[求助]帮我看下UltraProtect 1.x -> RISCO Software Inc是什么版本得-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 2 楼 UltraProtect 1.x 2006-10-7 12:48 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 3 楼这个好像是ASProtect,最早的壳!当时叫这个这个壳好脱! OD载入,不要忽略内存访问异常隐藏OD,我们F9直接运行,看内存异常 0045B000 > 60 pushad //入口 0045B001 72 03 jb short 0045B006 0045B003 73 01 jnb short 0045B006 0045B005 - 77 EB ja short 0045AFF2 0045B007 01EA add edx, ebp 0045B009 EB 01 jmp short 0045B00C 0045B00B 7B EB jpo short 0045AFF8 0045B00D 01747D 01 add [ebp+edi2+1], esi 0045B011 47 inc edi 0045B012 50 push eax 0045B013 E8 01000000 call 0045B019 0045B018 - 7F 83 jg short 0045AF9D 0045B01A C40458 les eax, [eax+ebx2] 0045B01D 87C7 xchg edi, eax 0045B01F E8 01000000 call 0045B025 0045B024 - 73 83 jnb short 0045AFA9 0045B026 04 24 add al, 24 0045B028 06 push es 0045B029 C3 retn 异常出现 0046CB1F CD 01 int 1 //异常出现停到这里 0046CB21 40 inc eax 0046CB22 40 inc eax 0046CB23 0BC0 or eax, eax 0046CB25 75 05 jnz short 0046CB2C 0046CB27 90 nop 0046CB28 90 nop 0046CB29 90 nop 0046CB2A 90 nop 0046CB2B 61 popad 0046CB2C 33C0 xor eax, eax 0046CB2E 64:8F00 pop dword ptr fs:[eax] 0046CB31 58 pop eax 0046CB32 60 pushad 0046CB33 E8 00000000 call 0046CB38 看内存 Memory map, 条目 23 地址=00401000 大小=00033000 (208896.) 属主=RegQQ 00400000 区段=.text 包含=代码类型=Imag 01001002 访问=R 初始访问=RWE 在这里下F2断点 shift+F9运行看见光明了 0041370D 55 push ebp //OEP 脱吧 0041370E 8BEC mov ebp, esp 00413710 6A FF push -1 00413712 68 E07B4300 push 00437BE0 00413717 68 5C714100 push 0041715C 0041371C 64:A1 00000000 mov eax, fs:[0] 00413722 50 push eax 00413723 64:8925 0000000>mov fs:[0], esp 0041372A 83EC 58 sub esp, 58 0041372D 53 push ebx 0041372E 56 push esi 0041372F 57 push edi 00413730 8965 E8 mov [ebp-18], esp 00413733 FF15 48424300 call [434248] ; kernel32.GetVersion 1370D偏移量关了OD,这个壳子需要修复的,还要追踪 2006-10-7 17:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 2 楼 UltraProtect 1.x 2006-10-7 12:48 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 3 楼这个好像是ASProtect,最早的壳!当时叫这个这个壳好脱! OD载入,不要忽略内存访问异常隐藏OD,我们F9直接运行,看内存异常 0045B000 > 60 pushad //入口 0045B001 72 03 jb short 0045B006 0045B003 73 01 jnb short 0045B006 0045B005 - 77 EB ja short 0045AFF2 0045B007 01EA add edx, ebp 0045B009 EB 01 jmp short 0045B00C 0045B00B 7B EB jpo short 0045AFF8 0045B00D 01747D 01 add [ebp+edi2+1], esi 0045B011 47 inc edi 0045B012 50 push eax 0045B013 E8 01000000 call 0045B019 0045B018 - 7F 83 jg short 0045AF9D 0045B01A C40458 les eax, [eax+ebx2] 0045B01D 87C7 xchg edi, eax 0045B01F E8 01000000 call 0045B025 0045B024 - 73 83 jnb short 0045AFA9 0045B026 04 24 add al, 24 0045B028 06 push es 0045B029 C3 retn 异常出现 0046CB1F CD 01 int 1 //异常出现停到这里 0046CB21 40 inc eax 0046CB22 40 inc eax 0046CB23 0BC0 or eax, eax 0046CB25 75 05 jnz short 0046CB2C 0046CB27 90 nop 0046CB28 90 nop 0046CB29 90 nop 0046CB2A 90 nop 0046CB2B 61 popad 0046CB2C 33C0 xor eax, eax 0046CB2E 64:8F00 pop dword ptr fs:[eax] 0046CB31 58 pop eax 0046CB32 60 pushad 0046CB33 E8 00000000 call 0046CB38 看内存 Memory map, 条目 23 地址=00401000 大小=00033000 (208896.) 属主=RegQQ 00400000 区段=.text 包含=代码类型=Imag 01001002 访问=R 初始访问=RWE 在这里下F2断点 shift+F9运行看见光明了 0041370D 55 push ebp //OEP 脱吧 0041370E 8BEC mov ebp, esp 00413710 6A FF push -1 00413712 68 E07B4300 push 00437BE0 00413717 68 5C714100 push 0041715C 0041371C 64:A1 00000000 mov eax, fs:[0] 00413722 50 push eax 00413723 64:8925 0000000>mov fs:[0], esp 0041372A 83EC 58 sub esp, 58 0041372D 53 push ebx 0041372E 56 push esi 0041372F 57 push edi 00413730 8965 E8 mov [ebp-18], esp 00413733 FF15 48424300 call [434248] ; kernel32.GetVersion 1370D偏移量关了OD,这个壳子需要修复的,还要追踪 2006-10-7 17:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复