[原创]Aspr2.XX_unpacker_v1.0-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (378) ◀ 1 2 3 4 5 6 7 8 9 10 ...16 ▶
老刘雪币： 451 活跃值： (117) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 137 粉丝 1 关注私信	老刘 101 楼呵呵终于等到新的了有时间试试老大牛人 2007-1-22 09:48 0
tteesstt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tteesstt 102 楼最初由 VolX* 发布* 别拿这个去脱有 VM 的 !!!! 怎么才知道有没有虚拟机，脱这个程序出错是不是因为这个原因附件：http://www.live-share.com/files/142390/Xsjzb.exe.html 脚本停在这2026行脚本运行窗口, 条目 2025 行号=2025 命令= esto 返回值= j EIP=01400062 脚本运行窗口, 条目 2026 行号=2026 命令=lab36_2 脚本运行窗口, 条目 2027 行号=2027 命令= cmp eip, tmp1 程序出错提示： OS: Windows XP Professional, SP2 CPU: GenuineIntel, Intel Pentium 4, MMX @ 2420 MHz Module name: C:\Xsj_Soft\Xsjzb\Xsjzb.exe Application data: VmVyc2lvbjogV3N5cTBjRFd6dEtodCsvWHFMUDYyNmpCNTdiMVZpQXN WanNnUFZJak1CMGJTaUE4SUROMllYeDVjalluSVRZcUx6bFlmMjk2UV RBOVJtMTJjSEJQVHl3clNsWlhVeDRMQ2xKUlVRbFNSbGhJU2tFRVNFV nhBZz09DQpJbWFnZUJhc2U6IDAwNDAwMDAwDQpFaXA6IDE0MDAwOEQN CkVheDogMjcwMQ0KRWN4OiAyNjAwMDAwDQpFZHg6IDI3MDENCkVieDo gMTJGRjQ0DQpFc2k6IDI2MTAwMDENCkVkaTogNDA3ODc4DQpFYnA6ID EyRkY5OA0KRXNwOiAxMkZGMjgNCkVycm9yQ29kZTogDQowLDIyLDEsM CwwLDAsMCwwLDAsMCwwLDAsMCwwLDAsMCwwLDAsMCxBMSw0LDEsNDAs MSxDNywwLDU4LEE5LDg5LDAsQzcsNDAsRkMsMjMsMSwwLDAsQkUsMCw yMCw2MywyLEJGLDUwLEE5LDg5LDAsQjksNDgsMiwwLDAuLi4NCkNvZG UgPSBbMjE0XQ0KLSAxNjgNCi0gODgNCi0gMjI3DQotIDANCi0gMA0KL SBbXQ0KPiBDOlxYc2pfU29mdFxYc2p6YlxYc2p6Yi5leGUNCg0KNi4z LjIwMDYuNTMzDQpYc2p6Yg0KNi4zDQoNCj4gQzpcV0lORE9XU1xzeXN 0ZW0zMlxudGRsbC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxrZX JuZWwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx1c2VyMzIuZ GxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcR0RJMzIuZGxsDQo+IEM6 XFdJTkRPV1Ncc3lzdGVtMzJcYWR2YXBpMzIuZGxsDQo+IEM6XFdJTkR PV1Ncc3lzdGVtMzJcUlBDUlQ0LmRsbA0KPiBDOlxXSU5ET1dTXHN5c3 RlbTMyXG9sZWF1dDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyX G1zdmNydC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxvbGUzMi5k bGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxtcHIuZGxsDQo+IEM6XFd JTkRPV1Ncc3lzdGVtMzJcdmVyc2lvbi5kbGwNCj4gQzpcV0lORE9XU1 xzeXN0ZW0zMlxvbGVwcm8zMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0Z W0zMlxjb21jdGwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxp bW0zMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx3aW5zcG9vbC5 kcnYNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxzaGVsbDMyLmRsbA0KPi BDOlxXSU5ET1dTXHN5c3RlbTMyXFNITFdBUEkuZGxsDQo+IEM6XFdJT kRPV1Ncc3lzdGVtMzJcd2luaW5ldC5kbGwNCj4gQzpcV0lORE9XU1xz eXN0ZW0zMlxDUllQVDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTM yXE1TQVNOMS5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxjb21kbG czMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxMUEsuRExMDQo+I EM6XFdJTkRPV1Ncc3lzdGVtMzJcVVNQMTAuZGxsDQo+IEM6XFdJTkRP V1NcV2luU3hTXHg4Nl9NaWNyb3NvZnQuV2luZG93cy5Db21tb24tQ29 udHJvbHNfNjU5NWI2NDE0NGNjZjFkZl82LjAuMjYwMC4yOTgyX3gtd3 dfYWMzZjljMDNcY29tY3RsMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzd GVtMzJcd3NvY2szMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxX UzJfMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcV1MySEVMUC5 kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxNU0NURi5kbGwNCj4gQz pcV0lORE9XU1xzeXN0ZW0zMlxtc2N0ZmltZS5pbWU= 2007-1-22 11:20 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 103 楼可以说这是脚本的最高境界!,试了一下,跟脱壳机没有什么区别 2007-1-22 14:02 0
blzs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	blzs 104 楼支持一下，谢谢分享。 2007-1-22 15:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 105 楼 mobai 2007-1-22 17:10 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 106 楼最初由 tteesstt* 发布* 怎么才知道有没有虚拟机，脱这个程序出错是不是因为这个原因附件：http://www.live-share.com/files/142390/Xsjzb.exe.html 脚本停在这2026行 ........ 在我这里可以脱. 2007-1-22 21:04 0
baof 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	baof 107 楼感谢牛人！！！ 2007-1-23 02:24 0
tteesstt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tteesstt 108 楼最初由 VolX* 发布* 在我这里可以脱. VolX请看我的日志，我在2003，xp，2000里都不行，已经把所有的忽略异常钩上了的 Log data 地址消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' 命令行: C:\Xsj_Soft\Xsjzb\Xsjzb.exe 正在扫描导入库 '.\LIB\MFC42.Lib' 已解析出 6384 个序号正在扫描导入库 '.