首页
社区
课程
招聘
[求助]帮我看下UltraProtect 1.x -> RISCO Software Inc是什么版本得
发表于: 2006-10-7 11:09 3278

[求助]帮我看下UltraProtect 1.x -> RISCO Software Inc是什么版本得

2006-10-7 11:09
3278
OD载入
03857000 >  60              pushad    //停在这里
03857001    72 03           jb      short 03857006
03857003    73 01           jnb     short 03857006
03857005    EB 0B           jmp     short 03857012
03857007    FA              cli
03857008    D3C7            rol     edi, cl
0385700A    8BFA            mov     edi, edx
0385700C    47              inc     edi
0385700D    47              inc     edi
0385700E    66:8BEB         mov     bp, bx
03857011    87FD            xchg    ebp, edi
03857013    70 06           jo      short 0385701B
03857015    81D7 FFFA9501   adc     edi, 0195FAFF
0385701B    EB 01           jmp     short 0385701E
0385701D    E8 F950E801     call    056DC11B
03857022    0000            add     [eax], al
03857024    0077 83         add     [edi-7D], dh
03857027    C40458          les     eax, [eax+ebx*2]
0385702A    85EF            test    edi, ebp
0385702C    E8 01000000     call    03857032

我F9运行
03868B1F    CD 01           int     1  //停在这里                     03868B21    40              inc     eax
03868B22    40              inc     eax
03868B23    0BC0            or      eax, eax
03868B25    75 05           jnz     short 03868B2C
03868B27    90              nop
03868B28    90              nop
03868B29    90              nop
03868B2A    90              nop
03868B2B    61              popad
03868B2C    33C0            xor     eax, eax
03868B2E    64:8F00         pop     dword ptr fs:[eax]
03868B31    58              pop     eax
03868B32    60              pushad
03868B33    E8 00000000     call    03868B38
在CODE段下f2断点,SHIFT+F2运行
03867CE2    AB              stos    dword ptr es:[edi]//来到这里
03867CE3    FFB5 30FE4000   push    dword ptr [ebp+40FE30]
03867CE9    50              push    eax
03867CEA    8B85 00014100   mov     eax, [ebp+410100]
03867CF0    0FB600          movzx   eax, byte ptr [eax]
03867CF3    83E8 33         sub     eax, 33
03867CF6    3D 99000000     cmp     eax, 99
03867CFB    74 10           je      short 03867D0D
03867CFD    90              nop
03867CFE    90              nop
03867CFF    90              nop
03867D00    90              nop
03867D01    58              pop     eax
03867D02    FF95 00014100   call    [ebp+410100]
03867D08    EB 17           jmp     short 03867D21

这个是什么版本得壳啊,怎么脱,晕死

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
UltraProtect 1.x
2006-10-7 12:48
0
雪    币: 338
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
这个好像是ASProtect,最早的壳!当时叫这个
这个壳好脱!
OD载入,不要忽略内存访问异常

隐藏OD,我们F9直接运行,看内存异常

0045B000 >  60              pushad  //入口
0045B001    72 03           jb      short 0045B006
0045B003    73 01           jnb     short 0045B006
0045B005  - 77 EB           ja      short 0045AFF2
0045B007    01EA            add     edx, ebp
0045B009    EB 01           jmp     short 0045B00C
0045B00B    7B EB           jpo     short 0045AFF8
0045B00D    01747D 01       add     [ebp+edi*2+1], esi
0045B011    47              inc     edi
0045B012    50              push    eax
0045B013    E8 01000000     call    0045B019
0045B018  - 7F 83           jg      short 0045AF9D
0045B01A    C40458          les     eax, [eax+ebx*2]
0045B01D    87C7            xchg    edi, eax
0045B01F    E8 01000000     call    0045B025
0045B024  - 73 83           jnb     short 0045AFA9
0045B026    04 24           add     al, 24
0045B028    06              push    es
0045B029    C3              retn

异常出现
0046CB1F    CD 01           int     1  //异常出现停到这里
0046CB21    40              inc     eax
0046CB22    40              inc     eax
0046CB23    0BC0            or      eax, eax
0046CB25    75 05           jnz     short 0046CB2C
0046CB27    90              nop
0046CB28    90              nop
0046CB29    90              nop
0046CB2A    90              nop
0046CB2B    61              popad
0046CB2C    33C0            xor     eax, eax
0046CB2E    64:8F00         pop     dword ptr fs:[eax]
0046CB31    58              pop     eax
0046CB32    60              pushad
0046CB33    E8 00000000     call    0046CB38

看内存

Memory map, 条目 23
地址=00401000
大小=00033000 (208896.)
属主=RegQQ    00400000
区段=.text
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
在这里下F2断点  shift+F9运行看见光明了

0041370D    55              push    ebp  //OEP 脱吧
0041370E    8BEC            mov     ebp, esp
00413710    6A FF           push    -1
00413712    68 E07B4300     push    00437BE0
00413717    68 5C714100     push    0041715C
0041371C    64:A1 00000000  mov     eax, fs:[0]
00413722    50              push    eax
00413723    64:8925 0000000>mov     fs:[0], esp
0041372A    83EC 58         sub     esp, 58
0041372D    53              push    ebx
0041372E    56              push    esi
0041372F    57              push    edi
00413730    8965 E8         mov     [ebp-18], esp
00413733    FF15 48424300   call    [434248]                         ; kernel32.GetVersion

1370D偏移量

关了OD,这个壳子需要修复的,还要追踪
2006-10-7 17:00
0
游客
登录 | 注册 方可回帖
返回
//