首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] ASProtect 1.23 RC4 - 1.3.08.24脱壳(已解决) 0.00雪花
发表于: 2007-2-11 11:37 5203

[旧帖] ASProtect 1.23 RC4 - 1.3.08.24脱壳(已解决) 0.00雪花

yzldll 活跃值
2007-2-11 11:37
5203
各位高手,有问题请教:
一屏保文件 Space Plasma 3D Screensaver.scr,改扩展名为exe后,peid 查壳为ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov,参考其他脱壳文章,用ollydbg到达oep:
0044DDD3 >/$  55            push    ebp
0044DDD4  |.  8BEC          mov     ebp, esp
0044DDD6  |.  6A FF         push    -1
0044DDD8  |.  68 90404800   push    00484090
......(已经补上stolen code)

用ollydbg脱壳(因为lordPE脱壳后,ollydbg不能识别为pe文件),ImportREC_fix_hh修复时,提示剩余7个无效。

用ollydbg载入修复后的文件,运行发现有太多的call 都是无效的,必须跟踪原加壳文件,逐一修复。
问题是,需要修复的call太多,估计100以上。

请问,哪位给指导指导,有没有更好的修复方法?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
yzldll
雪    币: 220
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
见下表无效的call :

找到的模块间的调用
地址       反汇编                                    目标文件
0040138A   call    dword ptr [480158]                ds:[00480158]=00D30820
004016A6   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
004016DF   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
0040172F   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
004017B6   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00401922   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00403182   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
004053DC   call    dword ptr [48018C]                ds:[0048018C]=00D308A4
004053E3   call    dword ptr [480188]                ds:[00480188]=00D30898
00405413   call    dword ptr [48018C]                ds:[0048018C]=00D308A4
0040541A   call    dword ptr [480188]                ds:[00480188]=00D30898
004054D2   call    ebx
004054DB   call    edi
0040553C   call    dword ptr [48018C]                ds:[0048018C]=00D308A4
00405543   call    dword ptr [480188]                ds:[00480188]=00D30898
00405573   call    dword ptr [48018C]                ds:[0048018C]=00D308A4
0040557A   call    dword ptr [480188]                ds:[00480188]=00D30898
004057CF   call    dword ptr [480190]                ds:[00480190]=00D308B4
004057D5   call    dword ptr [480194]                ds:[00480194]=00D308C8
004058BD   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00405912   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00405A76   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00405AE6   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00406852   call    dword ptr [480158]                ds:[00480158]=00D30820
0040A18F   call    dword ptr [480184]                ds:[00480184]=00D3088C
0040BBA0   call    dword ptr [48E0C8]                ds:[0048E0C8]=00CB1C08
0040BBA6   call    dword ptr [48E0C0]                ds:[0048E0C0]=00CB1BA4
0040EE1E   call    edi
00410761   call    dword ptr [480180]                ds:[00480180]=00D30880
004107AE   call    dword ptr [480178]                ds:[00480178]=00CB1C64
004107CA   call    edi
004109C8   call    edi
00410BB4   call    esi
00410FFF   call    edi
00411274   call    esi
00411324   call    esi
004114D6   call    esi
0041181A   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00411AA0   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00411B49   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00411C8F   call    dword ptr [480158]                ds:[00480158]=00D30820
00411D18   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00411FCC   call    dword ptr [480158]                ds:[00480158]=00D30820
00412023   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00412101   call    dword ptr [480158]                ds:[00480158]=00D30820
0041224C   call    dword ptr [480158]                ds:[00480158]=00D30820
004122A3   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00412381   call    dword ptr [480158]                ds:[00480158]=00D30820
004124BB   call    dword ptr [480248]                ds:[00480248]=00CB1D14
00412583   call    dword ptr [480158]                ds:[00480158]=00D30820
0041265D   call    dword ptr [480168]                ds:[00480168]=00D30844
00412C39   call    dword ptr [480158]                ds:[00480158]=00D30820
00412C8D   call    dword ptr [480158]                ds:[00480158]=00D30820
00412E48   call    dword ptr [480158]                ds:[00480158]=00D30820
00412E90   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00412F4B   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
004130A8   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00413190   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
0041321D   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00413290   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
004137AC   call    dword ptr [480158]                ds:[00480158]=00D30820