\LIB\mfc71.Lib' 已解析出 6442 个序号文件 'C:\Xsj_Soft\Xsjzb\Xsjzb.exe' Asm2Clipboard PlugIn v0.1 Written by FaTmiKE 2oo4 I used code snippets from ExtraCopy PlugIn v1.0 by Regon ...so thanks to Regon for his great job! Bookmarks sample plugin v1.06 (plugin demo) Copyright (C) 2001, 2002 Oleh Yuschuk CleanupEx v1.12.108 by Gigapede CommandBar v3.20.110 Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn GODUP ver 1.2 by godfather+ - Delphi edition Hide Caption v1.00 by Gigapede HideOD, www.pediy.com OllyDump v3.00.110 by Gigapede OllyMachine v0.20 Written by Luo Cong Compiled on Dec 7 2004 14:32:15 Ultra String Reference v0.11 Written by Luo Cong Compiled on Sep 20 2005 15:33:30 WatchMan v1.00 by Gigapede 数据格式转换 plugin v1.1 该插件可以将内存里的二进制数据转换为相应的编译语言数据格式 Copyright (C) 2006 by zhanshen[DFCG][RCT] OllyScript v0.92 Written by SHaG ODbgScript v1.51 by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3 ID 00000110 的新进程已创建 00401000 ID 0000010C 的主线程已创建 00400000 模块 C:\Xsj_Soft\Xsjzb\Xsjzb.exe 5D170000 模块 C:\WINDOWS\system32\comctl32.dll 5EFE0000 模块 C:\WINDOWS\system32\olepro32.dll 71A90000 模块 C:\WINDOWS\system32\mpr.dll 72F70000 模块 C:\WINDOWS\system32\winspool.drv 76300000 模块 C:\WINDOWS\system32\imm32.dll 76320000 模块 C:\WINDOWS\system32\comdlg32.dll 765E0000 模块 C:\WINDOWS\system32\CRYPT32.dll 76680000 模块 C:\WINDOWS\system32\wininet.dll 76990000 模块 C:\WINDOWS\system32\ole32.dll 76DB0000 模块 C:\WINDOWS\system32\MSASN1.dll 770F0000 模块 C:\WINDOWS\system32\oleaut32.dll 77BD0000 模块 C:\WINDOWS\system32\version.dll 77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll 77D10000 模块 C:\WINDOWS\system32\user32.dll 77DA0000 模块 C:\WINDOWS\system32\advapi32.dll 77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll 77EF0000 模块 C:\WINDOWS\system32\GDI32.dll 77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll 7C800000 模块 C:\WINDOWS\system32\kernel32.dll 7C920000 模块 C:\WINDOWS\system32\ntdll.dll 7D590000 模块 C:\WINDOWS\system32\shell32.dll 62C20000 模块 C:\WINDOWS\system32\LPK.DLL 73FA0000 模块 C:\WINDOWS\system32\USP10.dll 00401000 程序入口点 77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 71A40000 模块 C:\WINDOWS\system32\wsock32.dll 71A20000 模块 C:\WINDOWS\system32\WS2_32.dll 7C80176B 断点位于 kernel32.GetSystemTime 0143FF66 访问违规: 正在写入到 [00000000] 0143E2BA INT3 命令位于0143E2BA 0143F004 访问违规: 正在写入到 [00000000] 0143F7F3 断点位于 0143F7F3 0143F6F4 断点位于 0143F6F4 0143F382 访问违规: 正在写入到 [00000000] 01434C5A 断点位于 01434C5A 0140011A 断点位于 0140011A AsprAPIloc: 0144267C 0143F4B8 断点位于 0143F4B8 0143DC3E 硬件断点 1 位于 0143DC3E 0143F5D1 断点位于 0143F5D1 0143F609 断点位于 0143F609 0143F67A 断点位于 0143F67A Delphi 初始化表的地址 0089A950 0141FCEC 断点位于 0141FCEC 0141FCEC 断点位于 0141FCEC 0141FCEC 断点位于 0141FCEC 02620155 断点位于 02620155 0140002E 断点位于 0140002E 01400062 断点位于 01400062 0140008D 访问违规: 正在写入到 [00002701] 71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll 2007-1-23 10:04 0
everchong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 50 粉丝 0 关注私信	everchong 109 楼出了佩服。。。。没别的话可以表达了。。。 126K的脚本。。太厉害了～ 2007-1-23 20:54 0
gxggxy103 雪币： 528 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	gxggxy103 110 楼极品牛人。佩服。 2007-1-24 13:21 0
GDFSmaskli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	GDFSmaskli 111 楼 Log data 地址消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' Asm2Clipboard PlugIn v0.1 Written by FaTmiKE 2oo4 I used code snippets from ExtraCopy PlugIn v1.0 by Regon ...so thanks to Regon for his great job! Bookmarks sample plugin v1.06 (plugin demo) Copyright (C) 2001, 2002 Oleh Yuschuk CleanupEx v1.12.108 by Gigapede CommandBar v3.20.110 Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn GODUP ver 1.2 by godfather+ - Delphi edition Hide Caption v1.00 by Gigapede HideOD, www.pediy.com ODbgScript v1.51 by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3 OllyDump v3.00.110 by Gigapede OllyMachine v0.20 Written by Luo Cong Compiled on Dec 7 2004 14:32:15 OllyScript v0.92 Written by SHaG Ultra String Reference v0.11 Written by Luo Cong Compiled on Sep 20 2005 15:33:30 WatchMan v1.00 by Gigapede 数据格式转换 plugin v1.1 该插件可以将内存里的二进制数据转换为相应的编译语言数据格式 Copyright (C) 2006 by zhanshen[DFCG][RCT] 正在扫描导入库 '.\LIB\MFC42.Lib' 已解析出 6384 个序号正在扫描导入库 '.\LIB\mfc71.Lib' 已解析出 6442 个序号文件 'C:\晨曦软件\清单计价2005\Qd2005.exe' ID 000008D0 的新进程已创建 00401000 ID 000008B0 的主线程已创建 00400000 模块 C:\晨曦软件\清单计价2005\Qd2005.exe 10000000 模块 C:\晨曦软件\清单计价2005\sense4.dll 5D170000 模块 C:\WINDOWS\system32\comctl32.dll 5EFE0000 模块 C:\WINDOWS\system32\olepro32.dll 71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll 71A20000 模块 C:\WINDOWS\system32\WS2_32.dll 71A40000 模块 C:\WINDOWS\system32\wsock32.dll 72F70000 模块 C:\WINDOWS\system32\winspool.drv 74C90000 模块 C:\WINDOWS\system32\oledlg.dll 76060000 模块 C:\WINDOWS\system32\SETUPAPI.dll 76300000 模块 C:\WINDOWS\system32\imm32.dll 76320000 模块 C:\WINDOWS\system32\comdlg32.dll 76990000 模块 C:\WINDOWS\system32\ole32.dll 76B10000 模块 C:\WINDOWS\system32\winmm.dll 770F0000 模块 C:\WINDOWS\system32\oleaut32.dll 77BD0000 模块 C:\WINDOWS\system32\version.dll 77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll 77D10000 模块 C:\WINDOWS\system32\user32.dll 