首页
社区
课程
招聘
Aspr2.XX_IATfixer_v2.2s.osc 修复后出现的状况。
发表于: 2006-12-14 15:33 6651

Aspr2.XX_IATfixer_v2.2s.osc 修复后出现的状况。

2006-12-14 15:33
6651
文件名:hook.dll 大小:541K
加壳类型:ASProtect 2.3 SKE build 03.19 Beta [Extract]
文件地址:http://www.live-share.com/files/114521/QQLLK.rar.html
文件地址2:http://free.ys168.com/?tmp3000
文件地址3:http://ys-h.ys168.com/ys168up/D2/?QQLLK.rary72z7pd4f9b0f9b4z95b7f9bqd2flql9fldi2b7f6e14z97e14e24b1b2f2f9b4f9b0fc6fd7z

    因为是ASProtect 2.3 SKE 的壳,所以直接用Aspr2.XX_IATfixer_v2.2s.osc脚本直接脱壳。
    查得hook.dll的入口地址是000c2001,打开OD载入原程序QQLLK.exe,在004d2001上下硬件断点。CTRL+F2重新载入,中断在004d2001再打

开脚本Aspr2.XX_IATfixer_v2.2s.osc,脚本执行很顺利,最后脚本提示 "IAT fixed. No stolen code at the OEP! Check the address and

size of IAT in log window"。
    再检查脚本修复的IAT时发现一部分是004A****,一部分是004B****,不知道是为什么?即使将所有的004B修正为004B,用LordPE Deluxe

1.4 汉化版完整转存,ImportREC_Fly版CxLrb汉化修正美化版转存输入表,但还是不能用。
00411214   $- FF25 B8014A00 JMP DWORD PTR DS:[4A01B8]               
0041121A      8BC0          MOV EAX,EAX
0041121C   .- FF25 B4014B00 JMP DWORD PTR DS:[4B01B4]                ;  kernel32.RaiseException
00411222      8BC0          MOV EAX,EAX
00411224   .- FF25 B0014B00 JMP DWORD PTR DS:[4B01B0]                ;  ntdll.RtlUnwind
0041122A      8BC0          MOV EAX,EAX
0041122C   $- FF25 AC014B00 JMP DWORD PTR DS:[4B01AC]                ;  kernel32.UnhandledExceptionFilter
00411232      8BC0          MOV EAX,EAX
00411234   $  FF25 A8014A00 JMP DWORD PTR DS:[4A01A8]                ;  Hook.0041314C
0041123A      8BC0          MOV EAX,EAX
0041123C   $- FF25 CC014B00 JMP DWORD PTR DS:[4B01CC]                ;  user32.CharNextA
00411242      8BC0          MOV EAX,EAX
00411244   $- FF25 A4014B00 JMP DWORD PTR DS:[4B01A4]                ;  kernel32.CreateThread
0041124A      8BC0          MOV EAX,EAX
0041124C   $  FF25 A0014A00 JMP DWORD PTR DS:[4A01A0]                ;  Hook.004130F4
00411252      8BC0          MOV EAX,EAX
00411254   .- FF25 9C014B00 JMP DWORD PTR DS:[4B019C]                ;  kernel32.ExitProcess
0041125A      8BC0          MOV EAX,EAX
0041125C   $  FF25 C8014A00 JMP DWORD PTR DS:[4A01C8]
00411262      8BC0          MOV EAX,EAX
00411264   $  FF25 98014A00 JMP DWORD PTR DS:[4A0198]                ;  Hook.004133B8
0041126A      8BC0          MOV EAX,EAX
0041126C   $- FF25 94014B00 JMP DWORD PTR DS:[4B0194]                ;  kernel32.FindFirstFileA
00411272      8BC0          MOV EAX,EAX
00411274   $  FF25 90014A00 JMP DWORD PTR DS:[4A0190]                ;  Hook.004133B0
0041127A      8BC0          MOV EAX,EAX
0041127C   $  FF25 8C014A00 JMP DWORD PTR DS:[4A018C]                ;  Hook.004133A4
00411282      8BC0          MOV EAX,EAX
00411284   $- FF25 88014B00 JMP DWORD PTR DS:[4B0188]                ;  kernel32.GetLocaleInfoA
0041128A      8BC0          MOV EAX,EAX
0041128C   $- FF25 84014A00 JMP DWORD PTR DS:[4A0184]
00411292      8BC0          MOV EAX,EAX
