首页
社区
课程
招聘
[原创]Aspr2.XX_unpacker_v1.0
发表于: 2007-1-17 21:14 333215

[原创]Aspr2.XX_unpacker_v1.0

2007-1-17 21:14
333215
收藏
免费 7
支持
分享
最新回复 (378)
雪    币: 451
活跃值: (117)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
101
呵呵
终于等到新的了
有时间试试

老大牛人
2007-1-22 09:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
102
最初由 VolX 发布

别拿这个去脱有 VM 的 !!!!



怎么才知道有没有虚拟机,脱这个程序出错是不是因为这个原因

附件:http://www.live-share.com/files/142390/Xsjzb.exe.html

脚本停在这2026行
脚本运行窗口, 条目 2025
行号=2025
命令= esto
返回值= j
EIP=01400062
脚本运行窗口, 条目 2026
行号=2026
命令=lab36_2
脚本运行窗口, 条目 2027
行号=2027
命令= cmp eip, tmp1

程序出错提示:
OS: Windows XP Professional, SP2
CPU: GenuineIntel, Intel Pentium 4, MMX @ 2420 MHz

Module name: C:\Xsj_Soft\Xsjzb\Xsjzb.exe

Application data:
VmVyc2lvbjogV3N5cTBjRFd6dEtodCsvWHFMUDYyNmpCNTdiMVZpQXN
WanNnUFZJak1CMGJTaUE4SUROMllYeDVjalluSVRZcUx6bFlmMjk2UV
RBOVJtMTJjSEJQVHl3clNsWlhVeDRMQ2xKUlVRbFNSbGhJU2tFRVNFV
nhBZz09DQpJbWFnZUJhc2U6IDAwNDAwMDAwDQpFaXA6IDE0MDAwOEQN
CkVheDogMjcwMQ0KRWN4OiAyNjAwMDAwDQpFZHg6IDI3MDENCkVieDo
gMTJGRjQ0DQpFc2k6IDI2MTAwMDENCkVkaTogNDA3ODc4DQpFYnA6ID
EyRkY5OA0KRXNwOiAxMkZGMjgNCkVycm9yQ29kZTogDQowLDIyLDEsM
CwwLDAsMCwwLDAsMCwwLDAsMCwwLDAsMCwwLDAsMCxBMSw0LDEsNDAs
MSxDNywwLDU4LEE5LDg5LDAsQzcsNDAsRkMsMjMsMSwwLDAsQkUsMCw
yMCw2MywyLEJGLDUwLEE5LDg5LDAsQjksNDgsMiwwLDAuLi4NCkNvZG
UgPSBbMjE0XQ0KLSAxNjgNCi0gODgNCi0gMjI3DQotIDANCi0gMA0KL
SBbXQ0KPiBDOlxYc2pfU29mdFxYc2p6YlxYc2p6Yi5leGUNCg0KNi4z
LjIwMDYuNTMzDQpYc2p6Yg0KNi4zDQoNCj4gQzpcV0lORE9XU1xzeXN
0ZW0zMlxudGRsbC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxrZX
JuZWwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx1c2VyMzIuZ
GxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcR0RJMzIuZGxsDQo+IEM6
XFdJTkRPV1Ncc3lzdGVtMzJcYWR2YXBpMzIuZGxsDQo+IEM6XFdJTkR
PV1Ncc3lzdGVtMzJcUlBDUlQ0LmRsbA0KPiBDOlxXSU5ET1dTXHN5c3
RlbTMyXG9sZWF1dDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyX
G1zdmNydC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxvbGUzMi5k
bGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxtcHIuZGxsDQo+IEM6XFd
JTkRPV1Ncc3lzdGVtMzJcdmVyc2lvbi5kbGwNCj4gQzpcV0lORE9XU1
xzeXN0ZW0zMlxvbGVwcm8zMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0Z
W0zMlxjb21jdGwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxp
bW0zMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx3aW5zcG9vbC5
kcnYNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxzaGVsbDMyLmRsbA0KPi
BDOlxXSU5ET1dTXHN5c3RlbTMyXFNITFdBUEkuZGxsDQo+IEM6XFdJT
kRPV1Ncc3lzdGVtMzJcd2luaW5ldC5kbGwNCj4gQzpcV0lORE9XU1xz
eXN0ZW0zMlxDUllQVDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTM
yXE1TQVNOMS5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxjb21kbG
czMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxMUEsuRExMDQo+I
EM6XFdJTkRPV1Ncc3lzdGVtMzJcVVNQMTAuZGxsDQo+IEM6XFdJTkRP
V1NcV2luU3hTXHg4Nl9NaWNyb3NvZnQuV2luZG93cy5Db21tb24tQ29
udHJvbHNfNjU5NWI2NDE0NGNjZjFkZl82LjAuMjYwMC4yOTgyX3gtd3
dfYWMzZjljMDNcY29tY3RsMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzd
GVtMzJcd3NvY2szMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxX
UzJfMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcV1MySEVMUC5
kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxNU0NURi5kbGwNCj4gQz
pcV0lORE9XU1xzeXN0ZW0zMlxtc2N0ZmltZS5pbWU=
2007-1-22 11:20
0
雪    币: 615
活跃值: (1267)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
103
可以说这是脚本的最高境界!,试了一下,跟脱壳机没有什么区别
2007-1-22 14:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
104
支持一下,谢谢分享。
2007-1-22 15:16
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
105
mobai
2007-1-22 17:10
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
106
最初由 tteesstt 发布
怎么才知道有没有虚拟机,脱这个程序出错是不是因为这个原因