77DA0000 模块 C:\WINDOWS\system32\advapi32.dll 77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll 77EF0000 模块 C:\WINDOWS\system32\GDI32.dll 77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll 7C800000 模块 C:\WINDOWS\system32\kernel32.dll 7C920000 模块 C:\WINDOWS\system32\ntdll.dll 7D590000 模块 C:\WINDOWS\system32\shell32.dll 5CC30000 模块 C:\WINDOWS\system32\ShimEng.dll 62C20000 模块 C:\WINDOWS\system32\LPK.DLL 73FA0000 模块 C:\WINDOWS\system32\USP10.dll 77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 5CC30000 卸载 C:\WINDOWS\system32\ShimEng.dll 00401000 程序入口点 7C80176B 断点位于 kernel32.GetSystemTime 015EE5FE 访问违规: 正在写入到 [00000000] 015EC88E INT3 命令位于015EC88E 015ED6C6 访问违规: 正在写入到 [00000000] 015EDEA5 断点位于 015EDEA5 015EDDA0 断点位于 015EDDA0 015EDA11 访问违规: 正在写入到 [00000000] 015E39AA 断点位于 015E39AA 015B011A 断点位于 015B011A AsprAPIloc: 015F0634 015EDB5D 断点位于 015EDB5D 015EC1DA 硬件断点 1 位于 015EC1DA 015EC19B 硬件断点 2 位于 015EC19B 015EDC76 断点位于 015EDC76 2 个标准函数 015EDCB2 断点位于 015EDCB2 015EDD19 断点位于 015EDD19 Delphi 初始化表的地址 00949DCC 015CEBC0 断点位于 015CEBC0 015CEBC0 断点位于 015CEBC0 015CEBC0 断点位于 015CEBC0 02BF01B5 断点位于 02BF01B5 015B002E 断点位于 015B002E 015B0062 断点位于 015B0062 015B00C5 断点位于 015B00C5 015B01B4 断点位于 015B01B4 015B0156 断点位于 015B0156 2007-1-24 13:38 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 112 楼给壳界注入一支兴奋剂，给Aspr公司敲响警钟――――~脚本大牛~ 2007-1-24 13:55 0
honshon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	honshon 113 楼牛人,膜拜中.... 2007-1-24 17:03 0
我最帅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	我最帅 114 楼牛！无话可说！ 2007-1-24 17:28 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 115 楼 To tteesstt 这是我在网吧其中一台试的 log Log data Address Message OllyDbg v1.10 CommandBar v3.20.110 Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn HideOD, www.pediy.com OllyDump v3.00.110 by Gigapede CleanupEx v1.12.108 by Gigapede ODbgScript v1.51 by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3 File 'D:\Downloads\Xsjzb.exe' New process with ID 00000CA0 created 00401000 Main thread with ID 000009B4 created 00400000 Module D:\Downloads\Xsjzb.exe 5D170000 Module C:\WINDOWS\system32\comctl32.dll 5EFE0000 Module C:\WINDOWS\system32\olepro32.dll 71A90000 Module C:\WINDOWS\system32\mpr.dll 72F70000 Module C:\WINDOWS\system32\winspool.drv 76300000 Module C:\WINDOWS\system32\imm32.dll 76320000 Module C:\WINDOWS\system32\comdlg32.dll 765E0000 Module C:\WINDOWS\system32\CRYPT32.dll 76680000 Module C:\WINDOWS\system32\wininet.dll 76990000 Module C:\WINDOWS\system32\ole32.dll 76DB0000 Module C:\WINDOWS\system32\MSASN1.dll 770F0000 Module C:\WINDOWS\system32\oleaut32.dll 77BD0000 Module C:\WINDOWS\system32\version.dll 77BE0000 Module C:\WINDOWS\system32\msvcrt.dll 77D10000 Module C:\WINDOWS\system32\user32.dll 77DA0000 Module C:\WINDOWS\system32\advapi32.dll 77E50000 Module C:\WINDOWS\system32\RPCRT4.dll 77EF0000 Module C:\WINDOWS\system32\GDI32.dll 77F40000 Module C:\WINDOWS\system32\SHLWAPI.dll 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 7D590000 Module C:\WINDOWS\system32\shell32.dll 62C20000 Module C:\WINDOWS\system32\LPK.DLL 73FA0000 Module C:\WINDOWS\system32\USP10.dll 00401000 Program entry point 77180000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll 71A40000 Module C:\WINDOWS\system32\wsock32.dll 71A20000 Module C:\WINDOWS\system32\WS2_32.dll 71A10000 Module C:\WINDOWS\system32\WS2HELP.dll 7C80176B Breakpoint at kernel32.GetSystemTime 0142FF66 Access violation when writing to [00000000] 0142E2BA INT3 command at 0142E2BA 0142F004 Access violation when writing to [00000000] 0142F7F3 Breakpoint at 0142F7F3 0142F6F4 Breakpoint at 0142F6F4 0142F382 Access violation when writing to [00000000] 01424C5A Breakpoint at 01424C5A 013F011A Breakpoint at 013F011A AsprAPIloc: 0143267C 0142F4B8 Breakpoint at 0142F4B8 0142DC3E Hardware breakpoint 1 at 0142DC3E 0142F5D1 Breakpoint at 0142F5D1 0142F609 Breakpoint at 0142F609 0142F67A Breakpoint at 0142F67A Delphi 初始化表的地址 0089A950 0140FCEC Breakpoint at 0140FCEC 0140FCEC Breakpoint at 0140FCEC 0140FCEC Breakpoint at 0140FCEC 02660155 Breakpoint at 02660155 013F002E Breakpoint at 013F002E 013F0062 Breakpoint at 013F0062 013F00C5 Breakpoint at 013F00C5 <--这里开始跟你的不同 013F0156 Breakpoint at 013F0156 013F0034 Breakpoint at 013F0034 0142E2BA INT3 command at 0142E2BA 013FED08 Breakpoint at 013FED08 014258DF Breakpoint at 014258DF 0142E834 Hardware breakpoint 1 at 0142E834 025E0383 Breakpoint at 025E0383 013F07D9 Breakpoint at 013F07D9 013F003E Breakpoint at 013F003E 013F00F2 Breakpoint at 013F00F2 013F0030 Breakpoint at 013F0030 IAT 的地址 = 008A7208 IAT 的相对地址 = 004A7208 IAT 的大小 = 0000099C 013F0079 Breakpoint at 013F0079 OEP 的地址 = 0089B270 OEP 的相对地址 = 0049B270 2007-1-24 20:54 0