00411294   $  FF25 80014A00 JMP DWORD PTR DS:[4A0180]                ;  Hook.004A01AC
0041129A      8BC0          MOV EAX,EAX
0041129C   $- FF25 7C014B00 JMP DWORD PTR DS:[4B017C]                ;  kernel32.GetProcAddress
004112A2      8BC0          MOV EAX,EAX
004112A4   $  FF25 78014A00 JMP DWORD PTR DS:[4A0178]
004112AA      8BC0          MOV EAX,EAX
004112AC   $  FF25 74014A00 JMP DWORD PTR DS:[4A0174]
004112B2      8BC0          MOV EAX,EAX
004112B4   $  FF25 70014A00 JMP DWORD PTR DS:[4A0170]
004112BA      8BC0          MOV EAX,EAX
004112BC   $- FF25 C4014B00 JMP DWORD PTR DS:[4B01C4]                ;  user32.LoadStringA
004112C2      8BC0          MOV EAX,EAX
004112C4   $- FF25 6C014B00 JMP DWORD PTR DS:[4B016C]                ;  kernel32.lstrcpynA
004112CA      8BC0          MOV EAX,EAX
004112CC   $  FF25 68014A00 JMP DWORD PTR DS:[4A0168]
004112D2      8BC0          MOV EAX,EAX
004112D4   $- FF25 64014B00 JMP DWORD PTR DS:[4B0164]                ;  kernel32.MultiByteToWideChar
004112DA      8BC0          MOV EAX,EAX
004112DC   $  FF25 DC014A00 JMP DWORD PTR DS:[4A01DC]
004112E2      8BC0          MOV EAX,EAX
004112E4   $  FF25 D8014A00 JMP DWORD PTR DS:[4A01D8]
004112EA      8BC0          MOV EAX,EAX
004112EC   $  FF25 D4014A00 JMP DWORD PTR DS:[4A01D4]
004112F2      8BC0          MOV EAX,EAX
004112F4   $- FF25 60014B00 JMP DWORD PTR DS:[4B0160]                ;  kernel32.WideCharToMultiByte
004112FA      8BC0          MOV EAX,EAX
004112FC   $- FF25 5C014B00 JMP DWORD PTR DS:[4B015C]                ;  kernel32.VirtualQuery
00411302      8BC0          MOV EAX,EAX
00411304   $- FF25 EC014B00 JMP DWORD PTR DS:[4B01EC]                ;  oleaut32.SysAllocStringLen
0041130A      8BC0          MOV EAX,EAX
0041130C   $- FF25 E8014B00 JMP DWORD PTR DS:[4B01E8]                ;  oleaut32.SysReAllocStringLen
00411312      8BC0          MOV EAX,EAX
00411314   $- FF25 E4014B00 JMP DWORD PTR DS:[4B01E4]                ;  oleaut32.SysFreeString
0041131A      8BC0          MOV EAX,EAX
0041131C   $- FF25 58014B00 JMP DWORD PTR DS:[4B0158]                ;  kernel32.InterlockedIncrement
00411322      8BC0          MOV EAX,EAX
00411324   $- FF25 54014B00 JMP DWORD PTR DS:[4B0154]                ;  kernel32.InterlockedDecrement
0041132A      8BC0          MOV EAX,EAX
0041132C   $- FF25 50014A00 JMP DWORD PTR DS:[4A0150]
00411332      8BC0          MOV EAX,EAX
00411334   $- FF25 4C014B00 JMP DWORD PTR DS:[4B014C]                ;  kernel32.GetVersion
0041133A      8BC0          MOV EAX,EAX

    如果直接用OD载入HOOK.dll再用Aspr2.XX_IATfixer_v2.2s.osc脚本直接脱壳。IAT会出现如下情况,ImportREC_Fly版CxLrb汉化修正美化

版无法转存输入表。
00871214   $  FF25 B8014A00 JMP DWORD PTR DS:[4A01B8]
0087121A      8BC0          MOV EAX,EAX
0087121C   .  FF25 B4014A00 JMP DWORD PTR DS:[4A01B4]
00871222      8BC0          MOV EAX,EAX
00871224   .  FF25 B0014A00 JMP DWORD PTR DS:[4A01B0]
0087122A      8BC0          MOV EAX,EAX
0087122C   $  FF25 AC014A00 JMP DWORD PTR DS:[4A01AC]
