首页
社区
课程
招聘
[原创]终于挺过来了!附:ASPR脱壳录像
发表于: 2007-5-18 14:43 144902

[原创]终于挺过来了!附:ASPR脱壳录像

2007-5-18 14:43
144902
收藏
免费 7
支持
分享
最新回复 (223)
雪    币: 221
活跃值: (66)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pzz
51
谢谢 非常感谢
2007-6-29 08:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
找了很久终于发现这个大哥的录像。
2007-6-30 18:24
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
请问楼主 你用的OD脚本是哪个???
2007-7-1 20:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
直是难脱的壳那.用的脚本都不行.郁闷那.
2007-7-7 16:55
0
雪    币: 200
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
有个地方不太明白
Section Table VOffset这个地方你是怎么定的
2007-7-13 18:24
0
雪    币: 200
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
根据录像我到了最后一步不知怎么弄了.那个二进制代码是不是校验码?
PEID0.94查壳 ASProtect 2.1x SKE -> Alexey Solodovnikov
外部扫描 ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *
插件VerA 0.15 扫描 Version: ASProtect 2.11 SKE build 03.13 Release [1]

OD载入之后停在此处
00401000 >/$  68 01405000   push    00504001
00401005  |.  E8 01000000   call    0040100B
0040100A  \.  C3            retn
0040100B   $  C3            retn
0040100C      B0            db      B0
0040100D      91            db      91
0040100E      44            db      44                               ;  CHAR 'D'
0040100F      FA            db      FA
00401010      A3            db      A3
00401011      D1            db      D1
00401012   .  06            db      06
00401013   .  38 65 2B 52 6>ascii   "8e+R`?
00401019      0C            db      0C
0040101A      E8            db      E8
0040101B      F0            db      F0
0040101C      09            db      09
0040101D      90            nop
0040101E      BA            db      BA
0040101F      5F            db      5F                               ;  CHAR '_'
00401020      96            db      96
00401021      49            db      49                               ;  CHAR 'I'
00401022      34            db      34                               ;  CHAR '4'
00401023      0F            db      0F
00401024      D8            db      D8
00401025      26            db      26                               ;  CHAR '&'
00401026      4E            db      4E                               ;  CHAR 'N'
00401027      80            db      80
00401028      A0            db      A0
00401029   .  25 2B7DED08   and     eax, 8ED7D2B

运行脚本 Aspr2.XX_IATfixer_v2.2s.osc

脚本日志窗口
地址       信息
401000     imgbase: 00400000
401000     imgbasefromdisk: 00400000
401000     tmp1: 004001E0
401000     1stsecsize: 00051000
401000     1stsecbase: 00401000 | (程序文件名).<模块入口点>
401000     tmp1: 004002A8 | ASCII ".adata"
401000     lastsecsize: 00001000
401000     lastsecbase: 00548000
401000     isdll: 00000000
B8277B     dllimgbase: 00B80000
B8277B     tmp4: 00BAF7D3
BAF7D3     thunkstop: 00BAEE06
BAF7D3     APIpoint3: 00BABA93
BAF7D3     thunkpt: 00BA7895
BAF7D3     patch1: 00BA75F4
BAF7D3     tmp2: 0000003B
BAF7D3     thunkdataloc: 00B80200
BAF7D3     tmp2: 00BAF524
BAF7D3     tmp3: 000035FF
BA7895     ESIaddr: 00BF0D68
BA7895     ESIpara1: 75375E3A
BA7895     ESIpara2: 75385E3A
BA7895     ESIpara3: 753A5E3A
BA7895     ESIpara4: 74345E3A
BA7895     nortype: 00000001
B80102     tmp2: 00000001
B80102     tmp3: 0045272C
B80102     iatendaddr: 00452730
B80102     iatstartaddr: 00452000
B80102     iatstart_rva: 00052000
B80102     patch3: 00BA7757
BAEE06     writept2: 00BABAD2
BAEE06     tmp1: 00BAF4B7
BAEE06     tmp2: 00BAF4DD
BAEE06     transit1: 00BAF4DE
BABAD2     EBXaddr: 00BF0EB8
BABAD2     FF15flag: 000000C8
BABAD2     type1API: 00000001
BAF4DE     tmp2: 00BAA71B
BAF4DE     func1: call    00BAB338
BAF4DE     func2: call    00BAA0C4
BAF4DE     func3: call    00BAADEC
BAF4DE     func4: call    00BA7174
BAF4DE     v1.32: 00000000
BAF4DE     v2.0x: 00000000
B80034     E8count: 000000FC
B80034     SCafterAPIcount: 0000000B
B80034     tmp1: 00BAAA19
B80034     func1: call    00B8254C
B80034     func2: call    00B85FB0
B80034     ori1: 00BB3560
B80034     func3: call    00B93E9C
BACCB4     iatstartaddr: 00452000
BACCB4     iatstart_rva: 00052000
BACCB4     iatsize: 00000734
D90316     OEP_rva: 0000F9AD