pingchuan 雪币： 109 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	pingchuan 116 楼牛啊，终于等到了。拜一下。 2007-1-25 09:42 0
277782011 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	277782011 117 楼太牛了~! 2007-1-25 12:01 0
tteesstt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tteesstt 118 楼最初由 VolX* 发布* To tteesstt 这是我在网吧其中一台试的 log Log data ........ 还是没有成功呀，最后只好用大大的Aspr2.xx_IAT_fixer_v2.2s脚本脱壳后，手动补区段的才行，修复后也能运行，但是用PEID深度扫描为ACProtect 1.41 -> AntiCrack Software *，这个是双层壳吗？顺便问一下大家，有什么工具处理大的本文文件操作快的，有个8M的VB程序，用C32ASM反汇编后导出后将近有300M，我用emeditor做搜索之类的操作太慢了 2007-1-25 16:25 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 119 楼 Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪 --- 这是未脱壳的 Xsjzb.exe 中的一段代码在原版 Ollydbg 026B00BA F2: PREFIX REPNE: 026B00BB EB 01 JMP SHORT 026B00BE 026B00BD E8 BD320844 CALL 4673337F 026B00C2 0026 ADD BYTE PTR DS:[ESI],AH 026B00C4 EB 02 JMP SHORT 026B00C8 026B00C6 CD 20 INT 20 026B00C8 5D POP EBP 026B00C9 037B 10 ADD EDI,DWORD PTR DS:[EBX+10] 026B00CC FFD7 CALL EDI 026B00CE EB 02 JMP SHORT 026B00D2 026B00D0 CD 20 INT 20 026B00D2 68 9A954700 PUSH 47959A 026B00D7 8DBC11 00794A00 LEA EDI,DWORD PTR DS:[ECX+EDX+4A7900] 026B00DE 5F POP EDI 026B00DF 8D3411 LEA ESI,DWORD PTR DS:[ECX+EDX] 026B00E2 5E POP ESI 026B00E3 2E:EB 01 JMP SHORT 026B00E7 在汉化版 Ollydbg 同一段代码 026800BA F2: prefix repne: 026800BB EB 01 jmp short 026800BE 026800BD E8 BD320844 call 4670337F 026800C2 0026 add byte ptr [esi], ah 026800C4 EB 02 jmp short 026800C8 026800C6 CD20 5D037B10 vxdcall 107B035D <--不同 026800CC FFD7 call edi 026800CE EB 02 jmp short 026800D2 026800D0 CD20 689A9547 vxdjump 47959A68 <--不同 026800D6 008D BC110079 add byte ptr [ebp+790011BC], cl <--不同 026800DC 4A dec edx <--不同 026800DD 005F 8D add byte ptr [edi-73], bl <--不同 026800E0 34 11 xor al, 11 <--不同 026800E2 5E pop esi 026800E3 2E:EB 01 jmp short 026800E7 针对以上的代码如果写这样一个脚本 var tmp1 var tmp2 var tmp3 opcode 026B00D0 //汉化版按以上的地址改成 opcode 026800D0 mov tmp1, $RESULT mov tmp2, $RESULT_1 mov tmp3, $RESULT_2 ret 运行脚本后原版 Ollydbg 和汉化版 Ollydbg 所得的 tmp1, tmp2, tmp3 会不同. 这样的差异足以让 Aspr2.XX_unpacker_1.0s 在汉化版 Ollydbg 出现错误!! 运行 Aspr2.XX_unpacker_1.0s 来到以下代码片段 (这是用来修复 delphi 初始化表的) 这是用原版 Ollydbg 1.10 01410070 53 PUSH EBX 01410071 8B1D 04014101 MOV EBX,DWORD PTR DS:[1410104] 01410077 893B MOV DWORD PTR DS:[EBX],EDI 01410079 8305 04014101 08 ADD DWORD PTR DS:[1410104],8 01410080 5B POP EBX 01410081 90 NOP 01410082 90 NOP 01410083 EB 02 JMP SHORT 01410087 --> OK 01410085 CD 20 INT 20 01410087 -E9 46002A01 JMP 026B00D2 这是用 Ollydbg 1.10 汉化版 013F0070 53 push ebx 013F0071 8B1D 04013F01 mov ebx, dword ptr [13F0104] 013F0077 893B mov dword ptr [ebx], edi 013F0079 8305 04013F01 0>add dword ptr [13F0104], 8 013F0080 5B pop ebx 013F0081 90 nop 013F0082 90 nop 013F0083 EB 02 jmp short 013F0087 --> error 013F0085 CD20 689A9547 vxdjump 47959A68 --> Opcode 指令差异 013F008B - E9 46002901 jmp 026800D6 请用汉化版 Ollydbg 的人再用英文版的 Ollydbg 试试. 2007-1-25 19:59 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 120 楼应该是汉化版配置文件问题，在反汇编设置中不显示VXD调用既可以了。但是最后一个比较，发现16进制值都不一样，不应该出现。 01410085 CD 20 INT 20 01410087 -E9 46002A01 JMP 026B00D2 013F0085 CD20 689A9547 vxdjump 47959A68 显然，CD20E946002A<>CD20689A9547 2007-1-25 22:28 0
tteesstt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tteesstt 121 楼最初由 VolX* 发布* Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪 --- 这是未脱壳的 Xsjzb.exe 中的一段代码 ........ 最初由 gkend* 发布* 应该是汉化版配置文件问题，在反汇编设置中不显示VXD调用既可以了。但是最后一个比较，发现16进制值都不一样，不应该出现。 01410085 CD 20 INT 20 01410087 -E9 46002A01 JMP 026B00D2 ........ 昨天忘记说了，我看过你的日志后发现是英文版而且只有5个插件，所以就照着这个状态搞了一次，只用那5个插件，然后用"OllyICE v1.10 修改版 [2006.11.30]"中英文版,和原版的中英文版,一共4个版本调试都是同样错误. 今天看到gkend说的要去掉VXD调用,试了一次,成功 PS:这个手动补区段和自动脱壳后PEID深度扫描为"ACProtect 1.41 -> AntiCrack Software ",但是核心扫描自动脱的显示"ACProtect 1.41 -> AntiCrack Software ",手动补的那个显示"Borland Delphi DLL",这个到底是不是双层壳呀 2007-1-26 08:27 0
likwun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	likwun 122 楼牛人！ASProtect_SKE_2.3Beta_Build0319 测试通过！只是脱壳之后用 Peid 检测 Normal Scan : Nothing found * Deep Scan : JEDMICS CCITT4 Graphics format * 不知是怎么回事呀？ 2007-1-26 11:36 0
lipton 雪币： 227 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 1 关注私信	lipton 2 123 楼虽然看不懂，还是能感受到运行脚本和完成时的快感，顶一下。另：前一段时间网络不畅，在此拜一个晚年。祝更上一层楼 2007-1-27 15:51 0
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 124 楼 stolen code都能修复 2007-1-28 19:16 0
Jemmy 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Jemmy 125 楼真牛，??自?厌上暂?信息 2007-1-29 00:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