00871232      8BC0          MOV EAX,EAX
00871234   $  FF25 A8014A00 JMP DWORD PTR DS:[4A01A8]
0087123A      8BC0          MOV EAX,EAX
0087123C   $  FF25 CC014A00 JMP DWORD PTR DS:[4A01CC]
00871242      8BC0          MOV EAX,EAX
00871244   $  FF25 A4014A00 JMP DWORD PTR DS:[4A01A4]
0087124A      8BC0          MOV EAX,EAX
0087124C   $  FF25 A0014A00 JMP DWORD PTR DS:[4A01A0]
00871252      8BC0          MOV EAX,EAX
00871254   $  FF25 9C014A00 JMP DWORD PTR DS:[4A019C]
0087125A      8BC0          MOV EAX,EAX
0087125C   $  FF25 C8014A00 JMP DWORD PTR DS:[4A01C8]
00871262      8BC0          MOV EAX,EAX
00871264   $  FF25 98014A00 JMP DWORD PTR DS:[4A0198]
0087126A      8BC0          MOV EAX,EAX
0087126C   $  FF25 94014A00 JMP DWORD PTR DS:[4A0194]
00871272      8BC0          MOV EAX,EAX
00871274   $  FF25 90014A00 JMP DWORD PTR DS:[4A0190]
0087127A      8BC0          MOV EAX,EAX
0087127C   $  FF25 8C014A00 JMP DWORD PTR DS:[4A018C]
00871282      8BC0          MOV EAX,EAX
00871284   $  FF25 88014A00 JMP DWORD PTR DS:[4A0188]
0087128A      8BC0          MOV EAX,EAX
0087128C   $  FF25 84014A00 JMP DWORD PTR DS:[4A0184]
00871292      8BC0          MOV EAX,EAX
00871294   $  FF25 80014A00 JMP DWORD PTR DS:[4A0180]
0087129A      8BC0          MOV EAX,EAX
0087129C   $  FF25 7C014A00 JMP DWORD PTR DS:[4A017C]
008712A2      8BC0          MOV EAX,EAX
008712A4   $  FF25 78014A00 JMP DWORD PTR DS:[4A0178]
008712AA      8BC0          MOV EAX,EAX
008712AC   $  FF25 74014A00 JMP DWORD PTR DS:[4A0174]
008712B2      8BC0          MOV EAX,EAX
008712B4   $  FF25 70014A00 JMP DWORD PTR DS:[4A0170]
008712BA      8BC0          MOV EAX,EAX
008712BC   $  FF25 C4014A00 JMP DWORD PTR DS:[4A01C4]
008712C2      8BC0          MOV EAX,EAX
008712C4   $  FF25 6C014A00 JMP DWORD PTR DS:[4A016C]
008712CA      8BC0          MOV EAX,EAX
008712CC   $  FF25 68014A00 JMP DWORD PTR DS:[4A0168]
008712D2      8BC0          MOV EAX,EAX
008712D4   $  FF25 64014A00 JMP DWORD PTR DS:[4A0164]
008712DA      8BC0          MOV EAX,EAX
008712DC   $  FF25 DC014A00 JMP DWORD PTR DS:[4A01DC]
008712E2      8BC0          MOV EAX,EAX
008712E4   $  FF25 D8014A00 JMP DWORD PTR DS:[4A01D8]
008712EA      8BC0          MOV EAX,EAX
008712EC   $  FF25 D4014A00 JMP DWORD PTR DS:[4A01D4]
008712F2      8BC0          MOV EAX,EAX
008712F4   $  FF25 60014A00 JMP DWORD PTR DS:[4A0160]
008712FA      8BC0          MOV EAX,EAX
008712FC   $  FF25 5C014A00 JMP DWORD PTR DS:[4A015C]
00871302      8BC0          MOV EAX,EAX
00871304   $  FF25 EC014A00 JMP DWORD PTR DS:[4A01EC]
0087130A      8BC0          MOV EAX,EAX
0087130C   $  FF25 E8014A00 JMP DWORD PTR DS:[4A01E8]
00871312      8BC0          MOV EAX,EAX
00871314   $  FF25 E4014A00 JMP DWORD PTR DS:[4A01E4]
0087131A      8BC0          MOV EAX,EAX
0087131C   $  FF25 58014A00 JMP DWORD PTR DS:[4A0158]
00871322      8BC0          MOV EAX,EAX
00871324   $  FF25 54014A00 JMP DWORD PTR DS:[4A0154]