附件:http://www.live-share.com/files/142390/Xsjzb.exe.html

脚本停在这2026行
........


在我这里可以脱.
2007-1-22 21:04
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
107
感谢牛人!!!
2007-1-23 02:24
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
108
最初由 VolX 发布
在我这里可以脱.


VolX请看我的日志,我在2003,xp,2000里都不行,已经把所有的忽略异常钩上了的

Log data
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           命令行: C:\Xsj_Soft\Xsjzb\Xsjzb.exe
           正在扫描导入库 '.\LIB\MFC42.Lib'
             已解析出 6384 个序号
           正在扫描导入库 '.\LIB\mfc71.Lib'
             已解析出 6442 个序号

           文件 'C:\Xsj_Soft\Xsjzb\Xsjzb.exe'
           Asm2Clipboard PlugIn v0.1
             Written by FaTmiKE 2oo4
             I used code snippets from ExtraCopy PlugIn v1.0 by Regon
             ...so thanks to Regon for his great job!
           Bookmarks sample plugin v1.06 (plugin demo)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.20.110
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn

           GODUP ver 1.2 by godfather+ - Delphi edition

           Hide Caption v1.00  by Gigapede
           HideOD, www.pediy.com
           OllyDump v3.00.110  by Gigapede
           OllyMachine v0.20
             Written by Luo Cong
             Compiled on Dec  7 2004 14:32:15
           Ultra String Reference v0.11
             Written by Luo Cong
             Compiled on Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
                        数据格式转换 plugin v1.1
           该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
                   Copyright (C) 2006 by zhanshen[DFCG][RCT]
           OllyScript v0.92
             Written by SHaG
           ODbgScript v1.51
             by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3
           ID 00000110 的新进程已创建
00401000   ID 0000010C 的主线程已创建
00400000   模块 C:\Xsj_Soft\Xsjzb\Xsjzb.exe
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
5EFE0000   模块 C:\WINDOWS\system32\olepro32.dll
71A90000   模块 C:\WINDOWS\system32\mpr.dll
72F70000   模块 C:\WINDOWS\system32\winspool.drv
76300000   模块 C:\WINDOWS\system32\imm32.dll
76320000   模块 C:\WINDOWS\system32\comdlg32.dll
765E0000   模块 C:\WINDOWS\system32\CRYPT32.dll
76680000   模块 C:\WINDOWS\system32\wininet.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
76DB0000   模块 C:\WINDOWS\system32\MSASN1.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000   模块 C:\WINDOWS\system32\version.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\user32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7D590000   模块 C:\WINDOWS\system32\shell32.dll
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
00401000   程序入口点
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
7C80176B   断点位于 kernel32.GetSystemTime
0143FF66   访问违规: 正在写入到 [00000000]
0143E2BA   INT3 命令位于0143E2BA
0143F004   访问违规: 正在写入到 [00000000]
0143F7F3   断点位于 0143F7F3
0143F6F4   断点位于 0143F6F4
0143F382   访问违规: 正在写入到 [00000000]
01434C5A   断点位于 01434C5A
0140011A   断点位于 0140011A
           AsprAPIloc: 0144267C
0143F4B8   断点位于 0143F4B8
0143DC3E   硬件断点 1 位于 0143DC3E
0143F5D1   断点位于 0143F5D1
0143F609   断点位于 0143F609
0143F67A   断点位于 0143F67A
           Delphi 初始化表的地址 0089A950
0141FCEC   断点位于 0141FCEC
0141FCEC   断点位于 0141FCEC
0141FCEC   断点位于 0141FCEC
02620155   断点位于 02620155
0140002E   断点位于 0140002E
01400062   断点位于 01400062
0140008D   访问违规: 正在写入到 [00002701]
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
2007-1-23 10:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
109
出了佩服。。。。没别的话可以表达了。。。
126K的脚本。。太厉害了~
2007-1-23 20:54
0
雪    币: 528
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
110
极品牛人。佩服。
2007-1-24 13:21
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
111
Log data
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           Asm2Clipboard PlugIn v0.1
             Written by FaTmiKE 2oo4
             I used code snippets from ExtraCopy PlugIn v1.0 by Regon
             ...so thanks to Regon for his great job!
           Bookmarks sample plugin v1.06 (plugin demo)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.20.110
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn

