ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验

发表于: 2004-9-1 04:44 20892

ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验

fly

2004-9-1 04:44

20892

查看主题内容

收藏・8

免费・7

支持

最新回复 (58) ◀ 1 2 3 ▶
Benki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	Benki 26 楼 pfpf! 我1.3的还没学会 2004-10-17 21:50 0
sungy 雪币： 346 活跃值： (1953) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 27 楼 ASProtect 1.2x [New Strain] -> Alexey SolodovnikovPEID怎么显示这样不是2.0？ 2004-10-18 09:00 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 28 楼 PEiD不是100％准确的 2004-10-19 17:22 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 29 楼学习 2004-10-19 21:22 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 30 楼 DVDIdle v5.56也是这个壳，搞不定，郁闷! 2004-10-19 22:08 0
viral 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	viral 31 楼如果是自检后杀掉EXPLORER进程要用什么来设断点呢？ 2004-10-19 23:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 32 楼最初由 temerata 发布 DVDIdle v5.56也是这个壳，搞不定，郁闷! 给个地址有空看看 2004-10-20 00:47 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 33 楼最初由 viral 发布如果是自检后杀掉EXPLORER进程要用什么来设断点呢？看他是如何“杀”的之前跳过 2004-10-20 00:48 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 34 楼最初由 fly 发布给个地址有空看看 http://www.dvdidle.com/download/DVDIdle55.exe 2004-10-20 08:21 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 35 楼好文，必看。 2004-10-20 11:28 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 36 楼 http://www.dvdidle.com/download/DVDIdle55.exe fly 大侠，请问一下看了这个东东没有？ :o 2004-10-21 20:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼还没有比较忙新版aspr脱壳太费劲 :o 不如…… ;) 2004-10-21 20:18 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 38 楼最新版的 DVDIdle 5.56 它的 Asprotect 版本和 Alfaclock 1.71以及 Audio Tag Editor 1.6.0.1 所用的版本是一样的 ----- 新版！！！！:( 2004-10-21 20:32 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 39 楼最初由 fly 发布还没有比较忙新版aspr脱壳太费劲 :o 不如…… ;) 不如…… ;) i check this new version of asprotect... ur concept of...;) is still working in this new version..but now u have to get 3 group of value..;) 2004-10-21 21:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 40 楼最初由 VolX 发布最新版的 DVDIdle 5.56 它的 Asprotect 版本和 Alfaclock 1.71以及 Audio Tag Editor 1.6.0.1 所用的版本是一样的 ----- 新版！！！！:( 的确是新版和以前相比，变化不小那些call 00CE0000 很麻烦 :o 2004-10-22 01:21 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 41 楼最初由 fly 发布的确是新版和以前相比，变化不小那些call 00CE0000 很麻烦是呀！就是这个搞得头痛！:o 2004-10-22 10:14 0
sungy 雪币： 346 活跃值： (1953) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 42 楼有人能找到注册码没有？ 2004-10-23 00:27 0
distinct 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	distinct 43 楼 fly老大，我按照你的做法试了一下,其他的都正常, 就是IAT加密部分断不下来, F2,或者硬件中断都不灵, 不知道为什么操作系统(xp sp1), 和工具的版本都符合你的相关说明我按照老办法, 最后一次异常, 然后从一个JMP跟进, 也能找到OEP, 但是IAT就不知道怎么恢复了我也试过了经你修改的汉化过的Ollydbg, 也是断不下来是不是我的什么设置有问题呀? 我的操作流程如下 IsDebug->hide, Ollydgb->Debuging options, 忽略所有异常 he GetModuleHandleA Shift+F9两次, Alt+F9返回 hd GetModuleHandleA Ctrl+F9 [两次,这个地方你在文中,好像没有说是具体几次] 返回到 00A4A5CC 68 7828A400 push 0A42878 00A4A5D1 C3 retn 然后Ctrl+s, Entire Block, 查到四个地方, 都设置上F2(或者硬件中断, hardware on execution) 然后Shift+F9, 程序就直接运行起来了, 不知道什么地方弄错了麻烦fly大侠了!!!!! 多谢!!!! 2004-10-25 11:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼目标程序相同？如果用了输入表高级保护选项请看Aspr 1.31主程序脱壳的那篇 2004-10-25 12:47 0
