Acprotect高手帮忙看一下-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Acprotect高手帮忙看一下

发表于: 2004-8-27 23:33 6884

Acprotect高手帮忙看一下

moon

2004-8-27 23:33

6884

会脱Acprotect的高手帮忙看一下，下面一段代码是壳代码吗？

软件名称：同益起名大师
下载页面：http://www2.skycn.com/soft/109.html
我想先脱掉它的壳，但acp的壳没经验，教程里的看了一下，并不适合，因为这个软件在最后一次异常后用内存断点法并不奏效，所以在这里请教一下高人。

用OllyScript插件“passSEH.txt”通过46H个int 3异常后，在005762D9设硬件执行断点，运行就直达005762D9。这以后的一段代码不象是在解码，在访问注册表，进行什么运算，请问这是壳代码吗？Stolen Code在这之前还是之后？

00576477  mov edx,Goodname.0057695C       ; ASCII "Appid"
0057647C  mov eax,dword ptr ss:[ebp-14]
0057647F  call Goodname.0043D870
00576484  mov dword ptr ss:[ebp-8],eax
00576487  lea ecx,dword ptr ss:[ebp-C]
0057648A  mov edx,Goodname.0057696C       ; ASCII "Serial"
0057648F  mov eax,dword ptr ss:[ebp-14]
00576492  call Goodname.0043D7E4
00576497  lea ecx,dword ptr ss:[ebp-10]
0057649A  mov edx,Goodname.0057697C       ; ASCII "FName"
0057649F  mov eax,dword ptr ss:[ebp-14]
005764A2  call Goodname.0043D7E4
005764A7  lea edx,dword ptr ss:[ebp-18]
005764AA  mov eax,dword ptr ss:[ebp-10]
005764AD  call Goodname.00409070
005764B2  mov edx,dword ptr ss:[ebp-18]
005764B5  lea eax,dword ptr ss:[ebp-10]
005764B8  call Goodname.004047A8
005764BD  xor ecx,ecx
005764BF  mov edx,Goodname.0057698C       ; ASCII "License"
005764C4  mov eax,dword ptr ss:[ebp-14]
005764C7  call Goodname.0043D43C
005764CC  test al,al
005764CE  jnz short Goodname.005764E2
005764D0  xor eax,eax
005764D2  pop edx
005764D3  pop ecx
005764D4  pop ecx
005764D5  mov dword ptr fs:[eax],edx
005764D8  call Goodname.00404194
005764DD  jmp Goodname.005768A8
005764E2  mov edx,Goodname.0057699C       ; ASCII "RegSeq"
005764E7  mov eax,dword ptr ss:[ebp-14]
005764EA  call Goodname.0043D870
005764EF  mov word ptr ds:[583F4E],ax
005764F5  cmp word ptr ds:[583F4E],2
005764FD  jnz short Goodname.00576508
005764FF  mov byte ptr ds:[583F49],0
00576506  jmp short Goodname.0057650F
00576508  mov byte ptr ds:[583F49],1
0057650F  mov edx,Goodname.005769AC       ; ASCII "RegMod"
00576514  mov eax,dword ptr ss:[ebp-14]
00576517  call Goodname.0043D870
0057651C  mov word ptr ds:[583F4E],ax
00576522  lea edx,dword ptr ss:[ebp-1C]
00576525  mov eax,dword ptr ss:[ebp-10]
00576528  call Goodname.00409070
0057652D  mov eax,dword ptr ss:[ebp-1C]
00576530  call Goodname.004049D0
00576535  dec eax
00576536  jle short Goodname.00576577
00576538  lea ecx,dword ptr ss:[ebp-28]
0057653B  mov edx,Goodname.005769BC       ; ASCII "Value"
00576540  mov eax,dword ptr ss:[ebp-14]
00576543  call Goodname.0043D7E4
00576548  mov eax,dword ptr ss:[ebp-28]
0057654B  lea edx,dword ptr ss:[ebp-24]
0057654E  call Goodname.00409070
00576553  mov eax,dword ptr ss:[ebp-24]
00576556  lea ecx,dword ptr ss:[ebp-20]
00576559  mov edx,Goodname.005769CC       ; ASCII "CFE37613C6ACB1"
0057655E  call Goodname.004F53A4