           GODUP ver 1.2 by godfather+ - Delphi edition

           Hide Caption v1.00  by Gigapede
           HideOD, www.pediy.com
           ODbgScript v1.51
             by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3
           OllyDump v3.00.110  by Gigapede
           OllyMachine v0.20
             Written by Luo Cong
             Compiled on Dec  7 2004 14:32:15
           OllyScript v0.92
             Written by SHaG
           Ultra String Reference v0.11
             Written by Luo Cong
             Compiled on Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
                        数据格式转换 plugin v1.1
           该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
                   Copyright (C) 2006 by zhanshen[DFCG][RCT]
           正在扫描导入库 '.\LIB\MFC42.Lib'
             已解析出 6384 个序号
           正在扫描导入库 '.\LIB\mfc71.Lib'
             已解析出 6442 个序号

           文件 'C:\晨曦软件\清单计价2005\Qd2005.exe'
           ID 000008D0 的新进程已创建
00401000   ID 000008B0 的主线程已创建
00400000   模块 C:\晨曦软件\清单计价2005\Qd2005.exe
10000000   模块 C:\晨曦软件\清单计价2005\sense4.dll
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
5EFE0000   模块 C:\WINDOWS\system32\olepro32.dll
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
72F70000   模块 C:\WINDOWS\system32\winspool.drv
74C90000   模块 C:\WINDOWS\system32\oledlg.dll
76060000   模块 C:\WINDOWS\system32\SETUPAPI.dll
76300000   模块 C:\WINDOWS\system32\imm32.dll
76320000   模块 C:\WINDOWS\system32\comdlg32.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
76B10000   模块 C:\WINDOWS\system32\winmm.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000   模块 C:\WINDOWS\system32\version.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\user32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7D590000   模块 C:\WINDOWS\system32\shell32.dll
5CC30000   模块 C:\WINDOWS\system32\ShimEng.dll
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
5CC30000   卸载 C:\WINDOWS\system32\ShimEng.dll
00401000   程序入口点
7C80176B   断点位于 kernel32.GetSystemTime
015EE5FE   访问违规: 正在写入到 [00000000]
015EC88E   INT3 命令位于015EC88E
015ED6C6   访问违规: 正在写入到 [00000000]
015EDEA5   断点位于 015EDEA5
015EDDA0   断点位于 015EDDA0
015EDA11   访问违规: 正在写入到 [00000000]
015E39AA   断点位于 015E39AA
015B011A   断点位于 015B011A
           AsprAPIloc: 015F0634
015EDB5D   断点位于 015EDB5D
015EC1DA   硬件断点 1 位于 015EC1DA
015EC19B   硬件断点 2 位于 015EC19B
015EDC76   断点位于 015EDC76
           2 个标准函数
015EDCB2   断点位于 015EDCB2
015EDD19   断点位于 015EDD19
           Delphi 初始化表的地址 00949DCC
015CEBC0   断点位于 015CEBC0
015CEBC0   断点位于 015CEBC0
015CEBC0   断点位于 015CEBC0
02BF01B5   断点位于 02BF01B5
015B002E   断点位于 015B002E
015B0062   断点位于 015B0062
015B00C5   断点位于 015B00C5
015B01B4   断点位于 015B01B4
015B0156   断点位于 015B0156
2007-1-24 13:38
0
雪    币: 560
活跃值: (359)
能力值: ( LV13,RANK:1370 )
在线值:
发帖
回帖
粉丝
112
给壳界注入一支兴奋剂,给Aspr公司敲响警钟――――~脚本大牛~
2007-1-24 13:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
113
牛人,膜拜中....
2007-1-24 17:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
114
牛!无话可说!
2007-1-24 17:28
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
115
To tteesstt

