-
-
[已解决]ASPack 2.x (without poly)脱壳后的校验问题
-
发表于: 2006-10-14 00:48
-
附件已经上传到临时空间,请点击下面的地址下载:
Download:http://download.yousendit.com/5158A1246715E677
软件说明:DVD多媒体视频文件制作工具
加壳方式:ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay]
直捣黄蓉:
OD加载后停在:
011AF000 > 60 PUSHAD
011AF001 E8 00000000 CALL 0.011AF006
011AF006 5E POP ESI
011AF007 83C6 09 ADD ESI,9
011AF00A E9 20170000 JMP 0.011B072F // F4过来,F8跳
011B072F BF 00004000 MOV EDI,0.00400000 // 停在这里
011B0734 8B07 MOV EAX,DWORD PTR DS:[EDI]
011B0736 3D 50450000 CMP EAX,4550
011B073B 74 03 JE SHORT 0.011B0740
011B073D 47 INC EDI
011B073E ^ EB F4 JMP SHORT 0.011B0734
011B0902 49 DEC ECX
011B0903 ^ EB EF JMP SHORT 0.011B08F4
011B0905 61 POPAD
011B0906 68 01101A01 PUSH 0.011A1001
011B090B C3 RETN // 下拉找到这里,F4过来
011B090C 55 PUSH EBP
011B090D 8BEC MOV EBP,ESP
十面埋伏(第二层ASPack):
011A1001 90 NOP // 停在这里
011A1002 60 PUSHAD
011A1003 E8 03000000 CALL 0.011A100B
011A1008 - E9 EB045D45 JMP 467714F8
011A100D 55 PUSH EBP
011A100E C3 RETN
直接定位到6175:
011A13B0 61 POPAD
011A13B1 75 08 JNZ SHORT 0.011A13BB
011A13B3 B8 01000000 MOV EAX,1
011A13B8 C2 0C00 RETN 0C
011A13BB 68 00000000 PUSH 0
011A13C0 C3 RETN // 飞向光明之巅
009F3628 55 PUSH EBP // OEP,dump下来
009F3629 8BEC MOV EBP,ESP
009F362B 83C4 E4 ADD ESP,-1C
009F362E 53 PUSH EBX
退守乌江:本以为突破重围,把壳脱掉了,也修复了IAT,没想到落入了陷阱,运行时提示错误,程序有自校验,bp CreateFileA、CreateFileW、MessageBoxExA、ExitProcess几个函数比较都无法解除,请问还有什么办法可挽救这颓败一局?先跟兄弟们谢谢了。如果还是无法解决,我只好
先死一回了。
Download:http://download.yousendit.com/5158A1246715E677
软件说明:DVD多媒体视频文件制作工具
加壳方式:ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay]
直捣黄蓉:
OD加载后停在:
011AF000 > 60 PUSHAD
011AF001 E8 00000000 CALL 0.011AF006
011AF006 5E POP ESI
011AF007 83C6 09 ADD ESI,9
011AF00A E9 20170000 JMP 0.011B072F // F4过来,F8跳
011B072F BF 00004000 MOV EDI,0.00400000 // 停在这里
011B0734 8B07 MOV EAX,DWORD PTR DS:[EDI]
011B0736 3D 50450000 CMP EAX,4550
011B073B 74 03 JE SHORT 0.011B0740
011B073D 47 INC EDI
011B073E ^ EB F4 JMP SHORT 0.011B0734
011B0902 49 DEC ECX
011B0903 ^ EB EF JMP SHORT 0.011B08F4
011B0905 61 POPAD
011B0906 68 01101A01 PUSH 0.011A1001
011B090B C3 RETN // 下拉找到这里,F4过来
011B090C 55 PUSH EBP
011B090D 8BEC MOV EBP,ESP
十面埋伏(第二层ASPack):
011A1001 90 NOP // 停在这里
011A1002 60 PUSHAD
011A1003 E8 03000000 CALL 0.011A100B
011A1008 - E9 EB045D45 JMP 467714F8
011A100D 55 PUSH EBP
011A100E C3 RETN
直接定位到6175:
011A13B0 61 POPAD
011A13B1 75 08 JNZ SHORT 0.011A13BB
011A13B3 B8 01000000 MOV EAX,1
011A13B8 C2 0C00 RETN 0C
011A13BB 68 00000000 PUSH 0
011A13C0 C3 RETN // 飞向光明之巅
009F3628 55 PUSH EBP // OEP,dump下来
009F3629 8BEC MOV EBP,ESP
009F362B 83C4 E4 ADD ESP,-1C
009F362E 53 PUSH EBX
退守乌江:本以为突破重围,把壳脱掉了,也修复了IAT,没想到落入了陷阱,运行时提示错误,程序有自校验,bp CreateFileA、CreateFileW、MessageBoxExA、ExitProcess几个函数比较都无法解除,请问还有什么办法可挽救这颓败一局?先跟兄弟们谢谢了。如果还是无法解决,我只好
先死一回了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
附加数据你补上了么?
|
|
|
最初由 bestchao 发布 补上了,谢谢回应。 早上又 bp CreateFileA 接着跟,走着走着改 CreateFileW,最后终于在: 008E5F40 E8 2B33BBFF CALL DVDAutho.00499270 008E5F45 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 008E5F48 E8 9BFAFFFF CALL DVDAutho.008E59E8 008E5F4D 84C0 TEST AL,AL 008E5F4F 75 1A JNZ SHORT DVDAutho.008E5F6B // 改 JMP 008E5F51 8D55 F8 LEA EDX,DWORD PTR SS:[EBP-8] 008E5F54 A1 50E0A000 MOV EAX,DWORD PTR DS:[A0E050] 008E5F59 E8 460EB2FF CALL DVDAutho.00406DA4 008E5F5E 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 解决了。
|
|
|
|