00413A01   call    dword ptr [480248]                ds:[00480248]=00CB1D14
00413ABD   call    dword ptr [480158]                ds:[00480158]=00D30820
00414126   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00414157   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
004143FF   call    dword ptr [480158]                ds:[00480158]=00D30820
00414567   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00414637   call    dword ptr [480158]                ds:[00480158]=00D30820
004146F3   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00414724   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00414B4A   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00414C95   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00414CC5   call    dword ptr [480158]                ds:[00480158]=00D30820
00414E95   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00415084   call    dword ptr [480158]                ds:[00480158]=00D30820
00415426   call    dword ptr [480158]                ds:[00480158]=00D30820
004155BB   call    dword ptr [48015C]                ds:[0048015C]=00D3082C
004158CD   call    dword ptr [480158]                ds:[00480158]=00D30820
004159D8   call    dword ptr [48017C]                ds:[0048017C]=00CB17A4
004159F3   call    dword ptr [480154]                ds:[00480154]=00D30814
00415A16   call    dword ptr [480180]                ds:[00480180]=00D30880
00415AA0   call    dword ptr [48017C]                ds:[0048017C]=00CB17A4
00415AC4   call    dword ptr [480154]                ds:[00480154]=00D30814
00415B1C   call    dword ptr [4800DC]                ds:[004800DC]=00D306D0
00415B25   call    dword ptr [48014C]                ds:[0048014C]=00D30804
004167B0   call    ebp
004167D1   call    dword ptr [480180]                ds:[00480180]=00D30880
004167DC   call    dword ptr [48004C]                ds:[0048004C]=00D30350
0041685F   call    dword ptr [480168]                ds:[00480168]=00D30844
0041698B   call    edi
00416A35   call    esi
00416B1A   call    dword ptr [480168]                ds:[00480168]=00D30844
00416B7C   call    dword ptr [480064]                ds:[00480064]=00CB1CB8
00416B83   call    dword ptr [480060]                ds:[00480060]=00D30558
00417D74   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00417E79   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
00418221   call    dword ptr [4801A4]                ds:[004801A4]=00D308EC
0041A7D5   call    dword ptr [48006C]                ds:[0048006C]=00D30570
0041A806   call    dword ptr [480068]                ds:[00480068]=00D30564
0041A83D   call    dword ptr [480068]                ds:[00480068]=00D30564
0041A890   call    dword ptr [480068]                ds:[00480068]=00D30564
0041E37E   call    dword ptr [48007C]                ds:[0048007C]=00D305A4
0041E390   call    dword ptr [480078]                ds:[00480078]=00D30590
0041E3A5   call    dword ptr [480074]                ds:[00480074]=00D3057C
0041E3B4   call    dword ptr [480070]                ds:[00480070]=00CB1CC8
00421E7B   call    00420842
00421EA3   call    00420842
00421EF8   call    004208C6
00421F48   call    00420842
00421F70   call    00420842
00421FC5   call    004208C6
00423486   call    dword ptr [480180]                ds:[00480180]=00D30880
004234FC   call    dword ptr [4801B4]                ds:[004801B4]=00D3092C
00423631   call    ebx
00423650   call    ebp
0044BB5D   call    0047C6E0
0044BDF3   call    0047C6E0
0044BEFC   call    dword ptr [480148]                ds:[00480148]=00D307F8
0044D1C4   call    dword ptr [480064]                ds:[00480064]=00CB1CB8
0044D1CB   call    dword ptr [480160]                ds:[00480160]=00D30838
0044D354   call    dword ptr [480140]                ds:[00480140]=00D307E4
0044D887   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0044D9AF   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0044DA7F   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0044DCC3   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0044DDD3   push    ebp                               (初始 CPU 选择)
0044DEA7   call    dword ptr [480178]                ds:[00480178]=00CB1C64
0044EE25   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0044EE33   call    dword ptr [48011C]                ds:[0048011C]=00D3078C
0044EE57   call    dword ptr [480128]                ds:[00480128]=00D307B8
0044EE68   call    dword ptr [480168]                ds:[00480168]=00D30844
0044EE7F   call    dword ptr [480120]                ds:[00480120]=00D30798
0044EF8C   call    dword ptr [480118]                ds:[00480118]=00D30780
0044EF9E   call    dword ptr [480118]                ds:[00480118]=00D30780
0044EFFA   call    dword ptr [480178]                ds:[00480178]=00CB1C64