老刘

雪币： 451

活跃值： (117)

能力值：

( LV3，RANK：20 )

在线值：

发帖

13

回帖

137

粉丝

1

关注

私信

老刘: 101 楼

呵呵
终于等到新的了
有时间试试

老大牛人

2007-1-22 09:48

0

tteesstt

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

9

粉丝

0

关注

私信

tteesstt: 102 楼

最初由 VolX 发布

别拿这个去脱有 VM 的 !!!!

怎么才知道有没有虚拟机，脱这个程序出错是不是因为这个原因

附件：http://www.live-share.com/files/142390/Xsjzb.exe.html

脚本停在这2026行
脚本运行窗口, 条目 2025
行号=2025
命令= esto
返回值= j
EIP=01400062
脚本运行窗口, 条目 2026
行号=2026
命令=lab36_2
脚本运行窗口, 条目 2027
行号=2027
命令= cmp eip, tmp1

程序出错提示：
OS: Windows XP Professional, SP2
CPU: GenuineIntel, Intel Pentium 4, MMX @ 2420 MHz

Module name: C:\Xsj_Soft\Xsjzb\Xsjzb.exe

Application data:
VmVyc2lvbjogV3N5cTBjRFd6dEtodCsvWHFMUDYyNmpCNTdiMVZpQXN
WanNnUFZJak1CMGJTaUE4SUROMllYeDVjalluSVRZcUx6bFlmMjk2UV
RBOVJtMTJjSEJQVHl3clNsWlhVeDRMQ2xKUlVRbFNSbGhJU2tFRVNFV
nhBZz09DQpJbWFnZUJhc2U6IDAwNDAwMDAwDQpFaXA6IDE0MDAwOEQN
CkVheDogMjcwMQ0KRWN4OiAyNjAwMDAwDQpFZHg6IDI3MDENCkVieDo
gMTJGRjQ0DQpFc2k6IDI2MTAwMDENCkVkaTogNDA3ODc4DQpFYnA6ID
EyRkY5OA0KRXNwOiAxMkZGMjgNCkVycm9yQ29kZTogDQowLDIyLDEsM
CwwLDAsMCwwLDAsMCwwLDAsMCwwLDAsMCwwLDAsMCxBMSw0LDEsNDAs
MSxDNywwLDU4LEE5LDg5LDAsQzcsNDAsRkMsMjMsMSwwLDAsQkUsMCw
yMCw2MywyLEJGLDUwLEE5LDg5LDAsQjksNDgsMiwwLDAuLi4NCkNvZG
UgPSBbMjE0XQ0KLSAxNjgNCi0gODgNCi0gMjI3DQotIDANCi0gMA0KL
SBbXQ0KPiBDOlxYc2pfU29mdFxYc2p6YlxYc2p6Yi5leGUNCg0KNi4z
LjIwMDYuNTMzDQpYc2p6Yg0KNi4zDQoNCj4gQzpcV0lORE9XU1xzeXN
0ZW0zMlxudGRsbC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxrZX
JuZWwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx1c2VyMzIuZ
GxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcR0RJMzIuZGxsDQo+IEM6
XFdJTkRPV1Ncc3lzdGVtMzJcYWR2YXBpMzIuZGxsDQo+IEM6XFdJTkR
PV1Ncc3lzdGVtMzJcUlBDUlQ0LmRsbA0KPiBDOlxXSU5ET1dTXHN5c3
RlbTMyXG9sZWF1dDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyX
G1zdmNydC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxvbGUzMi5k
bGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxtcHIuZGxsDQo+IEM6XFd
JTkRPV1Ncc3lzdGVtMzJcdmVyc2lvbi5kbGwNCj4gQzpcV0lORE9XU1
xzeXN0ZW0zMlxvbGVwcm8zMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0Z
W0zMlxjb21jdGwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxp
bW0zMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx3aW5zcG9vbC5
kcnYNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxzaGVsbDMyLmRsbA0KPi
BDOlxXSU5ET1dTXHN5c3RlbTMyXFNITFdBUEkuZGxsDQo+IEM6XFdJT
kRPV1Ncc3lzdGVtMzJcd2luaW5ldC5kbGwNCj4gQzpcV0lORE9XU1xz
eXN0ZW0zMlxDUllQVDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTM
yXE1TQVNOMS5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxjb21kbG
czMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxMUEsuRExMDQo+I
EM6XFdJTkRPV1Ncc3lzdGVtMzJcVVNQMTAuZGxsDQo+IEM6XFdJTkRP
V1NcV2luU3hTXHg4Nl9NaWNyb3NvZnQuV2luZG93cy5Db21tb24tQ29
udHJvbHNfNjU5NWI2NDE0NGNjZjFkZl82LjAuMjYwMC4yOTgyX3gtd3
dfYWMzZjljMDNcY29tY3RsMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzd
GVtMzJcd3NvY2szMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxX
UzJfMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcV1MySEVMUC5
kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxNU0NURi5kbGwNCj4gQz
pcV0lORE9XU1xzeXN0ZW0zMlxtc2N0ZmltZS5pbWU=

2007-1-22 11:20

0

xzchina

雪币： 615

活跃值： (1212)

能力值：

( LV4，RANK：50 )

在线值：

发帖

42

回帖

843

粉丝

0

关注

私信

xzchina 1: 103 楼

可以说这是脚本的最高境界!,试了一下,跟脱壳机没有什么区别

2007-1-22 14:02

0

blzs

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

10

粉丝

0

关注

私信

blzs: 104 楼

支持一下，谢谢分享。

2007-1-22 15:16

0

forgot

雪币： 6075

活跃值： (2236)

能力值： (RANK：1060 )

在线值：

发帖

155

回帖

3771

粉丝

16

关注

私信

forgot 26: 105 楼

mobai

2007-1-22 17:10

0

VolX

雪币： 229

活跃值： (50)

能力值：

( LV9，RANK：170 )

在线值：

发帖

4

回帖

107

粉丝

2

关注

私信

VolX 4: 106 楼

最初由 tteesstt 发布
怎么才知道有没有虚拟机，脱这个程序出错是不是因为这个原因

附件：http://www.live-share.com/files/142390/Xsjzb.exe.html

脚本停在这2026行
........

在我这里可以脱.

2007-1-22 21:04

0

baof

雪币： 200

活跃值： (11)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

27

粉丝

0

关注

私信

baof: 107 楼

感谢牛人！！！

2007-1-23 02:24

0

tteesstt

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

9

粉丝

0

关注

私信

tteesstt: 108 楼

最初由 VolX 发布
在我这里可以脱.

