
-
12 楼
练手文件附上
传不上。。太大了 我晕
|
能力值:
(RANK:50 )
|
-
-
13 楼
怎么把文件分成几个压缩包啊
从来没用过这个功能
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
下来好好学习一下
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
VolX的Aspr2.XX_IATfixer_v1.02s脚本 在哪里可以下载啊,论上找不到,只有Aspr2.XX_IATfixer_v1.02
|
能力值:
( LV9,RANK:290 )
|
-
-
16 楼
谢谢提供,辛苦
|
能力值:
(RANK:50 )
|
-
-
17 楼
最初由 wan 发布 VolX的Aspr2.XX_IATfixer_v1.02s脚本 在哪里可以下载啊,论上找不到,只有Aspr2.XX_IATfixer_v1.02 就是你的这个``
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
怎么知道是 ASProtect 2.11 SKE build 03.13 加的壳啊,现在的壳都查不出来啊~
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
太好了,前几天在看托ASProtect 2.11 SKE的文章,迷茫中
这回好了
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
牛人 不知道学到什么时候才会从菜鸟变老鹰
|
能力值:
( LV8,RANK:130 )
|
-
-
21 楼
http://www.live-share.com/files/48542/ASPR.rar.html
下载不了
老大.发个可以下载的连接吧
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
救命阿,老大,下载地址无效阿,能否再给个能连的地址呢?麻烦帮忙一下,万分感谢!!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
最初由 kanxue 发布 FTP可以长期保存,但为了照顾一些没FTP权限的朋友,传了一份到临时空间,下载链接: http://www.live-share.com/files/48542/ASPR.rar.html 无法下载了
File ASPR.rar don`t exist on our server! Reasons for this may include:
- Invalid link
- The file was deleted by uploader
- The file was automatically deleted
- The file was deleted because it violates our Terms of Service
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
不能下载了,老大重传一份吧
|
能力值:
(RANK:10 )
|
-
-
25 楼
最初由 franklin 发布 不能下载了,老大重传一份吧
|