这是我在网吧其中一台试的 log

Log data
Address    Message
           OllyDbg v1.10
           CommandBar v3.20.110
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
           HideOD, www.pediy.com
           OllyDump v3.00.110  by Gigapede
           CleanupEx v1.12.108  by Gigapede
           ODbgScript v1.51
             by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3

           File 'D:\Downloads\Xsjzb.exe'
           New process with ID 00000CA0 created
00401000   Main thread with ID 000009B4 created
00400000   Module D:\Downloads\Xsjzb.exe
5D170000   Module C:\WINDOWS\system32\comctl32.dll
5EFE0000   Module C:\WINDOWS\system32\olepro32.dll
71A90000   Module C:\WINDOWS\system32\mpr.dll
72F70000   Module C:\WINDOWS\system32\winspool.drv
76300000   Module C:\WINDOWS\system32\imm32.dll
76320000   Module C:\WINDOWS\system32\comdlg32.dll
765E0000   Module C:\WINDOWS\system32\CRYPT32.dll
76680000   Module C:\WINDOWS\system32\wininet.dll
76990000   Module C:\WINDOWS\system32\ole32.dll
76DB0000   Module C:\WINDOWS\system32\MSASN1.dll
770F0000   Module C:\WINDOWS\system32\oleaut32.dll
77BD0000   Module C:\WINDOWS\system32\version.dll
77BE0000   Module C:\WINDOWS\system32\msvcrt.dll
77D10000   Module C:\WINDOWS\system32\user32.dll
77DA0000   Module C:\WINDOWS\system32\advapi32.dll
77E50000   Module C:\WINDOWS\system32\RPCRT4.dll
77EF0000   Module C:\WINDOWS\system32\GDI32.dll
77F40000   Module C:\WINDOWS\system32\SHLWAPI.dll
7C800000   Module C:\WINDOWS\system32\kernel32.dll
7C920000   Module C:\WINDOWS\system32\ntdll.dll
7D590000   Module C:\WINDOWS\system32\shell32.dll
62C20000   Module C:\WINDOWS\system32\LPK.DLL
73FA0000   Module C:\WINDOWS\system32\USP10.dll
00401000   Program entry point
77180000   Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
71A40000   Module C:\WINDOWS\system32\wsock32.dll
71A20000   Module C:\WINDOWS\system32\WS2_32.dll
71A10000   Module C:\WINDOWS\system32\WS2HELP.dll
7C80176B   Breakpoint at kernel32.GetSystemTime
0142FF66   Access violation when writing to [00000000]
0142E2BA   INT3 command at 0142E2BA
0142F004   Access violation when writing to [00000000]
0142F7F3   Breakpoint at 0142F7F3
0142F6F4   Breakpoint at 0142F6F4
0142F382   Access violation when writing to [00000000]
01424C5A   Breakpoint at 01424C5A
013F011A   Breakpoint at 013F011A
           AsprAPIloc: 0143267C
0142F4B8   Breakpoint at 0142F4B8
0142DC3E   Hardware breakpoint 1 at 0142DC3E
0142F5D1   Breakpoint at 0142F5D1
0142F609   Breakpoint at 0142F609
0142F67A   Breakpoint at 0142F67A
           Delphi 初始化表的地址 0089A950
0140FCEC   Breakpoint at 0140FCEC
0140FCEC   Breakpoint at 0140FCEC
0140FCEC   Breakpoint at 0140FCEC
02660155   Breakpoint at 02660155
013F002E   Breakpoint at 013F002E
013F0062   Breakpoint at 013F0062
013F00C5   Breakpoint at 013F00C5   <--这里开始跟你的不同
013F0156   Breakpoint at 013F0156
013F0034   Breakpoint at 013F0034
0142E2BA   INT3 command at 0142E2BA
013FED08   Breakpoint at 013FED08
014258DF   Breakpoint at 014258DF
0142E834   Hardware breakpoint 1 at 0142E834
025E0383   Breakpoint at 025E0383
013F07D9   Breakpoint at 013F07D9
013F003E   Breakpoint at 013F003E
013F00F2   Breakpoint at 013F00F2
013F0030   Breakpoint at 013F0030
           IAT 的地址 = 008A7208
           IAT 的相对地址 = 004A7208
           IAT 的大小 = 0000099C
013F0079   Breakpoint at 013F0079
           OEP 的地址 = 0089B270
           OEP 的相对地址 = 0049B270
2007-1-24 20:54
0
雪    币: 109
活跃值: (166)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
116
牛啊,终于等到了。拜一下。
2007-1-25 09:42
0
雪    币: 202
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
117
太牛了~!
2007-1-25 12:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
118
最初由 VolX 发布
To tteesstt

