-
-
[分享]ASPr 2.0.06.23 Alpha另一种法子脱壳(Import Recovery&补区段&Script)
-
发表于: 2007-4-13 09:29
-
【文章标题】: ASPr 2.0.06.23 Alpha另一种法子脱壳(Import Recovery&补区段&Script)
【文章作者】: wynney
【下载地址】: 附件下载
【操作平台】: XP SP2 64位双核
【作者声明】: ASPr 2.0Alpha两个分支的处理
--------------------------------------------------------------------------------
【详细过程】
一、前言
前几天似乎在论坛上看到一个程序就是2.0Alpha的,volx大侠的脚本不支持,遂连同1.31一并看了下,发现1.31和2.0Alpha
基本上差不多,稍有不同。
二、“探听军情”
忽略除了内存访问异常和指定异常之外的所有异常
到达最后一次异常后在Code段下断,Shift+F9,中断在Code段后
易发现输入表是Call类型的,而且有Stolen OEP,这就是我们要探听的军情了
三、输入表处理
请忽略所有异常
bp VirtualAlloc,Shift+F9,中断两次,取消断点
Alt+F9一次
接着
Ctrl+F9一次
00AA8000 90 nop ; 返回到这
00AA8001 60 pushad ; 看到这,突想到某大侠说过ASProtect=ASPcak+dll
00AA8002 E8 40060000 call 00AA8647 ; F8到这,hr esp
00AA8007 EB 44 jmp short 00AA804D
00AA8009 0000 add byte ptr [eax], al
00AA800B 0000 add byte ptr [eax], al
00AA85C2 /75 08 jnz short 00AA85CC ; Shift+F9 中断在这,删除断点
00AA85C4 |B8 01000000 mov eax, 1
00AA85C9 |C2 0C00 retn 0C
00AA85CC \68 788FA900 push 0A98F78
00AA85D1 C3 retn
00A8CC8A /75 1A jnz short 00A8CCA6 ; IAT处理完就跳
00A8CC8C |EB 01 jmp short 00A8CC8F
00A8CC8E |698B C7E8CE58 F>imul ecx, dword ptr [ebx+58CEE>
00A8CC98 |E9 1B040000 jmp 00A8D0B8
00A8CC9D -|E9 E9150400 jmp 00ACE28B
00A8CCA2 |00EB add bl, ch
00A8CCA4 |01E8 add eax, ebp
00A8CCA6 \337424 28 xor esi, dword ptr [esp+28]
00A8CCAA 0373 40 add esi, dword ptr [ebx+40]
00A8CCAD 8B43 08 mov eax, dword ptr [ebx+8]
00A8CCB0 8A00 mov al, byte ptr [eax] ; 找到这,F2,Shift+F9 中断下来,删除断点
00A8CCB2 FF43 08 inc dword ptr [ebx+8]
00A8CCB5 33D2 xor edx, edx
00A8CCB7 8AD0 mov dl, al
00A8CCB9 8BC7 mov eax, edi
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