distinct 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	distinct 45 楼 fly大侠，怪不得大家这么敬重你，技术上就不用多说了，光是回贴的速度和内容，就不得不... 佩服！！！我会继续努力的，希望有一天也能多多少少的回报一些 2004-10-25 13:12 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 46 楼 1.3和2.0谁比较强啊~ 看情况是2.0的版本较高，但是1.3好象更难脱哦！ 2004-11-9 12:42 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 47 楼都不好脱关键看他是如何加壳 2004-11-9 13:00 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 48 楼最初由 fly 发布 …… 如果你发现程序执行扫描功能时出错，不要心急，原程序就有这个问题。作者和我们开个玩笑？ …… 3.57 出来了，看了一下。应该是系统语言的原因。 004225F0 . A1 B40C4900 mov eax,dword ptr ds:[490CB4] 004225F5 . 56 push esi ; unpacked.0047A4B8 004225F6 . 85C0 test eax,eax 004225F8 . 8BF1 mov esi,ecx 004225FA 74 04 je short unpacked.00422600 004225FC . 33C0 xor eax,eax 004225FE . FE00 inc byte ptr ds:[eax] ; 出错 00419B43 . E8 48130000 call unpacked.0041AE90 00419B48 . A3 B40C4900 mov dword ptr ds:[490CB4],eax 0041AE90 /$ 81EC 08010000 sub esp,108 0041AE96 \|. 53 push ebx 0041AE97 \|. 55 push ebp 0041AE98 \|. E8 E3000000 call unpacked.0041AF80 0041AE9D \|. 85C0 test eax,eax 0041AE9F \|. 74 0E je short unpacked.0041AEAF 0041AEA1 \|. 5D pop ebp ; unpacked.00497078 0041AEA2 \|. B8 01000000 mov eax,1 0041AEA7 \|. 5B pop ebx ; unpacked.00497078 0041AEA8 \|. 81C4 08010000 add esp,108 0041AEAE \|. C3 retn 0041AEAF \|> 8D4424 0C lea eax,dword ptr ss:[esp+C] 0041AEB3 \|. 68 04010000 push 104 ; /BufSize = 104 (260.) 0041AEB8 \|. 50 push eax ; \|PathBuffer = 00000060 0041AEB9 \|. 6A 00 push 0 ; \|hModule = NULL 0041AEBB \|. FF15 E8724700 call dword ptr ds:[<&kernel32.GetModuleF>; \GetModuleFileNameA 0041AEC1 \|. 6A 00 push 0 ; /hTemplateFile = NULL 0041AEC3 \|. 6A 00 push 0 ; \|Attributes = 0 0041AEC5 \|. 6A 03 push 3 ; \|Mode = OPEN_EXISTING 0041AEC7 \|. 6A 00 push 0 ; \|pSecurity = NULL 0041AEC9 \|. 6A 03 push 3 ; \|ShareMode = FILE_SHARE_READ\|FILE_SHARE_WRITE 0041AECB \|. 8D4C24 20 lea ecx,dword ptr ss:[esp+20] ; \| 0041AECF \|. 68 00000080 push 80000000 ; \|Access = GENERIC_READ 0041AED4 \|. 51 push ecx ; \|FileName = "?G" 0041AED5 \|. FF15 54724700 call dword ptr ds:[<&kernel32.CreateFile>; \CreateFileA 0041AEDB \|. 8BE8 mov ebp,eax 0041AEDD \|. 83FD FF cmp ebp,-1 0041AEE0 \|. 75 0B jnz short unpacked.0041AEED 0041AEE2 \|. 5D pop ebp ; unpacked.00497078 0041AEE3 \|. 33C0 xor eax,eax 0041AEE5 \|. 5B pop ebx ; unpacked.00497078 0041AEE6 \|. 81C4 08010000 add esp,108 0041AEEC \|. C3 retn 0041AEED \|> 8D5424 08 lea edx,dword ptr ss:[esp+8] 0041AEF1 \|. 52 push edx ; /pFileSizeHigh = NULL 0041AEF2 \|. 55 push ebp ; \|hFile = NULL 0041AEF3 \|. FF15 C0734700 call dword ptr ds:[<&kernel32.GetFileSiz>; \GetFileSize 0041AEF9 \|. 8BD8 mov ebx,eax 0041AEFB \|. 83FB FF cmp ebx,-1 0041AEFE \|. 75 12 jnz short unpacked.0041AF12 0041AF00 \|. 55 push ebp ; /hObject = NULL 0041AF01 \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041AF07 \|. 5D pop ebp ; unpacked.00497078 0041AF08 \|. 33C0 xor eax,eax 0041AF0A \|. 