这是我在网吧其中一台试的 log

Log data
........


还是没有成功呀,最后只好用大大的Aspr2.xx_IAT_fixer_v2.2s脚本脱壳后,手动补区段的才行,修复后也能运行,但是用PEID深度扫描为ACProtect 1.41 -> AntiCrack Software *,这个是双层壳吗?

顺便问一下大家,有什么工具处理大的本文文件操作快的,有个8M的VB程序,用C32ASM反汇编后导出后将近有300M,我用emeditor做搜索之类的操作太慢了
2007-1-25 16:25
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
119
Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪  ---  

这是未脱壳的 Xsjzb.exe 中的一段代码

在原版 Ollydbg

026B00BA   F2:              PREFIX REPNE:                           
026B00BB   EB 01            JMP SHORT 026B00BE
026B00BD   E8 BD320844      CALL 4673337F
026B00C2   0026             ADD BYTE PTR DS:[ESI],AH
026B00C4   EB 02            JMP SHORT 026B00C8
026B00C6   CD 20            INT 20
026B00C8   5D               POP EBP
026B00C9   037B 10          ADD EDI,DWORD PTR DS:[EBX+10]
026B00CC   FFD7             CALL EDI
026B00CE   EB 02            JMP SHORT 026B00D2
026B00D0   CD 20            INT 20
026B00D2   68 9A954700      PUSH 47959A
026B00D7   8DBC11 00794A00  LEA EDI,DWORD PTR DS:[ECX+EDX+4A7900]
026B00DE   5F               POP EDI
026B00DF   8D3411           LEA ESI,DWORD PTR DS:[ECX+EDX]
026B00E2   5E               POP ESI
026B00E3   2E:EB 01         JMP SHORT 026B00E7   

在汉化版 Ollydbg 同一段代码

026800BA    F2:             prefix repne:
026800BB    EB 01           jmp     short 026800BE
026800BD    E8 BD320844     call    4670337F
026800C2    0026            add     byte ptr [esi], ah
026800C4    EB 02           jmp     short 026800C8
026800C6    CD20 5D037B10   vxdcall 107B035D                      <--不同
026800CC    FFD7            call    edi
026800CE    EB 02           jmp     short 026800D2
026800D0    CD20 689A9547   vxdjump 47959A68                      <--不同
026800D6    008D BC110079   add     byte ptr [ebp+790011BC], cl   <--不同
026800DC    4A              dec     edx                           <--不同
026800DD    005F 8D         add     byte ptr [edi-73], bl         <--不同
026800E0    34 11           xor     al, 11                        <--不同
026800E2    5E              pop     esi
026800E3    2E:EB 01        jmp     short 026800E7

针对以上的代码如果写这样一个脚本

var tmp1
var tmp2
var tmp3

opcode 026B00D0            //汉化版按以上的地址改成 opcode 026800D0
mov tmp1, $RESULT
mov tmp2, $RESULT_1
mov tmp3, $RESULT_2

ret

运行脚本后原版 Ollydbg 和 汉化版 Ollydbg 所得的 tmp1, tmp2, tmp3 会不同.
这样的差异足以让 Aspr2.XX_unpacker_1.0s 在汉化版 Ollydbg 出现错误!!

