首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]ASProtect2.3SKEbuild06.26Beta为什么脱壳后无法运行
发表于: 2006-10-19 13:57 4008

[求助]ASProtect2.3SKEbuild06.26Beta为什么脱壳后无法运行

oden 活跃值
2006-10-19 13:57
4008
用By Pass ASProtect.2.3.06.26.OSC脚本,
OD载入

0043F1D0   .  6A 60         push    60
0043F1D2   .  68 004D4600   push    00464D00
0043F1D7   .  E8 B8050000   call    0043F794
0043F1DC   .  BF 94000000   mov     edi, 94
0043F1E1   .  8BC7          mov     eax, edi
0043F1E3   .  E8 88DBFFFF   call    0043CD70
0043F1E8   .  8965 E8       mov     [ebp-18], esp
0043F1EB   .  8BF4          mov     esi, esp
0043F1ED   .  893E          mov     [esi], edi
0043F1EF   .  56            push    esi                              ; /pVersionInformation
0043F1F0   .  FF15 7CE34500 call    [45E37C]                         ; \GetVersionExA
0043F1F6   .  8B4E 10       mov     ecx, [esi+10]
0043F1F9   .  890D 74914700 mov     [479174], ecx
0043F1FF   .  8B46 04       mov     eax, [esi+4]
0043F202   .  A3 80914700   mov     [479180], eax
0043F207   .  8B56 08       mov     edx, [esi+8]
0043F20A   .  8915 84914700 mov     [479184], edx
0043F210   .  8B76 0C       mov     esi, [esi+C]
0043F213   .  81E6 FF7F0000 and     esi, 7FFF
0043F219   .  8935 78914700 mov     [479178], esi
0043F21F   .  83F9 02       cmp     ecx, 2
0043F222   .  74 0C         je      short 0043F230
0043F224   .  81CE 00800000 or      esi, 8000
0043F22A   .  8935 78914700 mov     [479178], esi

00401000   程序入口点
           imgbase: 00400000
           imgbasefromdisk: 00400000
           tmp1: 004001F8
           1stsecsize: 0005D000
           1stsecbase: 00401000 | R2Hunter.<模块入口点>
           tmp1: 004002C0 | ASCII ".adata"
           lastsecsize: 00001000
           lastsecbase: 00511000
           isdll: 00000000
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
7C80176B   断点位于 kernel32.GetSystemTime
           dllimgbase: 00AD0000
           tmp4: 00B0F7F3
00B0FF66   访问违规: 正在写入到 [00000000]
00B0E2BA   INT3 命令位于00B0E2BA
00B0F004   访问违规: 正在写入到 [00000000]
00B0F7F3   断点位于 00B0F7F3
           thunkstop: 00B0F4B8
           APIpoint3: 00B0DBFF
           thunkpt: 00B04C5A
           patch1: 00B049EC
           tmp2: 0000003B
           thunkdataloc: 00AD0200
           tmp2: 00B0F6E0
           tmp3: 0000DC68
           crcpoint1: 00B0F6F4
00B0F6F4   断点位于 00B0F6F4
00B0F382   访问违规: 正在写入到 [00000000]
00B04C5A   断点位于 00B04C5A
           ESIaddr: 00B40600
           ESIpara1: 75375E3A
           ESIpara2: 75385E3A
           ESIpara3: 753A5E3A
           ESIpara4: 74345E3A
           nortype: 00000001
00AD0102   断点位于 00AD0102
           tmp2: 00000001
           tmp3: 0045E744
           iatendaddr: 0045E748
           iatstartaddr: 0045E000
           iatstart_rva: 0005E000
           patch3: 00B04B4F
00B0F4B8   断点位于 00B0F4B8
           writept2: 00B0DC3E
           tmp1: 00B0F673
           tmp2: 00B0F69A
           transit1: 00B0F69B
00B0DC3E   硬件断点 1 位于 00B0DC3E
           EBXaddr: 00B40754
           FF15flag: 000000CA
           type1API: 00000001
00B100F9   硬件断点 1 位于 00B100F9
           tmp2: 00B0C9FB
           func1: call    00B0D528
           func2: call    00B0C34C
           func3: call    00B0D044
           func4: call    00B0456C
           v1.32: 00000000
           v2.0x: 00000000
00AD0034   断点位于 00AD0034
           E8count: 000000D9
           SCafterAPIcount: 0000000E
           tmp1: 00B0CC71
           func1: call    00AD254C
           func2: call    00AD6190
           ori1: 00B12928
           func3: call    00AE59E0
00AD09D8   断点位于 00AD09D8
00B0E2BA   INT3 命令位于00B0E2BA
00ADED08   断点位于 00ADED08
00B058DF   断点位于 00B058DF
00B0E834   硬件断点 1 位于 00B0E834
           iatstartaddr: 0045E000
           iatstart_rva: 0005E000
           iatsize: 0000074C
0043F1D0   当执行 [0043F1D0] 时设置内存断点
           OEP_rva: 0003F1D0
脱壳后的文件用ImportREC修复
当前输入表:
11 (十进制:17) 个有效模块 (已添加: +11 (十进制:+17))
1C2 (十进制:450) 个输入函数. (已添加: +1C2 (十进制:+450))
---------------------------------------------------------------------------------------------------------------------------
修正转存文件...
11 (十进制:17) 个模块
1C2 (十进制:450) 个输入函数.
*** 成功添加了新节. RVA:00112000 大小:00002000
镜像输入表描述符大小: 154; 总共长度: 10D6
C:\Documents and Settings\oden\桌面\123\un_123_.exe 保存成功.
文件保存成功.
运行un_123_.exe就提示 un_123_.exe 遇到问题需要关闭。我们对此引起的不便表示抱歉。

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (4)
今生缘
雪    币: 17
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我也遇到楼主一样的问题,不知哪位高手解答一下啊
2006-10-19 15:06
0
cyto
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
私信
3
接下来可能就是:
SDK函数的修复(ImportREC修复的时候应该能发现)
Stolen  code的恢复(脚本运行完毕可以知道有无Stolen oep)
CRC 验证的解决(忽略内存异常,若断住,上下翻翻,je jne之类的)
2006-10-19 15:11
0
今生缘
雪    币: 17
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 cyto 发布
接下来可能就是:
SDK函数的修复(ImportREC修复的时候应该能发现)
Stolen code的恢复(脚本运行完毕可以知道有无Stolen oep)
CRC 验证的解决(忽略内存异常,若断住,上下翻翻,je jne之类的)


SDK函数 Stolen code Stolen oep如何修复呢,我翻了一下,有CRC验证如何才能解决。
2006-10-19 15:23
0
cyto
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 今生缘 发布
SDK函数 Stolen code Stolen oep如何修复呢,我翻了一下,有CRC验证如何才能解决。


SDK函数,可以参考kanxue的文章,也可以下载(哪里下载就不要问了)大侠们的脱壳文件对照学习.
同样Stolen code也是如此学习,对照大侠的脱壳文件,进步神速的说.
CRC验证可能需要经验,最不济的话与原程序对照着走.
2006-10-19 19:34
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//