5B pop ebx ; unpacked.00497078 0041AF0B \|. 81C4 08010000 add esp,108 0041AF11 \|. C3 retn 0041AF12 \|> 8B4424 08 mov eax,dword ptr ss:[esp+8] 0041AF16 \|. 56 push esi ; unpacked.00497078 0041AF17 \|. 85C0 test eax,eax 0041AF19 \|. 57 push edi 0041AF1A \|. 75 06 jnz short unpacked.0041AF22 0041AF1C \|. 8BFB mov edi,ebx 0041AF1E \|. 33F6 xor esi,esi ; unpacked.00497078 0041AF20 \|. EB 16 jmp short unpacked.0041AF38 0041AF22 \|> 6A 01 push 1 0041AF24 \|. 6A 00 push 0 0041AF26 \|. 6A 00 push 0 0041AF28 \|. 50 push eax 0041AF29 \|. E8 02420200 call unpacked.0043F130 0041AF2E \|. 8BF8 mov edi,eax 0041AF30 \|. 33C0 xor eax,eax 0041AF32 \|. 8BF2 mov esi,edx 0041AF34 \|. 03FB add edi,ebx 0041AF36 \|. 13F0 adc esi,eax 0041AF38 \|> 55 push ebp ; /hObject = NULL 0041AF39 \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041AF3F \|. 85F6 test esi,esi ; unpacked.00497078 0041AF41 \|. 7F 25 jg short unpacked.0041AF68 0041AF43 \|. 7C 08 jl short unpacked.0041AF4D 0041AF45 \|. 81FF 90230B00 cmp edi,0B2390 ; 自校验1 0041AF4B \|. 77 1B ja short unpacked.0041AF68 0041AF4D \|> 85F6 test esi,esi ; unpacked.00497078 0041AF4F \|. 7C 17 jl short unpacked.0041AF68 0041AF51 \|. 7F 08 jg short unpacked.0041AF5B 0041AF53 \|. 81FF F09C0900 cmp edi,99CF0 0041AF59 \|. 72 0D jb short unpacked.0041AF68 0041AF5B \|> 5F pop edi ; unpacked.00497078 0041AF5C \|. 5E pop esi ; unpacked.00497078 0041AF5D \|. 5D pop ebp ; unpacked.00497078 0041AF5E \|. 33C0 xor eax,eax 0041AF60 \|. 5B pop ebx ; unpacked.00497078 0041AF61 \|. 81C4 08010000 add esp,108 0041AF67 \|. C3 retn 0041AF80 /$ FF15 BC734700 call dword ptr ds:[<&kernel32.GetSystemD>; [GetSystemDefaultLangID 0041AF86 \|. 66:3D 0408 cmp ax,804 0041AF8A \|. 75 06 jnz short unpacked.0041AF92 ; 检测系统语言ID，如果这里不跳，则引起004225FE处的异常。 0041AF8C \|. B8 01000000 mov eax,1 0041AF91 \|. C3 retn 0041AF92 \|> 25 FF030000 and eax,3FF 0041AF97 \|. 33C9 xor ecx,ecx ; unpacked.00497078 0041AF99 \|. 83F8 19 cmp eax,19 0041AF9C \|. 0F94C1 sete cl 0041AF9F \|. 8BC1 mov eax,ecx ; unpacked.00497078 0041AFA1 \. C3 retn 另一出错处： 0041F920 . E8 0B010000 call unpacked.0041FA30 0041F925 . 85C0 test eax,eax 0041F927 . 74 04 je short unpacked.0041F92D 0041F929 . 33C0 xor eax,eax 0041F92B . FE00 inc byte ptr ds:[eax] 0041FA30 /$ 81EC 08010000 sub esp,108 0041FA36 \|. 8D4424 04 lea eax,dword ptr ss:[esp+4] 0041FA3A \|. 53 push ebx 0041FA3B \|. 55 push ebp 0041FA3C \|. 68 04010000 push 104 ; /BufSize = 104 (260.) 0041FA41 \|. 50 push eax ; \|PathBuffer = 00000060 0041FA42 \|. 6A 00 push 0 ; \|hModule = NULL 0041FA44 \|. FF15 E8724700 call dword ptr ds:[<&kernel32.GetModuleF>; \GetModuleFileNameA 0041FA4A \|. 6A 00 push 0 ; /hTemplateFile = NULL 0041FA4C \|. 6A 00 push 0 ; \|Attributes = 0 0041FA4E \|. 6A 03 push 3 ; \|Mode = OPEN_EXISTING 0041FA50 \|. 6A 00 push 0 ; \|pSecurity = NULL 0041FA52 \|. 6A 03 push 3 ; \|ShareMode = FILE_SHARE_READ\|FILE_SHARE_WRITE 0041FA54 \|. 8D4C24 20 lea ecx,dword ptr ss:[esp+20] ; \| 0041FA58 \|. 68 00000080 push 80000000 ; \|Access = GENERIC_READ 0041FA5D \|. 