运行 Aspr2.XX_unpacker_1.0s 来到以下代码片段 (这是用来修复 delphi 初始化表的)

这是用原版 Ollydbg 1.10

01410070   53               PUSH EBX
01410071   8B1D 04014101    MOV EBX,DWORD PTR DS:[1410104]
01410077   893B             MOV DWORD PTR DS:[EBX],EDI
01410079   8305 04014101 08 ADD DWORD PTR DS:[1410104],8
01410080   5B               POP EBX
01410081   90               NOP
01410082   90               NOP
01410083   EB 02            JMP SHORT 01410087      --> OK
01410085   CD 20            INT 20
01410087  -E9 46002A01      JMP 026B00D2

这是用 Ollydbg 1.10 汉化版

013F0070    53              push    ebx
013F0071    8B1D 04013F01   mov     ebx, dword ptr [13F0104]
013F0077    893B            mov     dword ptr [ebx], edi
013F0079    8305 04013F01 0>add     dword ptr [13F0104], 8
013F0080    5B              pop     ebx
013F0081    90              nop
013F0082    90              nop
013F0083    EB 02           jmp     short 013F0087   --> error
013F0085    CD20 689A9547   vxdjump 47959A68         --> Opcode 指令差异
013F008B  - E9 46002901     jmp     026800D6

请用汉化版 Ollydbg 的人再用英文版的 Ollydbg 试试.
2007-1-25 19:59
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
120
应该是汉化版配置文件问题,在反汇编设置中不显示VXD调用既可以了。
但是最后一个比较,发现16进制值都不一样,不应该出现。
01410085   CD 20            INT 20
01410087  -E9 46002A01      JMP 026B00D2

013F0085    CD20 689A9547   vxdjump 47959A68
显然,CD20E946002A<>CD20689A9547
2007-1-25 22:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
121
最初由 VolX 发布
Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪 ---


这是未脱壳的 Xsjzb.exe 中的一段代码

........


最初由 gkend 发布
应该是汉化版配置文件问题,在反汇编设置中不显示VXD调用既可以了。
但是最后一个比较,发现16进制值都不一样,不应该出现。
01410085 CD 20 INT 20
01410087 -E9 46002A01 JMP 026B00D2

........


昨天忘记说了,我看过你的日志后发现是英文版而且只有5个插件,所以就照着这个状态搞了一次,只用那5个插件,然后用"OllyICE v1.10 修改版 [2006.11.30]"中英文版,和原版的中英文版,一共4个版本调试都是同样错误.

今天看到gkend说的要去掉VXD调用,试了一次,成功

PS:这个手动补区段和自动脱壳后PEID深度扫描为"ACProtect 1.41 -> AntiCrack Software *",但是核心扫描自动脱的显示"ACProtect 1.41 -> AntiCrack Software *",手动补的那个显示"Borland Delphi DLL",这个到底是不是双层壳呀
2007-1-26 08:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
122
牛人!ASProtect_SKE_2.3Beta_Build0319 测试通过!

只是脱壳之后用 Peid 检测

Normal Scan : Nothing found *
Deep Scan : JEDMICS CCITT4 Graphics format *

不知是怎么回事呀?
2007-1-26 11:36
0
雪    币: 227
活跃值: (160)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
123
虽然看不懂,还是能感受到运行脚本和完成时的快感,顶一下。

另:前一段时间网络不畅,在此拜一个晚年。祝更上一层楼
2007-1-27 15:51
0
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
124
stolen code都能修复
2007-1-28 19:16
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
125
真牛,??自?厌上暂?信息
2007-1-29 00:38
0
游客
登录 | 注册 方可回帖
返回
//