0087132A      8BC0          MOV EAX,EAX
0087132C   $  FF25 50014A00 JMP DWORD PTR DS:[4A0150]
00871332      8BC0          MOV EAX,EAX
00871334   $  FF25 4C014A00 JMP DWORD PTR DS:[4A014C]

脚本日志窗口
地址       信息
932001     imgbase: 00870000 | ASCII "MZP"
932001     imgbasefromdisk: 00400000 | ASCII "MZP"
932001     tmp1: 008701F8
932001     1stsecsize: 00099000
932001     1stsecbase: 00871000
932001     tmp1: 00870338 | ASCII ".adata"
932001     lastsecsize: 00001000
932001     lastsecbase: 0096A000
932001     isdll: 00000001
9E2777     dllimgbase: 009E0000
9E2777     tmp4: 00A18B2E
A18B2E     thunkstop: 00A187F4
A18B2E     APIpoint3: 00A1734F
A18B2E     thunkpt: 00A096F6
A18B2E     tmp2: 04245C03
A18B2E     patch1: 00A09468
A18B2E     tmp2: 0000003B
A18B2E     thunkdataloc: 009E0200
A18B2E     tmp2: 00A189FC
A18B2E     tmp3: 000035FF
A096F6     ESIaddr: 00A405CC
A096F6     ESIpara1: 75375E3A
A096F6     ESIpara2: 75385E3A
A096F6     ESIpara3: 753A5E3A
A096F6     ESIpara4: 74345E3A
A096F6     nortype: 00000001
9E0102     tmp2: 00000001
9E0102     tmp3: 00910838
9E0102     iatendaddr: 0091083C
9E0102     iatstartaddr: 0091012C
9E0102     iatstart_rva: 000A012C
9E0102     patch3: 00A095CB
A187F4     writept2: 00A1738E
A187F4     tmp1: 00A1898F
A187F4     tmp2: 00A189B5
A187F4     transit1: 00A189B6
A1738E     EBXaddr: 00A40720
A1738E     FF15flag: 0000008A
A1738E     type1API: 00000001
A189B6     tmp2: 00A1614B
A189B6     func1: CALL 00A16C78
A189B6     func2: CALL 00A15A9C
A189B6     func3: CALL 00A16794
A189B6     func4: CALL 00A08FE8
A189B6     v1.32: 00000000
A189B6     v2.0x: 00000000
9E0034     E8count: 0000004A
A17ECC     reloc_rva: 000A4000
A17ECC     reloc_size: 0000B0F8
A17ECC     iatstartaddr: 0091012C
A17ECC     iatstart_rva: 000A012C
A17ECC     iatsize: 00000714
90964C     OEP_rva: 0009964C
4D2001     imgbase: 00410000 | ASCII "MZP"
4D2001     imgbasefromdisk: 00400000 | ASCII "MZP"
4D2001     tmp1: 004101F8
4D2001     1stsecsize: 00099000
4D2001     1stsecbase: 00411000
4D2001     tmp1: 00410338 | ASCII ".adata"
4D2001     lastsecsize: 00001000
4D2001     lastsecbase: 0050A000
4D2001     isdll: 00000000
E52777     dllimgbase: 00E50000
E52777     tmp4: 00E88B2E
E88B2E     thunkstop: 00E887F4
E88B2E     APIpoint3: 00E8734F
E88B2E     thunkpt: 00E796F6
E88B2E     patch1: 00E79468
E88B2E     tmp2: 0000003B
E88B2E     thunkdataloc: 00E50200
E88B2E     tmp2: 00E889FC
E88B2E     tmp3: 000035FF
E796F6     ESIaddr: 00EB05CC
E796F6     ESIpara1: 75375E3A
E796F6     ESIpara2: 75385E3A
E796F6     ESIpara3: 753A5E3A
E796F6     ESIpara4: 74345E3A
E796F6     nortype: 00000001
E50102     tmp2: 00000001
E50102     tmp3: 004B0838
E50102     iatendaddr: 004B083C
E50102     iatstartaddr: 004B012C
E50102     iatstart_rva: 000A012C
E50102     patch3: 00E795CB
E887F4     writept2: 00E8738E
E887F4     tmp1: 00E8898F
E887F4     tmp2: 00E889B5
