能力值:
( LV9,RANK:210 )
|
-
-
2 楼
看是aspr的什么版本,1.2以后有。你把OEP处上面的代码贴上十来行看看。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
最后一次异常处:
04B8F145 0156 00 ADD DWORD PTR DS:[ESI],EDX
04B8F148 EE OUT DX,AL ; I/O command
04B8F149 2D 4AC2D439 SUB EAX,39D4C24A
04B8F14E AE SCAS BYTE PTR ES:[EDI]
04B8F14F 67:64:8F06 0000 POP DWORD PTR FS:[0]
04B8F155 83C4 04 ADD ESP,4
04B8F158 3E:EB 02 JMP SHORT 04B8F15D ; Superfluous prefix
04B8F15B CD 20 INT 20
04B8F15D 81C6 368C4781 ADD ESI,81478C36
04B8F163 5E POP ESI
04B8F164 833D 7C4BB904 0>CMP DWORD PTR DS:[4B94B7C],0
04B8F16B 74 14 JE SHORT 04B8F181
04B8F16D 6A 0C PUSH 0C
04B8F16F B9 7C4BB904 MOV ECX,4B94B7C
04B8F174 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C]
04B8F177 BA 04000000 MOV EDX,4
04B8F17C E8 D326FFFF CALL 04B81854
04B8F181 A1 6826B904 MOV EAX,DWORD PTR DS:[4B92668]
04B8F186 8818 MOV BYTE PTR DS:[EAX],BL
04B8F188 A1 8C26B904 MOV EAX,DWORD PTR DS:[4B9268C]
04B8F18D C700 E1000000 MOV DWORD PTR DS:[EAX],0E1
04B8F193 E8 D44DFFFF CALL 04B83F6C
04B8F198 8B15 5C26B904 MOV EDX,DWORD PTR DS:[4B9265C]
04B8F19E 8802 MOV BYTE PTR DS:[EDX],AL
04B8F1A0 8BC6 MOV EAX,ESI
04B8F1A2 E8 0D39FEFF CALL 04B72AB4
04B8F1A7 A1 0426B904 MOV EAX,DWORD PTR DS:[4B92604]
04B8F1AC 8B00 MOV EAX,DWORD PTR DS:[EAX]
04B8F1AE E8 7D58FFFF CALL 04B84A30
04B8F1B3 E8 FCB9FFFF CALL 04B8ABB4
04B8F1B8 A1 5C26B904 MOV EAX,DWORD PTR DS:[4B9265C]
04B8F1BD 8038 00 CMP BYTE PTR DS:[EAX],0
04B8F1C0 74 28 JE SHORT 04B8F1EA
04B8F1C2 A1 3C26B904 MOV EAX,DWORD PTR DS:[4B9263C]
04B8F1C7 C700 EA000000 MOV DWORD PTR DS:[EAX],0EA
04B8F1CD B8 32000000 MOV EAX,32
04B8F1D2 E8 F935FEFF CALL 04B727D0
04B8F1D7 2905 884BB904 SUB DWORD PTR DS:[4B94B88],EAX
04B8F1DD B8 64000000 MOV EAX,64
04B8F1E2 E8 E935FEFF CALL 04B727D0
04B8F1E7 0145 F0 ADD DWORD PTR SS:[EBP-10],EAX
04B8F1EA A1 8C26B904 MOV EAX,DWORD PTR DS:[4B9268C]
04B8F1EF C700 E3000000 MOV DWORD PTR DS:[EAX],0E3
04B8F1F5 EB 01 JMP SHORT 04B8F1F8
04B8F1F7 E8 8B45FC8B CALL 90B53787
04B8F1FC 0085 C0752B8B ADD BYTE PTR SS:[EBP+8B2B75C0],AL
04B8F202 0D 884BB904 OR EAX,4B94B88
04B8F207 85C9 TEST ECX,ECX
04B8F209 74 0B JE SHORT 04B8F216
04B8F20B 8B65 F8 MOV ESP,DWORD PTR SS:[EBP-8]
04B8F20E FF35 884BB904 PUSH DWORD PTR DS:[4B94B88]
04B8F214 C3 RETN
在上面的04B8F14F处下断点,通过异常,再F8单步走到00548024:
00548024 . 55 PUSH EBP
00548025 ? 8BEC MOV EBP,ESP
00548027 ? 83C4 F0 ADD ESP,-10
0054802A . B8 C47B5400 MOV EAX,NetPengu.00547BC4
0054802F ? E8 E4F0EBFF CALL NetPengu.00407118
00548034 . A1 7C5B5600 MOV EAX,DWORD PTR DS:[565B7C]
00548039 ? 8B00 MOV EAX,DWORD PTR DS:[EAX]
0054803B ? E8 7CB6F3FF CALL NetPengu.004836BC
00548040 . A1 7C5B5600 MOV EAX,DWORD PTR DS:[565B7C]
00548045 ? 8B00 MOV EAX,DWORD PTR DS:[EAX]