VolX请看我的日志，我在2003，xp，2000里都不行，已经把所有的忽略异常钩上了的

Log data
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           命令行: C:\Xsj_Soft\Xsjzb\Xsjzb.exe
           正在扫描导入库 '.\LIB\MFC42.Lib'
             已解析出 6384 个序号
           正在扫描导入库 '.\LIB\mfc71.Lib'
             已解析出 6442 个序号

           文件 'C:\Xsj_Soft\Xsjzb\Xsjzb.exe'
           Asm2Clipboard PlugIn v0.1
             Written by FaTmiKE 2oo4
             I used code snippets from ExtraCopy PlugIn v1.0 by Regon
             ...so thanks to Regon for his great job!
           Bookmarks sample plugin v1.06 (plugin demo)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.20.110
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn

           GODUP ver 1.2 by godfather+ - Delphi edition

           Hide Caption v1.00  by Gigapede
           HideOD, www.pediy.com
           OllyDump v3.00.110  by Gigapede
           OllyMachine v0.20
             Written by Luo Cong
             Compiled on Dec  7 2004 14:32:15
           Ultra String Reference v0.11
             Written by Luo Cong
             Compiled on Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
                        数据格式转换 plugin v1.1
           该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
                   Copyright (C) 2006 by zhanshen[DFCG][RCT]
           OllyScript v0.92
             Written by SHaG
           ODbgScript v1.51
             by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3
           ID 00000110 的新进程已创建
00401000   ID 0000010C 的主线程已创建
00400000   模块 C:\Xsj_Soft\Xsjzb\Xsjzb.exe
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
5EFE0000   模块 C:\WINDOWS\system32\olepro32.dll
71A90000   模块 C:\WINDOWS\system32\mpr.dll
72F70000   模块 C:\WINDOWS\system32\winspool.drv
76300000   模块 C:\WINDOWS\system32\imm32.dll
76320000   模块 C:\WINDOWS\system32\comdlg32.dll
765E0000   模块 C:\WINDOWS\system32\CRYPT32.dll
76680000   模块 C:\WINDOWS\system32\wininet.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
76DB0000   模块 C:\WINDOWS\system32\MSASN1.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000   模块 C:\WINDOWS\system32\version.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\user32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7D590000   模块 C:\WINDOWS\system32\shell32.dll
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
00401000   程序入口点
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
7C80176B   断点位于 kernel32.GetSystemTime
0143FF66   访问违规: 正在写入到 [00000000]
0143E2BA   INT3 命令位于0143E2BA
0143F004   访问违规: 正在写入到 [00000000]
0143F7F3   断点位于 0143F7F3
0143F6F4   断点位于 0143F6F4
0143F382   访问违规: 正在写入到 [00000000]
01434C5A   断点位于 01434C5A
0140011A   断点位于 0140011A
           AsprAPIloc: 0144267C
0143F4B8   断点位于 0143F4B8
0143DC3E   硬件断点 1 位于 0143DC3E
0143F5D1   断点位于 0143F5D1
0143F609   断点位于 0143F609
0143F67A   断点位于 0143F67A
           Delphi 初始化表的地址 0089A950
0141FCEC   断点位于 0141FCEC
0141FCEC   断点位于 0141FCEC
0141FCEC   断点位于 0141FCEC
02620155   断点位于 02620155
0140002E   断点位于 0140002E
01400062   断点位于 01400062
0140008D   访问违规: 正在写入到 [00002701]
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll

2007-1-23 10:04

0

everchong

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

17

回帖

50

粉丝

0

关注

私信

everchong: 109 楼

出了佩服。。。。没别的话可以表达了。。。
126K的脚本。。太厉害了～

2007-1-23 20:54

0

gxggxy103

雪币： 528

活跃值： (19)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

25

粉丝

0

关注

私信

gxggxy103: 110 楼

极品牛人。佩服。

2007-1-24 13:21

0

GDFSmaskli

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

11

粉丝

0

关注

私信

GDFSmaskli: 111 楼

Log data
地址    消息
         OllyDbg v1.10
         点阵字体 'MS Sans Serif' 已被替换为 '宋体'
         Asm2Clipboard PlugIn v0.1
         Written by FaTmiKE 2oo4
         I used code snippets from ExtraCopy PlugIn v1.0 by Regon
         ...so thanks to Regon for his great job!
         Bookmarks sample plugin v1.06 (plugin demo)
         Copyright (C) 2001, 2002 Oleh Yuschuk
         CleanupEx v1.12.108  by Gigapede
         CommandBar v3.20.110
         Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn

         GODUP ver 1.2 by godfather+ - Delphi edition

         Hide Caption v1.00  by Gigapede
         HideOD, www.pediy.com
         ODbgScript v1.51
         by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3
         OllyDump v3.00.110  by Gigapede
         OllyMachine v0.20
         Written by Luo Cong
         Compiled on Dec  7 2004 14:32:15
         OllyScript v0.92
         Written by SHaG
         Ultra String Reference v0.11
         Written by Luo Cong
         Compiled on Sep 20 2005 15:33:30
         WatchMan v1.00  by Gigapede
                     数据格式转换 plugin v1.1
         该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
               Copyright (C) 2006 by zhanshen[DFCG][RCT]
         正在扫描导入库 '.\LIB\MFC42.Lib'
         已解析出 6384 个序号
         正在扫描导入库 '.\LIB\mfc71.Lib'
         已解析出 6442 个序号