等等，省略，未全列出。

[课程]Android-CTF解题方法汇总！

收藏・5

免费・1

支持

最新回复 (19)
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 2 楼我也为这个壳苦恼了很久，请教了很多人都没结果：（不过它的算法我已经跟踪出来了，为了作者的利益，等他下个版本出来时再发出来：） 2004-9-25 09:14 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼最初由 moon 发布会脱Acprotect的高手帮忙看一下，下面一段代码是壳代码吗？软件名称：同益起名大师下载页面：http://www2.skycn.com/soft/109.html 我想先脱掉它的壳，但acp的壳没经验，教程里的看了一下，并不适合，因为这个软件在最后一次异常后用内存断点法并不奏效，所以在这里请教一下高人。 ........ 同益起名大师这家伙经常换壳，估计DDOS的就是他。经常来看雪收集壳 2004-9-25 09:46 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 4 楼最初由鸡蛋壳发布同益起名大师这家伙经常换壳，估计DDOS的就是他。经常来看雪收集壳是经常换壳，够狡猾的。要是真做出DDOS这种事情来，呵呵，怎么对付它，还用我说吗？ 2004-9-25 10:46 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 5 楼 stolen code: push ebp mov ebp,esp push esi push edi push edi push esi push ebx push esi mov eax,57CEF0 call 00406D0C mov esi,dword ptr ds:[582000] push 0057D41C push -1 push eax 伪OEP：0057D3A9 附件:tree.txt 2004-9-25 14:47 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 6 楼 to kimmal: 你大牛人也，谢谢！ 2004-9-25 15:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼脱壳后能否正常跨平台运行？ SDK修复麻烦 2004-9-25 20:06 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 8 楼 to kimmal: 晕，壳代码最后一个异常好象是第68个“整数被0除”异常，但在第22个“整数被0除”异常后执行Stolen Code的第一句，对吗？往下怎么跟呀，真配服你是怎么跟出来的。 2004-9-25 22:39 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 9 楼没注意是第几个异常，是在一个除零异常之后每5次除零异常之后便会吃字节了~! 006A0591 57 PUSH EDI 006A0592 892C24 MOV DWORD PTR SS:[ESP],EBP //第一句 PUSH EBP 006A0595 8F05 459C6800 POP DWORD PTR DS:[689C45] 006A059B FF35 459C6800 PUSH DWORD PTR DS:[689C45] 006A05A1 8F05 419E6800 POP DWORD PTR DS:[689E41] 006A05A7 FF35 419E6800 PUSH DWORD PTR DS:[689E41] 006A05AD 8925 499C6800 MOV DWORD PTR DS:[689C49],ESP 006A05B3 57 PUSH EDI 006A05B4 BF 3D9C6800 MOV EDI,GoodName.00689C3D 006A05B9 8937 MOV DWORD PTR DS:[EDI],ESI 006A05BB 5F POP EDI 006A05BC FF35 3D9C6800 PUSH DWORD PTR DS:[689C3D] 006A05C2 890424 MOV DWORD PTR SS:[ESP],EAX 006A05C5 57 PUSH EDI 006A05C6 C70424 499C6800 MOV DWORD PTR SS:[ESP],GoodName.00689C49 006A05CD 8F05 719D6800 POP DWORD PTR DS:[689D71] ; GoodName.00689C49 006A05D3 FF35 719D6800 PUSH DWORD PTR DS:[689D71] ; GoodName.00689C49 006A05D9 8F05 199D6800 POP DWORD PTR DS:[689D19] ; GoodName.00689C49 006A05DF 90 NOP 006A05E0 90 NOP 2004-9-25 23:11 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 10 楼最初由 fly 发布脱壳后能否正常跨平台运行？ SDK修复麻烦嬉嬉，还不会修复跨平台的问题哦~! 现在正找些Windows加载PE的资料~! 2004-9-25 23:18 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 11 楼谢谢kimmal的指点：） 2004-9-26 09:10 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 12 楼 to kimmal: 你真行呀，这么变态的代码都能分析出来。可你是怎么跟踪出来的呢？我要向你学习学习。 006A0EB8 F7F3 div ebx <====异常 006A0EBA 90 nop 006A0EBB 64:8F05 0>pop dword ptr fs:[0] 006A0EC2 83C4 04 add esp,4 006A0EC5 61 popad <====是不是根据这个关键字？ 2004-9-26 09:47 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼最初由 kimmal 发布 stolen code: push ebp mov ebp,esp push esi push edi push edi push esi push ebx push esi mov eax,57CEF0 call 00406D0C mov esi,dword ptr ds:[582000] push 0057D41C push -1 push eax 明显的，某些代码是不妥的 2004-9-26 12:48 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 14 楼最初由 fly 发布明显的，某些代码是不妥的学脱壳时间不长，请多多指教记得以前在脱那个US 有Unpackme时我跟了1个多星期~! 现在跟ACP已经轻松很多了：） 2004-9-26 17:34 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 15 楼最初由 fly 发布明显的，某些代码是不妥的 to fly 大侠：今天我根据关键字popad找到了那些Stolen Code，经过动静结合的跟踪分析，发现kimmal的这些代码和伪OEP值都是对的，虽然看着有点儿不好看，比如两个重复的push edi等，但并没有错。树文件我还没有验证。 to kimmal：谢谢你，没有你的这些码参考，我还真跟不下来。 2004-9-26 22:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 push ebp mov ebp,esp add esp,-10 push ebx push esi mov eax,57CEF0 call 00406D0C mov esi,dword ptr ds:[582000] push 0057D41C push -1 push 0 2004-9-29 13:18 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 17 楼 Thank you very much ! fly大侠都说这个SDK厉害，看来我是没有出路啦，有没有兄弟给指导一下呀，惨啊。 2004-9-30 12:57 0
danson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	danson 18 楼 MOON你不但人靓，还?好人！我真是感谢到以身相许了！ 2005-1-10 17:05 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 19 楼 :D 来个全文跨平台就好了 2005-1-10 17:11 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 20 楼最初由 loveboom 发布 :D 来个全文跨平台就好了 loveboom大侠，我没明白，是什么意思？ 2005-1-11 18:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