51 push ecx ; \|FileName = "?G" 0041FA5E \|. FF15 54724700 call dword ptr ds:[<&kernel32.CreateFile>; \CreateFileA 0041FA64 \|. 8BE8 mov ebp,eax 0041FA66 \|. 83FD FF cmp ebp,-1 0041FA69 \|. 75 0B jnz short unpacked.0041FA76 0041FA6B \|. 5D pop ebp ; unpacked.00497078 0041FA6C \|. 33C0 xor eax,eax 0041FA6E \|. 5B pop ebx ; unpacked.00497078 0041FA6F \|. 81C4 08010000 add esp,108 0041FA75 \|. C3 retn 0041FA76 \|> 8D5424 08 lea edx,dword ptr ss:[esp+8] 0041FA7A \|. 52 push edx ; /pFileSizeHigh = NULL 0041FA7B \|. 55 push ebp ; \|hFile = NULL 0041FA7C \|. FF15 C0734700 call dword ptr ds:[<&kernel32.GetFileSiz>; \GetFileSize 0041FA82 \|. 8BD8 mov ebx,eax 0041FA84 \|. 83FB FF cmp ebx,-1 0041FA87 \|. 75 12 jnz short unpacked.0041FA9B 0041FA89 \|. 55 push ebp ; /hObject = NULL 0041FA8A \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041FA90 \|. 5D pop ebp ; unpacked.00497078 0041FA91 \|. 33C0 xor eax,eax 0041FA93 \|. 5B pop ebx ; unpacked.00497078 0041FA94 \|. 81C4 08010000 add esp,108 0041FA9A \|. C3 retn 0041FA9B \|> 8B4424 08 mov eax,dword ptr ss:[esp+8] 0041FA9F \|. 56 push esi ; unpacked.00497078 0041FAA0 \|. 85C0 test eax,eax 0041FAA2 \|. 57 push edi 0041FAA3 \|. 75 06 jnz short unpacked.0041FAAB 0041FAA5 \|. 8BFB mov edi,ebx 0041FAA7 \|. 33F6 xor esi,esi ; unpacked.00497078 0041FAA9 \|. EB 16 jmp short unpacked.0041FAC1 0041FAAB \|> 6A 01 push 1 0041FAAD \|. 6A 00 push 0 0041FAAF \|. 6A 00 push 0 0041FAB1 \|. 50 push eax 0041FAB2 \|. E8 79F60100 call unpacked.0043F130 0041FAB7 \|. 8BF8 mov edi,eax 0041FAB9 \|. 33C0 xor eax,eax 0041FABB \|. 8BF2 mov esi,edx 0041FABD \|. 03FB add edi,ebx 0041FABF \|. 13F0 adc esi,eax 0041FAC1 \|> 55 push ebp ; /hObject = NULL 0041FAC2 \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041FAC8 \|. 85F6 test esi,esi ; unpacked.00497078 0041FACA \|. 7F 25 jg short unpacked.0041FAF1 0041FACC \|. 7C 08 jl short unpacked.0041FAD6 0041FACE \|. 81FF 90230B00 cmp edi,0B2390 ; 自校验2 0041FAD4 \|. 77 1B ja short unpacked.0041FAF1 0041FAD6 \|> 85F6 test esi,esi ; unpacked.00497078 0041FAD8 \|. 7C 17 jl short unpacked.0041FAF1 0041FADA \|. 7F 08 jg short unpacked.0041FAE4 0041FADC \|. 81FF F09C0900 cmp edi,99CF0 0041FAE2 \|. 72 0D jb short unpacked.0041FAF1 0041FAE4 \|> 5F pop edi ; unpacked.00497078 0041FAE5 \|. 5E pop esi ; unpacked.00497078 0041FAE6 \|. 5D pop ebp ; unpacked.00497078 0041FAE7 \|. 33C0 xor eax,eax 0041FAE9 \|. 5B pop ebx ; unpacked.00497078 0041FAEA \|. 81C4 08010000 add esp,108 0041FAF0 \|. C3 retn 0041FAF1 \|> 5F pop edi ; unpacked.00497078 0041FAF2 \|. 5E pop esi ; unpacked.00497078 0041FAF3 \|. 5D pop ebp ; unpacked.00497078 0041FAF4 \|. B8 01000000 mov eax,1 0041FAF9 \|. 5B pop ebx ; unpacked.00497078 0041FAFA \|. 81C4 08010000 add esp,108 0041FB00 \. C3 retn 上面两个校验引起扫描时的异常。还有一个校验就是引起重启。 2004-12-24 14:49 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 49 楼修复时的异常： 0041DC70 . E8 EB240000 call unpacked.00420160 0041DC75 . 85C0 test eax,eax 0041DC77 . 74 05 je short unpacked.0041DC7E 0041DC79 . 83C8 FF or eax,FFFFFFFF 0041DC7C . FE00 inc byte ptr ds:[eax] ; 修复时出错 00420160 /$ A1 0C724900 mov eax,dword ptr ds:[49720C] 00420165 \|. 