         文件 'C:\晨曦软件\清单计价2005\Qd2005.exe'
         ID 000008D0 的新进程已创建
00401000 ID 000008B0 的主线程已创建
00400000 模块 C:\晨曦软件\清单计价2005\Qd2005.exe
10000000 模块 C:\晨曦软件\清单计价2005\sense4.dll
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
5EFE0000 模块 C:\WINDOWS\system32\olepro32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
72F70000 模块 C:\WINDOWS\system32\winspool.drv
74C90000 模块 C:\WINDOWS\system32\oledlg.dll
76060000 模块 C:\WINDOWS\system32\SETUPAPI.dll
76300000 模块 C:\WINDOWS\system32\imm32.dll
76320000 模块 C:\WINDOWS\system32\comdlg32.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76B10000 模块 C:\WINDOWS\system32\winmm.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000 模块 C:\WINDOWS\system32\version.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\user32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\shell32.dll
5CC30000 模块 C:\WINDOWS\system32\ShimEng.dll
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
5CC30000 卸载 C:\WINDOWS\system32\ShimEng.dll
00401000 程序入口点
7C80176B 断点位于 kernel32.GetSystemTime
015EE5FE 访问违规: 正在写入到 [00000000]
015EC88E INT3 命令位于015EC88E
015ED6C6 访问违规: 正在写入到 [00000000]
015EDEA5 断点位于 015EDEA5
015EDDA0 断点位于 015EDDA0
015EDA11 访问违规: 正在写入到 [00000000]
015E39AA 断点位于 015E39AA
015B011A 断点位于 015B011A
         AsprAPIloc: 015F0634
015EDB5D 断点位于 015EDB5D
015EC1DA 硬件断点 1 位于 015EC1DA
015EC19B 硬件断点 2 位于 015EC19B
015EDC76 断点位于 015EDC76
         2 个标准函数
015EDCB2 断点位于 015EDCB2
015EDD19 断点位于 015EDD19
         Delphi 初始化表的地址 00949DCC
015CEBC0 断点位于 015CEBC0
015CEBC0 断点位于 015CEBC0
015CEBC0 断点位于 015CEBC0
02BF01B5 断点位于 02BF01B5
015B002E 断点位于 015B002E
015B0062 断点位于 015B0062
015B00C5 断点位于 015B00C5
015B01B4 断点位于 015B01B4
015B0156 断点位于 015B0156

2007-1-24 13:38

0

laomms

雪币： 560

活跃值： (359)

能力值：

( LV13，RANK：1370 )

在线值：

发帖

83

回帖

384

粉丝

8

关注

私信

laomms 34: 112 楼

给壳界注入一支兴奋剂，给Aspr公司敲响警钟――――~脚本大牛~

2007-1-24 13:55

0

honshon

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

14

粉丝

0

关注

私信

honshon: 113 楼

牛人,膜拜中....

2007-1-24 17:03

0

我最帅

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

6

粉丝

0

关注

私信

我最帅: 114 楼

牛！无话可说！

2007-1-24 17:28

0

VolX

雪币： 229

活跃值： (50)

能力值：

( LV9，RANK：170 )

在线值：

发帖

4

回帖

107

粉丝

2

关注

私信

VolX 4: 115 楼

To tteesstt

这是我在网吧其中一台试的 log

Log data
Address Message
         OllyDbg v1.10
         CommandBar v3.20.110
         Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
         HideOD, www.pediy.com
         OllyDump v3.00.110  by Gigapede
         CleanupEx v1.12.108  by Gigapede
         ODbgScript v1.51
         by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3

         File 'D:\Downloads\Xsjzb.exe'
         New process with ID 00000CA0 created
00401000 Main thread with ID 000009B4 created
00400000 Module D:\Downloads\Xsjzb.exe
5D170000 Module C:\WINDOWS\system32\comctl32.dll
5EFE0000 Module C:\WINDOWS\system32\olepro32.dll
71A90000 Module C:\WINDOWS\system32\mpr.dll
72F70000 Module C:\WINDOWS\system32\winspool.drv
76300000 Module C:\WINDOWS\system32\imm32.dll
76320000 Module C:\WINDOWS\system32\comdlg32.dll
765E0000 Module C:\WINDOWS\system32\CRYPT32.dll
76680000 Module C:\WINDOWS\system32\wininet.dll
76990000 Module C:\WINDOWS\system32\ole32.dll
76DB0000 Module C:\WINDOWS\system32\MSASN1.dll
770F0000 Module C:\WINDOWS\system32\oleaut32.dll
77BD0000 Module C:\WINDOWS\system32\version.dll
77BE0000 Module C:\WINDOWS\system32\msvcrt.dll
77D10000 Module C:\WINDOWS\system32\user32.dll
77DA0000 Module C:\WINDOWS\system32\advapi32.dll
77E50000 Module C:\WINDOWS\system32\RPCRT4.dll
77EF0000 Module C:\WINDOWS\system32\GDI32.dll
77F40000 Module C:\WINDOWS\system32\SHLWAPI.dll
7C800000 Module C:\WINDOWS\system32\kernel32.dll
7C920000 Module C:\WINDOWS\system32\ntdll.dll
7D590000 Module C:\WINDOWS\system32\shell32.dll
62C20000 Module C:\WINDOWS\system32\LPK.DLL
73FA0000 Module C:\WINDOWS\system32\USP10.dll
00401000 Program entry point
77180000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
71A40000 Module C:\WINDOWS\system32\wsock32.dll
71A20000 Module C:\WINDOWS\system32\WS2_32.dll
71A10000 Module C:\WINDOWS\system32\WS2HELP.dll
7C80176B Breakpoint at kernel32.GetSystemTime
0142FF66 Access violation when writing to [00000000]
0142E2BA INT3 command at 0142E2BA
0142F004 Access violation when writing to [00000000]
0142F7F3 Breakpoint at 0142F7F3
0142F6F4 Breakpoint at 0142F6F4
0142F382 Access violation when writing to [00000000]
01424C5A Breakpoint at 01424C5A
013F011A Breakpoint at 013F011A
         AsprAPIloc: 0143267C
0142F4B8 Breakpoint at 0142F4B8
0142DC3E Hardware breakpoint 1 at 0142DC3E
0142F5D1 Breakpoint at 0142F5D1
0142F609 Breakpoint at 0142F609
0142F67A Breakpoint at 0142F67A
         Delphi 初始化表的地址 0089A950
0140FCEC Breakpoint at 0140FCEC
0140FCEC Breakpoint at 0140FCEC
0140FCEC Breakpoint at 0140FCEC
02660155 Breakpoint at 02660155
013F002E Breakpoint at 013F002E
013F0062 Breakpoint at 013F0062
013F00C5 Breakpoint at 013F00C5 <--这里开始跟你的不同
013F0156 Breakpoint at 013F0156
013F0034 Breakpoint at 013F0034
0142E2BA INT3 command at 0142E2BA
013FED08 Breakpoint at 013FED08
014258DF Breakpoint at 014258DF
0142E834 Hardware breakpoint 1 at 0142E834
025E0383 Breakpoint at 025E0383
013F07D9 Breakpoint at 013F07D9
013F003E Breakpoint at 013F003E
013F00F2 Breakpoint at 013F00F2
013F0030 Breakpoint at 013F0030
         IAT 的地址 = 008A7208
         IAT 的相对地址 = 004A7208
         IAT 的大小 = 0000099C
013F0079 Breakpoint at 013F0079
         OEP 的地址 = 0089B270
         OEP 的相对地址 = 0049B270

2007-1-24 20:54

0

pingchuan

雪币： 109

活跃值： (151)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

15

粉丝

0

关注

私信

pingchuan: 116 楼

牛啊，终于等到了。拜一下。

2007-1-25 09:42

0

277782011

雪币： 202

活跃值： (25)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

28

粉丝

0

关注

私信

277782011: 117 楼

太牛了~!