moon

发帖

271

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 2 楼我也为这个壳苦恼了很久，请教了很多人都没结果：（不过它的算法我已经跟踪出来了，为了作者的利益，等他下个版本出来时再发出来：） 2004-9-25 09:14 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼最初由 moon 发布会脱Acprotect的高手帮忙看一下，下面一段代码是壳代码吗？软件名称：同益起名大师下载页面：http://www2.skycn.com/soft/109.html 我想先脱掉它的壳，但acp的壳没经验，教程里的看了一下，并不适合，因为这个软件在最后一次异常后用内存断点法并不奏效，所以在这里请教一下高人。 ........ 同益起名大师这家伙经常换壳，估计DDOS的就是他。经常来看雪收集壳 2004-9-25 09:46 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 4 楼最初由鸡蛋壳发布同益起名大师这家伙经常换壳，估计DDOS的就是他。经常来看雪收集壳是经常换壳，够狡猾的。要是真做出DDOS这种事情来，呵呵，怎么对付它，还用我说吗？ 2004-9-25 10:46 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 5 楼 stolen code: push ebp mov ebp,esp push esi push edi push edi push esi push ebx push esi mov eax,57CEF0 call 00406D0C mov esi,dword ptr ds:[582000] push 0057D41C push -1 push eax 伪OEP：0057D3A9 附件:tree.txt 2004-9-25 14:47 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 6 楼 to kimmal: 你大牛人也，谢谢！ 2004-9-25 15:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼脱壳后能否正常跨平台运行？ SDK修复麻烦 2004-9-25 20:06 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 8 楼 to kimmal: 晕，壳代码最后一个异常好象是第68个“整数被0除”异常，但在第22个“整数被0除”异常后执行Stolen Code的第一句，对吗？往下怎么跟呀，真配服你是怎么跟出来的。 2004-9-25 22:39 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 9 楼没注意是第几个异常，是在一个除零异常之后每5次除零异常之后便会吃字节了~! 006A0591 57 PUSH EDI 006A0592 892C24 MOV DWORD PTR SS:[ESP],EBP //第一句 PUSH EBP 006A0595 8F05 459C6800 POP DWORD PTR DS:[689C45] 006A059B FF35 459C6800 PUSH DWORD PTR DS:[689C45] 006A05A1 8F05 419E6800 POP DWORD PTR DS:[689E41] 006A05A7 FF35 419E6800 PUSH DWORD PTR DS:[689E41] 006A05AD 8925 499C6800 MOV DWORD PTR DS:[689C49],ESP 006A05B3 57 PUSH EDI 006A05B4 BF 3D9C6800 MOV EDI,GoodName.00689C3D 006A05B9 8937 MOV DWORD PTR DS:[EDI],ESI 006A05BB 5F POP EDI 006A05BC FF35 3D9C6800 PUSH DWORD PTR DS:[689C3D] 006A05C2 890424 MOV DWORD PTR SS:[ESP],EAX 006A05C5 57 PUSH EDI 006A05C6 C70424 499C6800 MOV DWORD PTR SS:[ESP],GoodName.00689C49 006A05CD 8F05 719D6800 POP DWORD PTR DS:[689D71] ; GoodName.00689C49 006A05D3 FF35 719D6800 PUSH DWORD PTR DS:[689D71] ; GoodName.00689C49 006A05D9 8F05 199D6800 POP DWORD PTR DS:[689D19] ; GoodName.00689C49 006A05DF 90 NOP 006A05E0 90 NOP 2004-9-25 23:11 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 10 楼最初由 fly 发布脱壳后能否正常跨平台运行？ SDK修复麻烦嬉嬉，还不会修复跨平台的问题哦~! 现在正找些Windows加载PE的资料~! 2004-9-25 23:18 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 11 楼谢谢kimmal的指点：） 2004-9-26 09:10 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 12 楼 to kimmal: 你真行呀，这么变态的代码都能分析出来。可你是怎么跟踪出来的呢？我要向你学习学习。 006A0EB8 F7F3 div ebx <====异常 006A0EBA 90 nop 006A0EBB 64:8F05 0>pop dword ptr fs:[0] 006A0EC2 83C4 04 add esp,4 006A0EC5 61 popad <====是不是根据这个关键字？ 2004-9-26 09:47 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼最初由 kimmal 发布 stolen code: push ebp mov ebp,esp push esi push edi push edi push esi push ebx push esi mov eax,57CEF0 call 00406D0C mov esi,dword ptr ds:[582000] push 0057D41C push -1 push eax 明显的，某些代码是不妥的 2004-9-26 12:48 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 14 楼最初由 fly 发布明显的，某些代码是不妥的学脱壳时间不长，请多多指教记得以前在脱那个US 有Unpackme时我跟了1个多星期~! 现在跟ACP已经轻松很多了：） 2004-9-26 17:34 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 15 楼最初由 fly 发布明显的，某些代码是不妥的 to fly 大侠：今天我根据关键字popad找到了那些Stolen Code，经过动静结合的跟踪分析，发现kimmal的这些代码和伪OEP值都是对的，虽然看着有点儿不好看，比如两个重复的push edi等，但并没有错。树文件我还没有验证。 to kimmal：谢谢你，没有你的这些码参考，我还真跟不下来。 2004-9-26 22:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 push ebp mov ebp,esp add esp,-10 push ebx push esi mov eax,57CEF0 call 00406D0C mov esi,dword ptr ds:[582000] push 0057D41C push -1 push 0 2004-9-29 13:18 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 17 楼 Thank you very much ! fly大侠都说这个SDK厉害，看来我是没有出路啦，有没有兄弟给指导一下呀，惨啊。 2004-9-30 12:57 0
danson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	danson 18 楼 MOON你不但人靓，还?好人！我真是感谢到以身相许了！ 2005-1-10 17:05 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 19 楼 :D 来个全文跨平台就好了 2005-1-10 17:11 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 20 楼最初由 loveboom 发布 :D 来个全文跨平台就好了 loveboom大侠，我没明白，是什么意思？ 2005-1-11 18:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复