81EC 0C020000 sub esp,20C 0042016B \|. 85C0 test eax,eax 0042016D \|. 0F84 86000000 je unpacked.004201F9 00420173 \|. 8B0D 40A04700 mov ecx,dword ptr ds:[47A040] ; unpacked.0048F680 00420179 \|. 8D4424 04 lea eax,dword ptr ss:[esp+4] 0042017D \|. 50 push eax ; /pHandle = 0109FCF8 0042017E \|. 68 3F000F00 push 0F003F ; \|Access = KEY_ALL_ACCESS 00420183 \|. 6A 00 push 0 ; \|Reserved = 0 00420185 \|. 51 push ecx ; \|Subkey = "" 00420186 \|. 68 01000080 push 80000001 ; \|hKey = HKEY_CURRENT_USER 0042018B \|. C74424 18 000>mov dword ptr ss:[esp+18],0 ; \| 00420193 \|. FF15 08704700 call dword ptr ds:[<&advapi32.RegOpenKey>; \RegOpenKeyExA 00420199 \|. 85C0 test eax,eax 0042019B \|. 75 5C jnz short unpacked.004201F9 0042019D \|. 56 push esi 0042019E \|. 8B7424 08 mov esi,dword ptr ss:[esp+8] 004201A2 \|. 894424 0C mov dword ptr ss:[esp+C],eax 004201A6 \|. 8D5424 04 lea edx,dword ptr ss:[esp+4] 004201AA \|. 57 push edi 004201AB \|. 8D4424 14 lea eax,dword ptr ss:[esp+14] 004201AF \|. 52 push edx ; /pBufSize = 0109FCEC 004201B0 \|. 8D4C24 14 lea ecx,dword ptr ss:[esp+14] ; \| 004201B4 \|. 50 push eax ; \|Buffer = 0109FCF8 004201B5 \|. 51 push ecx ; \|pValueType = 0109FCF4 004201B6 \|. 6A 00 push 0 ; \|Reserved = NULL 004201B8 \|. 68 20F74800 push unpacked.0048F720 ; \|ValueName = "Key"这里检测有没有Key! 004201BD \|. 56 push esi ; \|hKey = AC 004201BE \|. C74424 20 000>mov dword ptr ss:[esp+20],200 ; \| 004201C6 \|. FF15 04704700 call dword ptr ds:[<&advapi32.RegQueryVa>; \RegQueryValueExA 004201CC \|. 85C0 test eax,eax 004201CE \|. 75 0E jnz short unpacked.004201DE 004201D0 \|. 817C24 08 AA0>cmp dword ptr ss:[esp+8],0AA 004201D8 \|. 1BFF sbb edi,edi 004201DA \|. F7DF neg edi 004201DC \|. EB 05 jmp short unpacked.004201E3 004201DE \|> BF 01000000 mov edi,1 004201E3 \|> 85F6 test esi,esi 004201E5 \|. 74 07 je short unpacked.004201EE 004201E7 \|. 56 push esi ; /hKey = 000000AC (window) 004201E8 \|. FF15 44704700 call dword ptr ds:[<&advapi32.RegCloseKe>; \RegCloseKey 004201EE \|> 8BC7 mov eax,edi 004201F0 \|. 5F pop edi 004201F1 \|. 5E pop esi 004201F2 \|. 81C4 0C020000 add esp,20C 004201F8 \|. C3 retn 004201F9 \|> 33C0 xor eax,eax 004201FB \|. 81C4 0C020000 add esp,20C 00420201 \. C3 retn 2004-12-24 14:56 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 50 楼学习先！！！ 2004-12-24 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) ◀ 1 2 3 ▶
Benki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	Benki 26 楼 pfpf! 我1.3的还没学会 2004-10-17 21:50 0
sungy 雪币： 346 活跃值： (1953) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 27 楼 ASProtect 1.2x [New Strain] -> Alexey SolodovnikovPEID怎么显示这样不是2.0？ 2004-10-18 09:00 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 28 楼 PEiD不是100％准确的 2004-10-19 17:22 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 29 楼学习 2004-10-19 21:22 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 30 楼 DVDIdle v5.56也是这个壳，搞不定，郁闷! 2004-10-19 22:08 0
