首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[讨论]脱嬴政的ResHacker,2层壳,第二层是ASPack变形壳?!
发表于: 2006-12-7 00:40 4326

[讨论]脱嬴政的ResHacker,2层壳,第二层是ASPack变形壳?!

scship 活跃值
2006-12-7 00:40
4326
脱嬴政的ResHacker,2层壳,第二层是ASPack变形壳?!

在霏凡下载的ResHacker 3.5,打开看是嬴政改版的

出于习惯查壳。。。是ASProtect 2.1x SKE -> Alexey Solodovnikov

用VolX大侠的脚本脱,提示说不是ASProtect。。。

郁闷。。。于是手动脱。。。

OD载入

00401000 >  68 01C05500     push    0055C001     ;停在这里
00401005    E8 01000000     call    0040100B
0040100A    C3              retn
0040100B    C3              retn

f8单步一下就可以用esp定律到下面

0055C001    60              pushad                        ;停在这里
0055C002    E8 03000000     call    0055C00A
0055C007  - E9 EB045D45     jmp     45B2C4F7
0055C00C    55              push    ebp
0055C00D    C3              retn
0055C00E    E8 01000000     call    0055C014
0055C013    EB 5D           jmp     short 0055C072

dump出来查壳是ASPack 2.12的?!
但是无论用esp定律还是ASPack的所有脱壳机都不能脱。。。

无奈下用PEiD插件找oep的小工具,找到004ABA30

重新载入脱掉一层的reshacker,ctrl+G到004ABA30

下F2断点,F9运行,软件运行后出现

004ABA30    008B EC83C4F0   add     [ebx+F0C483EC], cl                ;  停在这里
004ABA36    33C0            xor     eax, eax
004ABA38    8945 F0         mov     [ebp-10], eax
004ABA3B    B8 60B84A00     mov     eax, 004AB860
004ABA40    E8 B79CF5FF     call    004056FC
004ABA45    33C0            xor     eax, eax
004ABA47    55              push    ebp
004ABA48    68 40BB4A00     push    004ABB40
004ABA4D    64:FF30         push    dword ptr fs:[eax]
004ABA50    64:8920         mov     fs:[eax], esp
004ABA53    A1 60DC4A00     mov     eax, [4ADC60]
004ABA58    8B00            mov     eax, [eax]
004ABA5A    E8 856EF8FF     call    004328E4
004ABA5F    A1 60DC4A00     mov     eax, [4ADC60]
004ABA64    8B00            mov     eax, [eax]
004ABA66    BA 54BB4A00     mov     edx, 004ABB54                    ; ASCII "Resource Hacker V3.5"
004ABA6B    E8 8C6BF8FF     call    004325FC

不关闭reshacker,取消F2断点
提示我有int3断点什么的。。。然后就出现下面代码

004ABA30    55              push    ebp                                   ;停在这里
004ABA31    8BEC            mov     ebp, esp
004ABA33    83C4 F0         add     esp, -10
004ABA36    33C0            xor     eax, eax
004ABA38    8945 F0         mov     [ebp-10], eax
004ABA3B    B8 60B84A00     mov     eax, 004AB860
004ABA40    E8 B79CF5FF     call    004056FC
004ABA45    33C0            xor     eax, eax
004ABA47    55              push    ebp

然后dump出来,impor修复,输入oep,自动获取IAT后全部显示“yes”,转存后不能打开。。。

求助高手。。。

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (6)
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
2
最初由 scship 发布
脱嬴政的ResHacker,2层壳,第二层是ASPack变形壳?!

在霏凡下载的ResHacker 3.5,打开看是嬴政改版的

出于习惯查壳。。。是ASProtect 2.1x SKE -> Alexey Solodovnikov
........


暗?非常之多...

?的修改拿沛版?厌

不?的她是不是只改儋源?段部份

http://www.sendspace.com/file/igkgte
2006-12-7 04:35
0
scship
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
先down下来了
不知道怎么修补。。。
2006-12-7 08:56
0
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 scship 发布
先down下来了
不知道怎么修补。。。


?....不好意滓 我真邋了

倪本可以?
2006-12-7 10:08
0
scship
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
[QUOTE]出于习惯查壳。。。是ASProtect 2.1x SKE -> Alexey Solodovnikov

用VolX大侠的脚本脱,提示说不是ASProtect。。。

用不了脚本。。。还有什么脚本啊?
2006-12-7 23:20
0
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 scship 发布
[QUOTE]出于习惯查壳。。。是ASProtect 2.1x SKE -> Alexey Solodovnikov

用VolX大侠的脚本脱,提示说不是ASProtect。。。


........


是你插件的?铨吧 更新一下就能?了

另外我建阻你?是不必?了 ?完?控件照??法使用

如果你只需要那?XP控件锾格 把.RSRC?段跟3.4版的??就好了

他那?是3.4的修改版

1.修???後?法使用控件部份

2.在儋源?段加入可使用XP控件锾格

3.替?ICO

主要是第1? 呃我也想知道

ResHacker 3.4原版??後 控件 也?法使用

你只需要拿3.4版?改就可以了
2006-12-8 04:54
0
scship
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
谢谢啊。。。

更新插件?我用的都是fly改版的OD了。。。应该是最新的吧?!

你说的我回去慢慢搞一下看看。。。
2006-12-8 13:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//