用LoadPE DUMP出来dumped.exe

用ImportREC修复,发现无效指针,CUT掉
分析进程...
模块已载入: c:\windows\system32\ntdll.dll
模块已载入: c:\windows\system32\kernel32.dll
模块已载入: c:\windows\system32\user32.dll
模块已载入: c:\windows\system32\gdi32.dll
模块已载入: c:\windows\system32\comdlg32.dll
模块已载入: c:\windows\system32\shlwapi.dll
模块已载入: c:\windows\system32\advapi32.dll
模块已载入: c:\windows\system32\rpcrt4.dll
模块已载入: c:\windows\system32\msvcrt.dll
模块已载入: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
模块已载入: c:\windows\system32\shell32.dll
模块已载入: c:\windows\system32\winspool.drv
模块已载入: c:\windows\system32\oledlg.dll
模块已载入: c:\windows\system32\ole32.dll
模块已载入: c:\windows\system32\oleaut32.dll
模块已载入: c:\windows\system32\wsock32.dll
模块已载入: c:\windows\system32\ws2_32.dll
模块已载入: c:\windows\system32\ws2help.dll
模块已载入: c:\windows\system32\wininet.dll
模块已载入: c:\windows\system32\crypt32.dll
模块已载入: c:\windows\system32\msasn1.dll
模块已载入: c:\windows\system32\imm32.dll
模块已载入: c:\windows\system32\lpk.dll
模块已载入: c:\windows\system32\usp10.dll
模块已载入: c:\windows\system32\version.dll
模块已载入: e:\crack\ucfir16f\remote.dll
模块已载入: e:\crack\ucfir16f\remoteex2.dll
获取关联模块完成.
镜像基址:00400000 大小:00149000
IAT 读取成功.
rva:00052134 来自模块:ntdll.dll 序号:032C 名称:SetStdHandle         
rva:00052130 来自模块:ntdll.dll 序号:02F8 名称:HeapSize         
rva:000521CC 来自模块:ntdll.dll 序号:006D 名称:RtlAllocateHeap         
rva:000521D8 来自模块:ntdll.dll 序号:01AD 名称:RtlFreeHeap         
rva:000521E0 来自模块:ntdll.dll 序号:0297 名称:RtlUnwind         
rva:000522A0 来自模块:ntdll.dll 序号:0176 名称:RtlRestoreLastWin32Error         
rva:000522AC 来自模块:ntdll.dll 序号:01E9 名称:RtlLeaveCriticalSection         
rva:000522B0 来自模块:ntdll.dll 序号:0241 名称:RtlDeleteCriticalSection         
rva:000522CC 来自模块:ntdll.dll 序号:03B0 名称:RtlEnterCriticalSection         
rva:00052384 来自模块:ntdll.dll 序号:005D 名称:RtlGetLastWin32Error         
rva:000526C0 来自模块:ws2_32.dll 序号:006F 名称:recv         
rva:000526BC 来自模块:ws2_32.dll 序号:0004 名称:WSAGetLastError         
rva:000526B8 来自模块:ws2_32.dll 序号:0017 名称:connect         
rva:000526B4 来自模块:ws2_32.dll 序号:0009 名称:socket         
rva:000526B0 来自模块:ws2_32.dll 序号:0001 名称:htons         
rva:000526AC 来自模块:ws2_32.dll 序号:000D 名称:accept         
rva:000526A8 来自模块:ws2_32.dll 序号:0002 名称:listen         
rva:000526C4 来自模块:ws2_32.dll 序号:0010 名称:closesocket         
rva:000526C8 来自模块:ws2_32.dll 序号:0003 名称:send         
rva:000526CC 来自模块:ws2_32.dll 序号:0013 名称:WSAStartup         
rva:000526D0 来自模块:ws2_32.dll 序号:0073 名称:gethostbyname         
rva:000526D4 来自模块:ws2_32.dll 序号:0034 名称:WSACleanup         
rva:000526D8 来自模块:ws2_32.dll 序号:0074 名称:inet_addr         
---------------------------------------------------------------------------------------------------------------------------
当前输入表:
D (十进制:13) 个有效模块 (已添加: +D (十进制:+13))
1BF (十进制:447) 个输入函数. (已添加: +1BF (十进制:+447))
(6 (十进制:6) 个未解决的指针) (已添加: +6 (十进制:+6))