2007-1-25 12:01

0

tteesstt

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

9

粉丝

0

关注

私信

tteesstt: 118 楼

最初由 VolX 发布
To tteesstt

这是我在网吧其中一台试的 log

Log data
........

还是没有成功呀，最后只好用大大的Aspr2.xx_IAT_fixer_v2.2s脚本脱壳后，手动补区段的才行，修复后也能运行，但是用PEID深度扫描为ACProtect 1.41 -> AntiCrack Software *，这个是双层壳吗？

顺便问一下大家，有什么工具处理大的本文文件操作快的，有个8M的VB程序，用C32ASM反汇编后导出后将近有300M，我用emeditor做搜索之类的操作太慢了

2007-1-25 16:25

0

VolX

雪币： 229

活跃值： (50)

能力值：

( LV9，RANK：170 )

在线值：

发帖

4

回帖

107

粉丝

2

关注

私信

VolX 4: 119 楼

Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪  ---

这是未脱壳的 Xsjzb.exe 中的一段代码

在原版 Ollydbg

026B00BA F2:             PREFIX REPNE:
026B00BB EB 01          JMP SHORT 026B00BE
026B00BD E8 BD320844    CALL 4673337F
026B00C2 0026          ADD BYTE PTR DS:[ESI],AH
026B00C4 EB 02          JMP SHORT 026B00C8
026B00C6 CD 20          INT 20
026B00C8 5D             POP EBP
026B00C9 037B 10       ADD EDI,DWORD PTR DS:[EBX+10]
026B00CC FFD7          CALL EDI
026B00CE EB 02          JMP SHORT 026B00D2
026B00D0 CD 20          INT 20
026B00D2 68 9A954700    PUSH 47959A
026B00D7 8DBC11 00794A00  LEA EDI,DWORD PTR DS:[ECX+EDX+4A7900]
026B00DE 5F             POP EDI
026B00DF 8D3411          LEA ESI,DWORD PTR DS:[ECX+EDX]
026B00E2 5E             POP ESI
026B00E3 2E:EB 01       JMP SHORT 026B00E7

在汉化版 Ollydbg 同一段代码

026800BA F2:          prefix repne:
026800BB EB 01          jmp    short 026800BE
026800BD E8 BD320844    call 4670337F
026800C2 0026          add    byte ptr [esi], ah
026800C4 EB 02          jmp    short 026800C8
026800C6 CD20 5D037B10 vxdcall 107B035D                   <--不同
026800CC FFD7          call edi
026800CE EB 02          jmp    short 026800D2
026800D0 CD20 689A9547 vxdjump 47959A68                   <--不同
026800D6 008D BC110079 add    byte ptr [ebp+790011BC], cl <--不同
026800DC 4A             dec    edx                         <--不同
026800DD 005F 8D       add    byte ptr [edi-73], bl       <--不同
026800E0 34 11          xor    al, 11                      <--不同
026800E2 5E             pop    esi
026800E3 2E:EB 01       jmp    short 026800E7

针对以上的代码如果写这样一个脚本

var tmp1
var tmp2
var tmp3

opcode 026B00D0          //汉化版按以上的地址改成 opcode 026800D0
mov tmp1, $RESULT
mov tmp2, $RESULT_1
mov tmp3, $RESULT_2

ret

运行脚本后原版 Ollydbg 和汉化版 Ollydbg 所得的 tmp1, tmp2, tmp3 会不同.
这样的差异足以让 Aspr2.XX_unpacker_1.0s 在汉化版 Ollydbg 出现错误!!

运行 Aspr2.XX_unpacker_1.0s 来到以下代码片段 (这是用来修复 delphi 初始化表的)

这是用原版 Ollydbg 1.10

01410070 53             PUSH EBX
01410071 8B1D 04014101 MOV EBX,DWORD PTR DS:[1410104]
01410077 893B          MOV DWORD PTR DS:[EBX],EDI
01410079 8305 04014101 08 ADD DWORD PTR DS:[1410104],8
01410080 5B             POP EBX
01410081 90             NOP
01410082 90             NOP
01410083 EB 02          JMP SHORT 01410087    --> OK
01410085 CD 20          INT 20
01410087  -E9 46002A01    JMP 026B00D2

这是用 Ollydbg 1.10 汉化版

013F0070 53             push ebx
013F0071 8B1D 04013F01 mov    ebx, dword ptr [13F0104]
013F0077 893B          mov    dword ptr [ebx], edi
013F0079 8305 04013F01 0>add    dword ptr [13F0104], 8
013F0080 5B             pop    ebx
013F0081 90             nop
013F0082 90             nop
013F0083 EB 02          jmp    short 013F0087 --> error
013F0085 CD20 689A9547 vxdjump 47959A68       --> Opcode 指令差异
013F008B  - E9 46002901    jmp    026800D6

请用汉化版 Ollydbg 的人再用英文版的 Ollydbg 试试.

2007-1-25 19:59

0

gkend

雪币： 203

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

325

粉丝

0

关注

私信

gkend: 120 楼

应该是汉化版配置文件问题，在反汇编设置中不显示VXD调用既可以了。
但是最后一个比较，发现16进制值都不一样，不应该出现。
01410085 CD 20 INT 20
01410087 -E9 46002A01 JMP 026B00D2

013F0085 CD20 689A9547 vxdjump 47959A68
显然，CD20E946002A<>CD20689A9547

2007-1-25 22:28

0

tteesstt

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

9

粉丝

0

关注

私信

tteesstt: 121 楼

最初由 VolX 发布
Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪 ---

这是未脱壳的 Xsjzb.exe 中的一段代码

........

最初由 gkend 发布
应该是汉化版配置文件问题，在反汇编设置中不显示VXD调用既可以了。
但是最后一个比较，发现16进制值都不一样，不应该出现。
01410085 CD 20 INT 20
01410087 -E9 46002A01 JMP 026B00D2

........

昨天忘记说了，我看过你的日志后发现是英文版而且只有5个插件，所以就照着这个状态搞了一次，只用那5个插件，然后用"OllyICE v1.10 修改版 [2006.11.30]"中英文版,和原版的中英文版,一共4个版本调试都是同样错误.

今天看到gkend说的要去掉VXD调用,试了一次,成功

PS:这个手动补区段和自动脱壳后PEID深度扫描为"ACProtect 1.41 -> AntiCrack Software *",但是核心扫描自动脱的显示"ACProtect 1.41 -> AntiCrack Software *",手动补的那个显示"Borland Delphi DLL",这个到底是不是双层壳呀

2007-1-26 08:27

0