E887F4     transit1: 00E889B6
E8738E     EBXaddr: 00EB0720
E8738E     FF15flag: 0000008A
E8738E     type1API: 00000001
E889B6     tmp2: 00E8614B
E889B6     func1: CALL 00E86C78
E889B6     func2: CALL 00E85A9C
E889B6     func3: CALL 00E86794
E889B6     func4: CALL 00E78FE8
E889B6     v1.32: 00000000
E889B6     v2.0x: 00000000
E50034     E8count: 0000004A
E87ECC     iatstartaddr: 004B012C
E87ECC     iatstart_rva: 000A012C
E87ECC     iatsize: 00000714
4A964C     OEP_rva: 0009964C
932001     imgbase: 00870000 | ASCII "MZP"
932001     imgbasefromdisk: 00400000 | ASCII "MZP"
932001     tmp1: 008701F8
932001     1stsecsize: 00099000
932001     1stsecbase: 00871000
932001     tmp1: 00870338 | ASCII ".adata"
932001     lastsecsize: 00001000
932001     lastsecbase: 0096A000
932001     isdll: 00000001
9E2777     dllimgbase: 009E0000
9E2777     tmp4: 00A18B2E
A18B2E     thunkstop: 00A187F4
A18B2E     APIpoint3: 00A1734F
A18B2E     thunkpt: 00A096F6
A18B2E     tmp2: 04245C03
A18B2E     patch1: 00A09468
A18B2E     tmp2: 0000003B
A18B2E     thunkdataloc: 009E0200
A18B2E     tmp2: 00A189FC
A18B2E     tmp3: 000035FF
A096F6     ESIaddr: 00A405CC
A096F6     ESIpara1: 75375E3A
A096F6     ESIpara2: 75385E3A
A096F6     ESIpara3: 753A5E3A
A096F6     ESIpara4: 74345E3A
A096F6     nortype: 00000001
9E0102     tmp2: 00000001
9E0102     tmp3: 00910838
9E0102     iatendaddr: 0091083C
9E0102     iatstartaddr: 0091012C
9E0102     iatstart_rva: 000A012C
9E0102     patch3: 00A095CB
A187F4     writept2: 00A1738E
A187F4     tmp1: 00A1898F
A187F4     tmp2: 00A189B5
A187F4     transit1: 00A189B6
A1738E     EBXaddr: 00A40720
A1738E     FF15flag: 0000008A
A1738E     type1API: 00000001
A189B6     tmp2: 00A1614B
A189B6     func1: CALL 00A16C78
A189B6     func2: CALL 00A15A9C
A189B6     func3: CALL 00A16794
A189B6     func4: CALL 00A08FE8
A189B6     v1.32: 00000000
A189B6     v2.0x: 00000000
9E0034     E8count: 0000004A
A17ECC     reloc_rva: 000A4000
A17ECC     reloc_size: 0000B0F8
A17ECC     iatstartaddr: 0091012C
A17ECC     iatstart_rva: 000A012C
A17ECC     iatsize: 00000714
90964C     OEP_rva: 0009964C

入口情况:
0090964C  /.  55            PUSH EBP
0090964D  |.  8BEC          MOV EBP,ESP
0090964F  |.  83C4 B0       ADD ESP,-50
00909652  |.  33C0          XOR EAX,EAX
00909654  |.  8945 B0       MOV DWORD PTR SS:[EBP-50],EAX
00909657  |.  8945 C0       MOV DWORD PTR SS:[EBP-40],EAX
0090965A  |.  8945 B4       MOV DWORD PTR SS:[EBP-4C],EAX
0090965D  |.  8945 BC       MOV DWORD PTR SS:[EBP-44],EAX
00909660  |.  8945 B8       MOV DWORD PTR SS:[EBP-48],EAX
00909663  |.  B8 5C924900   MOV EAX,49925C
00909668  |.  E8 E3C9F6FF   CALL hook.00876050
0090966D  |.  33C0          XOR EAX,EAX
0090966F  |.  55            PUSH EBP
00909670  |.  68 A6974900   PUSH 4997A6
00909675  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
00909678  |.  64:8920       MOV DWORD PTR FS:[EAX],ESP
0090967B  |.  8D55 B8       LEA EDX,DWORD PTR SS:[EBP-48]