修复dumped.exe得到dumped_.exe,运行,出现"发现问题需要关闭",脚本也提示有偷代码.
找到被偷的代码段,用LoadPE修复之,还是运行不了.然后录像里看不太明白.不知如何弄了.
2007-7-13 21:18
0
雪    币: 200
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
运行volx的脚本得到这个,好像是有SDK
脚本日志窗口
地址       信息
B9011A     AsprAPIloc: 00BC34E8
B9011A     Aspr1stthunk: 00452048
BBF2C9     1 个标准函数
B90024     这版的 Asprotect 其 SDk API 总数 = 0000000C
B90024     GetRegistrationInformation  00451660
B90024     GetModeInformation  004516A0
B90024     GetTrialDays  004516E0
B90024     CheckKey  00451700
B90024     GetHardwareID  00451710
软件下载地址:hxxp://jerryxp.ys168.com/
2007-7-13 21:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
下载学习一下ASP脱壳
2007-7-13 22:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
好东西不顶...心理过不去...
我是啥都不会。。。经常遇到些马...要加免杀..才开始想学的...
如果有人指点的话....就先感谢了..QQ5927292
2007-7-15 00:55
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
下载了,学习中.............
2007-7-15 21:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
很好!先恭喜一下,我要看看你是怎么样脱出来的!
2007-7-23 00:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
有高人相助~进步一定很快!这个壳我一直都很害怕~
2007-7-23 14:19
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
63
怎么还用脚本脱啊
2007-7-24 10:30
0
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
录像好卡.....能做好些嗎...

拿了一個程序跟著去脫..不一樣的..就是腳本都不同了..

最好還是有大俠能寫個脫壳機呀..
2007-7-24 11:17
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
好东西

但是视频好像刷新有问题,就是到了下一帧,部分窗口还是上一帧的图像。
2007-7-24 15:27
0
雪    币: 251
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
感谢楼主的奉献
2007-7-25 11:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
好东西 ...楼主
2007-7-26 16:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
68
谁帮我脱个壳,谢谢
求助:我这个不知道是什么壳啊,限制了使用次数,还锁定了本机硬件ID,怎样才可以脱壳???或者怎样才可以弄到授权文件???我有一台电脑有授权文件,但是另外一台电脑没有授权文件,因为这个授权文件是锁定了本机硬件ID的,
第一个方法,我要把另一台改为和这台机一样的硬件ID,这个谁知道怎么改吗?
第二个方法,有没有谁知道脱这种壳的东东啊,
加我的QQ号:363371680

加我的QQ,帮帮我,好急!!!盼!~
2007-7-27 11:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
还请楼主出个更详细点的补区段方法的说明吧!!!动画没有声音,并且不能控制播放,理解起来很困难!!!
2007-7-30 16:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
70
先下载学习一下。。
2007-7-30 21:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
正需要呢,收了
2007-7-31 04:21
0
雪    币: 158
活跃值: (43)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
72
学习,祝贺楼主..
2007-7-31 12:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
73
谢谢了!学习中~
2007-7-31 20:30
0
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
74
学习 顶 哈哈
2007-7-31 21:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
75
做得太好了 虽然我现在还看不懂~
我很笨
我会努力的.........
2007-7-31 21:59
0
游客
登录 | 注册 方可回帖
返回
//