0044F00A   call    dword ptr [48017C]                ds:[0048017C]=00CB17A4
0044F84A   call    dword ptr [480148]                ds:[00480148]=00D307F8
004502FB   call    dword ptr [480114]                ds:[00480114]=00D3076C
0045044D   call    dword ptr [480114]                ds:[00480114]=00D3076C
004504AD   call    dword ptr [480114]                ds:[00480114]=00D3076C
004505A4   call    dword ptr [480110]                ds:[00480110]=00D30760
00450998   call    dword ptr [4801B8]                ds:[004801B8]=00D30938
004509E5   call    dword ptr [48014C]                ds:[0048014C]=00D30804
004509FD   call    dword ptr [4801B8]                ds:[004801B8]=00D30938
00450A12   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0045118E   call    dword ptr [48014C]                ds:[0048014C]=00D30804
00451454   call    dword ptr [480108]                ds:[00480108]=00D30754
0045145E   call    dword ptr [48014C]                ds:[0048014C]=00D30804
00452374   call    dword ptr [4800F0]                ds:[004800F0]=00D3070C
00452390   call    dword ptr [4800F4]                ds:[004800F4]=00D30718
004523D9   call    dword ptr [4800F4]                ds:[004800F4]=00D30718
00452411   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
00452469   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
0045247F   call    dword ptr [4800F0]                ds:[004800F0]=00D3070C
004524B2   call    dword ptr [4800F0]                ds:[004800F0]=00D3070C
0045251A   call    dword ptr [4800F0]                ds:[004800F0]=00D3070C
0045253F   call    dword ptr [48019C]                ds:[0048019C]=00D308E0
004532AE   call    dword ptr [480178]                ds:[00480178]=00CB1C64
00453325   call    dword ptr [4800E8]                ds:[004800E8]=00D306F4
00453385   call    dword ptr [4800EC]                ds:[004800EC]=00D30700
00453469   call    dword ptr [480058]                ds:[00480058]=00D30538
00453741   call    esi
004537AE   call    dword ptr [480140]                ds:[00480140]=00D307E4
00453B43   call    dword ptr [480114]                ds:[00480114]=00D3076C
00453B91   call    dword ptr [4800E0]                ds:[004800E0]=00D306DC
00453BA8   call    dword ptr [480140]                ds:[00480140]=00D307E4
00453C1D   call    dword ptr [4800E0]                ds:[004800E0]=00D306DC
00454002   call    ebp
004540DD   call    dword ptr [4800E4]                ds:[004800E4]=00D306E8
004540F4   call    dword ptr [480140]                ds:[00480140]=00D307E4
00454110   call    dword ptr [4800E4]                ds:[004800E4]=00D306E8
00454146   call    dword ptr [480140]                ds:[00480140]=00D307E4
00454195   call    dword ptr [4800E4]                ds:[004800E4]=00D306E8
004543F0   call    dword ptr [4800E0]                ds:[004800E0]=00D306DC
00454D22   call    dword ptr [4800D8]                ds:[004800D8]=00D306C4
00454DA1   call    dword ptr [4800D8]                ds:[004800D8]=00D306C4
00455126   call    dword ptr [4800CC]                ds:[004800CC]=00D306A0
00455144   call    dword ptr [48014C]                ds:[0048014C]=00D30804
004552A2   call    dword ptr [4800C8]                ds:[004800C8]=00D3068C
0045541A   call    dword ptr [4800EC]                ds:[004800EC]=00D30700
00455673   call    dword ptr [4800BC]                ds:[004800BC]=00D30668
00455725   call    dword ptr [4800BC]                ds:[004800BC]=00D30668
00455763   call    dword ptr [4800C4]                ds:[004800C4]=00D30680
0045581C   call    dword ptr [4800EC]                ds:[004800EC]=00D30700
004558F9   call    dword ptr [4801B8]                ds:[004801B8]=00D30938
00455BD4   call    dword ptr [4800B4]                ds:[004800B4]=00D30654
00455BF0   call    dword ptr [4801B0]                ds:[004801B0]=00D30918
00455C08   call    dword ptr [4800B0]                ds:[004800B0]=00D30648
00455DBB   call    dword ptr [480158]                ds:[00480158]=00D30820
00455DD0   call    edi
0045656A   call    dword ptr [48005C]                ds:[0048005C]=00D30544
00456681   call    dword ptr [48014C]                ds:[0048014C]=00D30804
004566C9   call    dword ptr [480158]                ds:[00480158]=00D30820
004566E0   call    edi
0045675F   call    dword ptr [48019C]                ds:[0048019C]=00D308E0
004568A4   call    dword ptr [4800A8]                ds:[004800A8]=00D30630
004568BE   call    dword ptr [4800AC]                ds:[004800AC]=00D3063C
004568F2   call    dword ptr [4800AC]                ds:[004800AC]=00D3063C
0045692A   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
00456980   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
00456992   call    dword ptr [4800A8]                ds:[004800A8]=00D30630
004569E7   call    dword ptr [48015C]                ds:[0048015C]=00D3082C