0090967E  |.  33C0          XOR EAX,EAX
00909680  |.  E8 433DF7FF   CALL hook.0087D3C8
00909685  |.  8B45 B8       MOV EAX,DWORD PTR SS:[EBP-48]
00909688  |.  8D55 BC       LEA EDX,DWORD PTR SS:[EBP-44]
0090968B  |.  E8 E4F4F6FF   CALL hook.00878B74
00909690  |.  8B45 BC       MOV EAX,DWORD PTR SS:[EBP-44]
00909693  |.  8D55 C0       LEA EDX,DWORD PTR SS:[EBP-40]
00909696  |.  E8 0DE9F6FF   CALL hook.00877FA8
0090969B  |.  8B45 C0       MOV EAX,DWORD PTR SS:[EBP-40]
0090969E  |.  50            PUSH EAX
0090969F  |.  8D55 B4       LEA EDX,DWORD PTR SS:[EBP-4C]
009096A2  |.  B8 BC974900   MOV EAX,4997BC
009096A7  |.  E8 FCE8F6FF   CALL hook.00877FA8
009096AC  |.  8B55 B4       MOV EDX,DWORD PTR SS:[EBP-4C]
009096AF  |.  58            POP EAX
009096B0  |.  E8 0FADF6FF   CALL hook.008743C4
009096B5  |.  0F85 D0000000 JNZ hook.0090978B
009096BB  |.  68 CC974900   PUSH 4997CC
009096C0  |.  6A 00         PUSH 0
009096C2  |.  68 01001F00   PUSH 1F0001
009096C7  |.  E8 A0CDF6FF   CALL hook.0087646C
009096CC  |.  8B15 D4BD4900 MOV EDX,DWORD PTR DS:[49BDD4]
009096D2  |.  8902          MOV DWORD PTR DS:[EDX],EAX
009096D4  |.  A1 D4BD4900   MOV EAX,DWORD PTR DS:[49BDD4]
009096D9  |.  8338 00       CMP DWORD PTR DS:[EAX],0

没有使用脚本的入口情况:
0090964C  /.  55            PUSH EBP
0090964D  |.  8BEC          MOV EBP,ESP
0090964F  |.  83C4 B0       ADD ESP,-50
00909652  |.  33C0          XOR EAX,EAX
00909654  |.  8945 B0       MOV DWORD PTR SS:[EBP-50],EAX
00909657  |.  8945 C0       MOV DWORD PTR SS:[EBP-40],EAX
0090965A  |.  8945 B4       MOV DWORD PTR SS:[EBP-4C],EAX
0090965D  |.  8945 BC       MOV DWORD PTR SS:[EBP-44],EAX
00909660  |.  8945 B8       MOV DWORD PTR SS:[EBP-48],EAX
00909663  |.  B8 5C929000   MOV EAX,hook.0090925C
00909668  |.  E8 E3C9F6FF   CALL hook.00876050
0090966D  |.  33C0          XOR EAX,EAX
0090966F  |.  55            PUSH EBP
00909670  |.  68 A6979000   PUSH hook.009097A6
00909675  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
00909678  |.  64:8920       MOV DWORD PTR FS:[EAX],ESP
0090967B  |.  8D55 B8       LEA EDX,DWORD PTR SS:[EBP-48]
0090967E  |.  33C0          XOR EAX,EAX
00909680  |.  E8 433DF7FF   CALL hook.0087D3C8
00909685  |.  8B45 B8       MOV EAX,DWORD PTR SS:[EBP-48]
00909688  |.  8D55 BC       LEA EDX,DWORD PTR SS:[EBP-44]
0090968B  |.  E8 E4F4F6FF   CALL hook.00878B74
00909690  |.  8B45 BC       MOV EAX,DWORD PTR SS:[EBP-44]
00909693  |.  8D55 C0       LEA EDX,DWORD PTR SS:[EBP-40]
00909696  |.  E8 0DE9F6FF   CALL hook.00877FA8
0090969B  |.  8B45 C0       MOV EAX,DWORD PTR SS:[EBP-40]
0090969E  |.  50            PUSH EAX
0090969F  |.  8D55 B4       LEA EDX,DWORD PTR SS:[EBP-4C]
009096A2  |.  B8 BC979000   MOV EAX,hook.009097BC                    ;  ASCII "EXPLORER.EXE"
009096A7  |.  E8 FCE8F6FF   CALL hook.00877FA8
009096AC  |.  8B55 B4       MOV EDX,DWORD PTR SS:[EBP-4C]
009096AF  |.  58            POP EAX