viral 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	viral 31 楼如果是自检后杀掉EXPLORER进程要用什么来设断点呢？ 2004-10-19 23:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 32 楼最初由 temerata 发布 DVDIdle v5.56也是这个壳，搞不定，郁闷! 给个地址有空看看 2004-10-20 00:47 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 33 楼最初由 viral 发布如果是自检后杀掉EXPLORER进程要用什么来设断点呢？看他是如何“杀”的之前跳过 2004-10-20 00:48 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 34 楼最初由 fly 发布给个地址有空看看 http://www.dvdidle.com/download/DVDIdle55.exe 2004-10-20 08:21 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 35 楼好文，必看。 2004-10-20 11:28 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 36 楼 http://www.dvdidle.com/download/DVDIdle55.exe fly 大侠，请问一下看了这个东东没有？ :o 2004-10-21 20:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼还没有比较忙新版aspr脱壳太费劲 :o 不如…… ;) 2004-10-21 20:18 0
VolX 雪币： 229 活跃值： (50) 能力值： ( LV9，RANK：170 ) 在线值：发帖 4 回帖 107 粉丝 2 关注私信	VolX 4 38 楼最新版的 DVDIdle 5.56 它的 Asprotect 版本和 Alfaclock 1.71以及 Audio Tag Editor 1.6.0.1 所用的版本是一样的 ----- 新版！！！！:( 2004-10-21 20:32 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 39 楼最初由 fly 发布还没有比较忙新版aspr脱壳太费劲 :o 不如…… ;) 不如…… ;) i check this new version of asprotect... ur concept of...;) is still working in this new version..but now u have to get 3 group of value..;) 2004-10-21 21:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 40 楼最初由 VolX 发布最新版的 DVDIdle 5.56 它的 Asprotect 版本和 Alfaclock 1.71以及 Audio Tag Editor 1.6.0.1 所用的版本是一样的 ----- 新版！！！！:( 的确是新版和以前相比，变化不小那些call 00CE0000 很麻烦 :o 2004-10-22 01:21 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 41 楼最初由 fly 发布的确是新版和以前相比，变化不小那些call 00CE0000 很麻烦是呀！就是这个搞得头痛！:o 2004-10-22 10:14 0
sungy 雪币： 346 活跃值： (1953) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 42 楼有人能找到注册码没有？ 2004-10-23 00:27 0
distinct 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	distinct 43 楼 fly老大，我按照你的做法试了一下,其他的都正常, 就是IAT加密部分断不下来, F2,或者硬件中断都不灵, 不知道为什么操作系统(xp sp1), 和工具的版本都符合你的相关说明我按照老办法, 最后一次异常, 然后从一个JMP跟进, 也能找到OEP, 但是IAT就不知道怎么恢复了我也试过了经你修改的汉化过的Ollydbg, 也是断不下来是不是我的什么设置有问题呀? 我的操作流程如下 IsDebug->hide, Ollydgb->Debuging options, 忽略所有异常 he GetModuleHandleA Shift+F9两次, Alt+F9返回 hd GetModuleHandleA Ctrl+F9 [两次,这个地方你在文中,好像没有说是具体几次] 返回到 00A4A5CC 68 7828A400 push 0A42878 00A4A5D1 C3 retn 然后Ctrl+s, Entire Block, 查到四个地方, 都设置上F2(或者硬件中断, hardware on execution) 然后Shift+F9, 程序就直接运行起来了, 不知道什么地方弄错了麻烦fly大侠了!!!!! 多谢!!!! 2004-10-25 11:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼目标程序相同？如果用了输入表高级保护选项请看Aspr 1.31主程序脱壳的那篇 2004-10-25 12:47 0
distinct 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	distinct 45 楼 fly大侠，怪不得大家这么敬重你，技术上就不用多说了，光是回贴的速度和内容，就不得不... 佩服！！！我会继续努力的，希望有一天也能多多少少的回报一些 2004-10-25 13:12 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 46 楼 1.3和2.0谁比较强啊~ 看情况是2.0的版本较高，但是1.3好象更难脱哦！ 2004-11-9 12:42 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 47 楼都不好脱关键看他是如何加壳 2004-11-9 13:00 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 48 楼最初由 fly 发布 …… 如果你发现程序执行扫描功能时出错，不要心急，原程序就有这个问题。作者和我们开个玩笑？ …… 3.57 出来了，看了一下。应该是系统语言的原因。 004225F0 . A1 B40C4900 mov eax,dword ptr ds:[490CB4] 004225F5 . 56 push esi ; unpacked.0047A4B8 004225F6 . 85C0 test eax,eax 004225F8 . 8BF1 mov esi,ecx 004225FA 74 04 je short unpacked.00422600 004225FC . 