00457030   call    dword ptr [480158]                ds:[00480158]=00D30820
00457047   call    edi
004570FA   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
0045713A   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
00458248   call    esi
00459BCE   call    dword ptr [4800A0]                ds:[004800A0]=00D30618
00459BE4   call    dword ptr [4800A4]                ds:[004800A4]=00D30624
00459D25   call    dword ptr [480098]                ds:[00480098]=00D30600
00459F89   call    dword ptr [480098]                ds:[00480098]=00D30600
0045A07D   call    dword ptr [480098]                ds:[00480098]=00D30600
0045A123   call    dword ptr [480094]                ds:[00480094]=00D305F4
0045A235   call    dword ptr [480180]                ds:[00480180]=00D30880
0045A292   call    dword ptr [48009C]                ds:[0048009C]=00D3060C
0045A3B7   call    dword ptr [480158]                ds:[00480158]=00D30820
0045A3CC   call    edi
0045AAD2   call    dword ptr [480158]                ds:[00480158]=00D30820
0045AAE9   call    ebx
0045B391   call    dword ptr [48014C]                ds:[0048014C]=00D30804
0045B4D2   call    dword ptr [4800A8]                ds:[004800A8]=00D30630
0045B4EC   call    dword ptr [4800AC]                ds:[004800AC]=00D3063C
0045B513   call    dword ptr [4800A8]                ds:[004800A8]=00D30630
0045B546   call    dword ptr [48019C]                ds:[0048019C]=00D308E0
0045B5AF   call    dword ptr [48019C]                ds:[0048019C]=00D308E0
0045B61A   call    dword ptr [4800AC]                ds:[004800AC]=00D3063C
0045B86D   call    dword ptr [480090]                ds:[00480090]=00D305E8
0045B903   call    esi
0045BADC   call    dword ptr [48008C]                ds:[0048008C]=00D305DC
0045BAEF   call    dword ptr [48009C]                ds:[0048009C]=00D3060C
0045BB16   call    dword ptr [48008C]                ds:[0048008C]=00D305DC
0045BB3B   call    dword ptr [48009C]                ds:[0048009C]=00D3060C
0045BB7C   call    dword ptr [48009C]                ds:[0048009C]=00D3060C
0045BB9D   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
0045BBEF   call    dword ptr [48008C]                ds:[0048008C]=00D305DC
0045BC02   call    dword ptr [48009C]                ds:[0048009C]=00D3060C
0045BC29   call    dword ptr [48009C]                ds:[0048009C]=00D3060C
0045BC52   call    dword ptr [48008C]                ds:[0048008C]=00D305DC
0045BC95   call    dword ptr [48008C]                ds:[0048008C]=00D305DC
0045BCBB   call    dword ptr [48019C]                ds:[0048019C]=00D308E0
0045BE3F   call    dword ptr [480084]                ds:[00480084]=00D305C4
0045BE5C   call    dword ptr [480088]                ds:[00480088]=00D305D0
0045BEBA   call    dword ptr [480088]                ds:[00480088]=00D305D0
0045BF8A   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
0045BFEB   call    esi
0045C04A   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
0045C062   call    dword ptr [480084]                ds:[00480084]=00D305C4
0045C1F1   call    dword ptr [480080]                ds:[00480080]=00D305B8
0045C772   call    dword ptr [4801BC]                ds:[004801BC]=00D3094C
0045C7AB   call    dword ptr [48015C]                ds:[0048015C]=00D3082C
0045C7CF   call    dword ptr [4801BC]                ds:[004801BC]=00D3094C
0045C7DF   call    dword ptr [48005C]                ds:[0048005C]=00D30544
0045FA83   call    dword ptr [480158]                ds:[00480158]=00D30820
0045FA9A   call    edi
0045FB29   call    dword ptr [48019C]                ds:[0048019C]=00D308E0
0045FB53   call    dword ptr [480158]                ds:[00480158]=00D30820
0045FB6A   call    edi
00468A03   call    dword ptr [480158]                ds:[00480158]=00D30820
00468A18   call    edi
00468B45   call    dword ptr [480158]                ds:[00480158]=00D30820
00468B5B   call    ebx
00468C12   call    dword ptr [480158]                ds:[00480158]=00D30820
00468C27   call    edi
00468D99   call    dword ptr [480158]                ds:[00480158]=00D30820
00468DB0   call    edi
00468DEF   call    dword ptr [480158]                ds:[00480158]=00D30820
00468E06   call    edi
00468EC6   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
00468F22   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
00468F49   call    dword ptr [4800F8]                ds:[004800F8]=00D30724
2007-2-11 11:40
0
yzldll
雪    币: 220
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
用AsprDbgr搞定输入表

现在我们接着来修复IAT,用AsprDbgr搞定输入表比较简单。启动AsprDbgr,加载未脱壳的程序,一路按确定键,直到目标程序启动。

启动RecImport,输入OEP:,搜索IAT,找到的IAT全部有效,修复Dump文件。IAT修复完毕。(注意,不修改原OEP)

再次运行,有一处异常,用ollydbg修改,保存。

脱壳成功。

感谢AsprDbgr v1.0beta (:P) Made by me... Manko。
2007-2-12 16:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//