009096B0  |.  E8 0FADF6FF   CALL hook.008743C4
009096B5  |.  0F85 D0000000 JNZ hook.0090978B
009096BB  |.  68 CC979000   PUSH hook.009097CC                       ;  ASCII "DLL_MUTEX_LLK"
009096C0  |.  6A 00         PUSH 0
009096C2  |.  68 01001F00   PUSH 1F0001
009096C7  |.  E8 A0CDF6FF   CALL hook.0087646C
009096CC  |.  8B15 D4BD9000 MOV EDX,DWORD PTR DS:[90BDD4]            ;  hook.0090D7A0
009096D2  |.  8902          MOV DWORD PTR DS:[EDX],EAX
009096D4  |.  A1 D4BD9000   MOV EAX,DWORD PTR DS:[90BDD4]
009096D9  |.  8338 00       CMP DWORD PTR DS:[EAX],0
009096DC  |.  0F85 9C000000 JNZ hook.0090977E
009096E2  |.  68 60F09000   PUSH hook.0090F060                       ; /pThreadId = hook.0090F060
009096E7  |.  6A 00         PUSH 0                                   ; |CreationFlags = 0
009096E9  |.  6A 00         PUSH 0                                   ; |pThreadParm = NULL
009096EB  |.  68 D0919000   PUSH hook.009091D0                       ; |ThreadFunction = hook.009091D0
009096F0  |.  6A 00         PUSH 0                                   ; |StackSize = 0
009096F2  |.  6A 00         PUSH 0                                   ; |pSecurity = NULL
009096F4  |.  E8 93CBF6FF   CALL hook.0087628C                       ; \CreateThread
009096F9  |.  8D55 B0       LEA EDX,DWORD PTR SS:[EBP-50]
009096FC  |.  A1 60D69000   MOV EAX,DWORD PTR DS:[90D660]
00909701  |.  E8 C23CF7FF   CALL hook.0087D3C8
00909706  |.  8B45 B0       MOV EAX,DWORD PTR SS:[EBP-50]
00909709  |.  E8 6AADF6FF   CALL hook.00874478
0090970E  |.  50            PUSH EAX                                 ; /FileName
0090970F  |.  E8 20CDF6FF   CALL hook.00876434                       ; \LoadLibraryA
00909714  |.  68 DC979000   PUSH hook.009097DC                       ;  ASCII "SFILEMAP_LLK"
00909719  |.  6A 00         PUSH 0
0090971B  |.  68 1F000F00   PUSH 0F001F
00909720  |.  E8 3FCDF6FF   CALL hook.00876464
00909725  |.  8B15 94C09000 MOV EDX,DWORD PTR DS:[90C094]            ;  hook.0090D7A4
0090972B  |.  8902          MOV DWORD PTR DS:[EDX],EAX
0090972D  |.  6A 00         PUSH 0
0090972F  |.  6A 00         PUSH 0
00909731  |.  6A 00         PUSH 0
00909733  |.  68 1F000F00   PUSH 0F001F
00909738  |.  A1 94C09000   MOV EAX,DWORD PTR DS:[90C094]
0090973D  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
0090973F  |.  50            PUSH EAX
00909740  |.  E8 07CDF6FF   CALL hook.0087644C
00909745  |.  8B15 88BC9000 MOV EDX,DWORD PTR DS:[90BC88]            ;  hook.0090D7A8
0090974B  |.  8902          MOV DWORD PTR DS:[EDX],EAX
0090974D  |.  6A 00         PUSH 0                                   ; /lParam = 0
0090974F  |.  6A 00         PUSH 0                                   ; |wParam = 0
00909751  |.  6A 12         PUSH 12                                  ; |Message = WM_QUIT
00909753  |.  A1 88BC9000   MOV EAX,DWORD PTR DS:[90BC88]            ; |
00909758  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]               ; |