33C0 xor eax,eax 004225FE . FE00 inc byte ptr ds:[eax] ; 出错 00419B43 . E8 48130000 call unpacked.0041AE90 00419B48 . A3 B40C4900 mov dword ptr ds:[490CB4],eax 0041AE90 /$ 81EC 08010000 sub esp,108 0041AE96 \|. 53 push ebx 0041AE97 \|. 55 push ebp 0041AE98 \|. E8 E3000000 call unpacked.0041AF80 0041AE9D \|. 85C0 test eax,eax 0041AE9F \|. 74 0E je short unpacked.0041AEAF 0041AEA1 \|. 5D pop ebp ; unpacked.00497078 0041AEA2 \|. B8 01000000 mov eax,1 0041AEA7 \|. 5B pop ebx ; unpacked.00497078 0041AEA8 \|. 81C4 08010000 add esp,108 0041AEAE \|. C3 retn 0041AEAF \|> 8D4424 0C lea eax,dword ptr ss:[esp+C] 0041AEB3 \|. 68 04010000 push 104 ; /BufSize = 104 (260.) 0041AEB8 \|. 50 push eax ; \|PathBuffer = 00000060 0041AEB9 \|. 6A 00 push 0 ; \|hModule = NULL 0041AEBB \|. FF15 E8724700 call dword ptr ds:[<&kernel32.GetModuleF>; \GetModuleFileNameA 0041AEC1 \|. 6A 00 push 0 ; /hTemplateFile = NULL 0041AEC3 \|. 6A 00 push 0 ; \|Attributes = 0 0041AEC5 \|. 6A 03 push 3 ; \|Mode = OPEN_EXISTING 0041AEC7 \|. 6A 00 push 0 ; \|pSecurity = NULL 0041AEC9 \|. 6A 03 push 3 ; \|ShareMode = FILE_SHARE_READ\|FILE_SHARE_WRITE 0041AECB \|. 8D4C24 20 lea ecx,dword ptr ss:[esp+20] ; \| 0041AECF \|. 68 00000080 push 80000000 ; \|Access = GENERIC_READ 0041AED4 \|. 51 push ecx ; \|FileName = "?G" 0041AED5 \|. FF15 54724700 call dword ptr ds:[<&kernel32.CreateFile>; \CreateFileA 0041AEDB \|. 8BE8 mov ebp,eax 0041AEDD \|. 83FD FF cmp ebp,-1 0041AEE0 \|. 75 0B jnz short unpacked.0041AEED 0041AEE2 \|. 5D pop ebp ; unpacked.00497078 0041AEE3 \|. 33C0 xor eax,eax 0041AEE5 \|. 5B pop ebx ; unpacked.00497078 0041AEE6 \|. 81C4 08010000 add esp,108 0041AEEC \|. C3 retn 0041AEED \|> 8D5424 08 lea edx,dword ptr ss:[esp+8] 0041AEF1 \|. 52 push edx ; /pFileSizeHigh = NULL 0041AEF2 \|. 55 push ebp ; \|hFile = NULL 0041AEF3 \|. FF15 C0734700 call dword ptr ds:[<&kernel32.GetFileSiz>; \GetFileSize 0041AEF9 \|. 8BD8 mov ebx,eax 0041AEFB \|. 83FB FF cmp ebx,-1 0041AEFE \|. 75 12 jnz short unpacked.0041AF12 0041AF00 \|. 55 push ebp ; /hObject = NULL 0041AF01 \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041AF07 \|. 5D pop ebp ; unpacked.00497078 0041AF08 \|. 33C0 xor eax,eax 0041AF0A \|. 5B pop ebx ; unpacked.00497078 0041AF0B \|. 81C4 08010000 add esp,108 0041AF11 \|. C3 retn 0041AF12 \|> 8B4424 08 mov eax,dword ptr ss:[esp+8] 0041AF16 \|. 56 push esi ; unpacked.00497078 0041AF17 \|. 85C0 test eax,eax 0041AF19 \|. 57 push edi 0041AF1A \|. 75 06 jnz short unpacked.0041AF22 0041AF1C \|. 8BFB mov edi,ebx 0041AF1E \|. 33F6 xor esi,esi ; unpacked.00497078 0041AF20 \|. EB 16 jmp short unpacked.0041AF38 0041AF22 \|> 6A 01 push 1 0041AF24 \|. 6A 00 push 0 0041AF26 \|. 6A 00 push 0 0041AF28 \|. 50 push eax 0041AF29 \|. E8 02420200 call unpacked.0043F130 0041AF2E \|. 8BF8 mov edi,eax 0041AF30 \|. 33C0 xor eax,eax 0041AF32 \|. 8BF2 mov esi,edx 0041AF34 \|. 03FB add edi,ebx 0041AF36 \|. 13F0 adc esi,eax 0041AF38 \|> 55 push ebp ; /hObject = NULL 0041AF39 \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041AF3F \|. 85F6 test esi,esi ; unpacked.00497078 0041AF41 \|. 