00548047 ? BA 84805400 MOV EDX,NetPengu.00548084
0054804C . E8 63B2F3FF CALL NetPengu.004832B4
00548051 ? B2 01 MOV DL,1
00548053 ? A1 38944200 MOV EAX,DWORD PTR DS:[429438]
00548058 . E8 CB2BEEFF CALL NetPengu.0042AC28
0054805D ? 8B15 905A5600 MOV EDX,DWORD PTR DS:[565A90] ; NetPengu.045B7020
00548063 ? 8902 MOV DWORD PTR DS:[EDX],EAX
00548065 ? FF15 80555600 CALL DWORD PTR DS:[565580] ; NetPengu.00547AF8
0054806B ? A1 7C5B5600 MOV EAX,DWORD PTR DS:[565B7C]
00548070 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
00548072 . E8 DDB6F3FF CALL NetPengu.00483754
00548077 ? E8 7CC9EBFF CALL NetPengu.004049F8
怀疑这里就是OEP处,但看样子好像没有抽代码,不知道有没有STOLEN CODE?
|
能力值:
( LV9,RANK:210 )
|
-
-
4 楼
我看象没有。另外是否跳到这里,并且我要你把它上面的代码列几行。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
00548024上面的代码:
00547FA4 \7C885200 DD NetPengu.0052887C
00547FA8 4C885200 DD NetPengu.0052884C
00547FAC E4915200 DD NetPengu.005291E4
00547FB0 B4915200 DD NetPengu.005291B4
00547FB4 F8C75200 DD NetPengu.0052C7F8
00547FB8 C8C75200 DD NetPengu.0052C7C8
00547FBC 44D05200 DD NetPengu.0052D044
00547FC0 14D05200 DD NetPengu.0052D014
00547FC4 FCE35200 DD NetPengu.0052E3FC
00547FC8 CCE35200 DD NetPengu.0052E3CC
00547FCC 84ED5200 DD NetPengu.0052ED84
00547FD0 54ED5200 DD NetPengu.0052ED54
00547FD4 68F45200 DD NetPengu.0052F468
00547FD8 38F45200 DD NetPengu.0052F438
00547FDC 4CF65200 DD NetPengu.0052F64C
00547FE0 1CF65200 DD NetPengu.0052F61C
00547FE4 380D5300 DD NetPengu.00530D38
00547FE8 CC0C5300 DD NetPengu.00530CCC
00547FEC EC115300 DD NetPengu.005311EC
00547FF0 BC115300 DD NetPengu.005311BC
00547FF4 8C135300 DD NetPengu.0053138C
00547FF8 5C135300 DD NetPengu.0053135C
00547FFC C86B5400 DD NetPengu.00546BC8
00548000 986B5400 DD NetPengu.00546B98
00548004 F07A5400 DD NetPengu.00547AF0
00548008 C07A5400 DD NetPengu.00547AC0
0054800C 6C405000 DD NetPengu.0050406C
00548010 0C3C5000 DD NetPengu.00503C0C
00548014 E4665000 DD NetPengu.005066E4
00548018 B4665000 DD NetPengu.005066B4
0054801C 00 DB 00
0054801D 00 DB 00
0054801E 00 DB 00
0054801F 00 DB 00
00548020 . 9C PUSHFD
00548021 . 7B 54 JPO SHORT NetPengu.00548077
00548023 . 0055 8B ADD BYTE PTR SS:[EBP-75],DL
|
能力值:
( LV9,RANK:210 )
|
-
-
6 楼
象是有10个字节的Stolen Code。你脱壳后的程序能运行吗,提示什么?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
只是DUMP下来了,还没有修复。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
对了,请问如何减肥,DUMP下来的文件有66.3M,晕!
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
ASProtect新版,没有 Stolen Code
0463302F FFE0 jmp eax ; NetPengu.00548024
//飞向光明之巅!:-)
关键是输入表的修复了
|
能力值:
( LV9,RANK:210 )
|
-
-
10 楼
aspr新版不玩Stolen Code啦,有趣。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
输入表不好修复啊!
另外这个程序好像本身就有问题,在我的电脑上一运行就退出了!
|