0090975A  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]               ; |
0090975C  |.  50            PUSH EAX                                 ; |ThreadId
0090975D  |.  E8 4AD4F6FF   CALL hook.00876BAC                       ; \PostThreadMessageA
00909762  |.  A1 88BC9000   MOV EAX,DWORD PTR DS:[90BC88]
00909767  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
00909769  |.  50            PUSH EAX
0090976A  |.  E8 65CDF6FF   CALL hook.008764D4
0090976F  |.  A1 94C09000   MOV EAX,DWORD PTR DS:[90C094]
00909774  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
00909776  |.  50            PUSH EAX                                 ; /hObject
00909777  |.  E8 C8CAF6FF   CALL hook.00876244                       ; \CloseHandle
0090977C  |.  EB 0D         JMP SHORT hook.0090978B
0090977E  |>  A1 D4BD9000   MOV EAX,DWORD PTR DS:[90BDD4]
00909783  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
00909785  |.  50            PUSH EAX                                 ; /hObject
00909786  |.  E8 B9CAF6FF   CALL hook.00876244                       ; \CloseHandle
0090978B  |>  33C0          XOR EAX,EAX
0090978D  |.  5A            POP EDX
0090978E  |.  59            POP ECX
0090978F  |.  59            POP ECX
00909790  |.  64:8910       MOV DWORD PTR FS:[EAX],EDX
00909793  |.  68 AD979000   PUSH hook.009097AD
00909798  |>  8D45 B0       LEA EAX,DWORD PTR SS:[EBP-50]
0090979B  |.  BA 05000000   MOV EDX,5
009097A0  |.  E8 37A8F6FF   CALL hook.00873FDC
009097A5  \.  C3            RETN
009097A6   .^ E9 05A1F6FF   JMP hook.008738B0
009097AB   .^ EB EB         JMP SHORT hook.00909798
009097AD      E8            DB E8
009097AE      92            DB 92

    请教各位赐教。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
为什么你的 hook.dll 是 asprotect 加壳 ? 跟另一个帖的 hook.dll 是不是一样的东东 ?
2006-12-14 21:19
0
雪    币: 2165
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最初由 VolX 发布
为什么你的 hook.dll 是 asprotect 加壳 ? 跟另一个帖的 hook.dll 是不是一样的东东 ?


hook.dll用PEiD0.94的插件VerA 0.15 查到的,提示为:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
这个hook.dll是QQLLK.exe 的动态库,跟其他人的hook.dll是不同的。
2006-12-15 00:57
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
4
liveshare 下载好慢, 10 分钟只下了 320kb, 今天是来不及了.
2006-12-15 21:20
0
雪    币: 2165
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
最初由 VolX 发布
liveshare 下载好慢, 10 分钟只下了 320kb, 今天是来不及了.


感谢VolX的关注,期待您的回复。
2006-12-16 00:49
0
雪    币: 2165
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
大侠们,看一下吧。
2006-12-21 12:48
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
这个用 IATFixer_2.2 脚本到最后会报错, 可先不理他,用 LordPE 把 DLL dump 下再用 Import Reconstructor 修复 IAT, 再用LordPE 改重定位的地址和大小.
最后有两个标准函数要修复 (用补区段或参考其他 Delphi 程序来修复).
2006-12-21 20:37
0
雪    币: 2165
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
感谢VOLX的解答,看来这个hook.dll还真难对付,俺还要好好学习一番哪!
有哪位大侠要解剖它吗?或提供相当教程看看,感激!
2006-12-22 00:52
0
游客
登录 | 注册 方可回帖
返回
//