7F 25 jg short unpacked.0041AF68 0041AF43 \|. 7C 08 jl short unpacked.0041AF4D 0041AF45 \|. 81FF 90230B00 cmp edi,0B2390 ; 自校验1 0041AF4B \|. 77 1B ja short unpacked.0041AF68 0041AF4D \|> 85F6 test esi,esi ; unpacked.00497078 0041AF4F \|. 7C 17 jl short unpacked.0041AF68 0041AF51 \|. 7F 08 jg short unpacked.0041AF5B 0041AF53 \|. 81FF F09C0900 cmp edi,99CF0 0041AF59 \|. 72 0D jb short unpacked.0041AF68 0041AF5B \|> 5F pop edi ; unpacked.00497078 0041AF5C \|. 5E pop esi ; unpacked.00497078 0041AF5D \|. 5D pop ebp ; unpacked.00497078 0041AF5E \|. 33C0 xor eax,eax 0041AF60 \|. 5B pop ebx ; unpacked.00497078 0041AF61 \|. 81C4 08010000 add esp,108 0041AF67 \|. C3 retn 0041AF80 /$ FF15 BC734700 call dword ptr ds:[<&kernel32.GetSystemD>; [GetSystemDefaultLangID 0041AF86 \|. 66:3D 0408 cmp ax,804 0041AF8A \|. 75 06 jnz short unpacked.0041AF92 ; 检测系统语言ID，如果这里不跳，则引起004225FE处的异常。 0041AF8C \|. B8 01000000 mov eax,1 0041AF91 \|. C3 retn 0041AF92 \|> 25 FF030000 and eax,3FF 0041AF97 \|. 33C9 xor ecx,ecx ; unpacked.00497078 0041AF99 \|. 83F8 19 cmp eax,19 0041AF9C \|. 0F94C1 sete cl 0041AF9F \|. 8BC1 mov eax,ecx ; unpacked.00497078 0041AFA1 \. C3 retn 另一出错处： 0041F920 . E8 0B010000 call unpacked.0041FA30 0041F925 . 85C0 test eax,eax 0041F927 . 74 04 je short unpacked.0041F92D 0041F929 . 33C0 xor eax,eax 0041F92B . FE00 inc byte ptr ds:[eax] 0041FA30 /$ 81EC 08010000 sub esp,108 0041FA36 \|. 8D4424 04 lea eax,dword ptr ss:[esp+4] 0041FA3A \|. 53 push ebx 0041FA3B \|. 55 push ebp 0041FA3C \|. 68 04010000 push 104 ; /BufSize = 104 (260.) 0041FA41 \|. 50 push eax ; \|PathBuffer = 00000060 0041FA42 \|. 6A 00 push 0 ; \|hModule = NULL 0041FA44 \|. FF15 E8724700 call dword ptr ds:[<&kernel32.GetModuleF>; \GetModuleFileNameA 0041FA4A \|. 6A 00 push 0 ; /hTemplateFile = NULL 0041FA4C \|. 6A 00 push 0 ; \|Attributes = 0 0041FA4E \|. 6A 03 push 3 ; \|Mode = OPEN_EXISTING 0041FA50 \|. 6A 00 push 0 ; \|pSecurity = NULL 0041FA52 \|. 6A 03 push 3 ; \|ShareMode = FILE_SHARE_READ\|FILE_SHARE_WRITE 0041FA54 \|. 8D4C24 20 lea ecx,dword ptr ss:[esp+20] ; \| 0041FA58 \|. 68 00000080 push 80000000 ; \|Access = GENERIC_READ 0041FA5D \|. 51 push ecx ; \|FileName = "?G" 0041FA5E \|. FF15 54724700 call dword ptr ds:[<&kernel32.CreateFile>; \CreateFileA 0041FA64 \|. 8BE8 mov ebp,eax 0041FA66 \|. 83FD FF cmp ebp,-1 0041FA69 \|. 75 0B jnz short unpacked.0041FA76 0041FA6B \|. 5D pop ebp ; unpacked.00497078 0041FA6C \|. 33C0 xor eax,eax 0041FA6E \|. 5B pop ebx ; unpacked.00497078 0041FA6F \|. 81C4 08010000 add esp,108 0041FA75 \|. C3 retn 0041FA76 \|> 8D5424 08 lea edx,dword ptr ss:[esp+8] 0041FA7A \|. 52 push edx ; /pFileSizeHigh = NULL 0041FA7B \|. 55 push ebp ; \|hFile = NULL 0041FA7C \|. FF15 C0734700 call dword ptr ds:[<&kernel32.GetFileSiz>; \GetFileSize 0041FA82 \|. 8BD8 mov ebx,eax 0041FA84 \|. 83FB FF cmp ebx,-1 0041FA87 \|. 75 12 jnz short unpacked.0041FA9B 0041FA89 \|. 55 push ebp ; /hObject = NULL 0041FA8A \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041FA90 \|. 5D pop ebp ; unpacked.00497078 0041FA91 \|. 33C0 xor eax,eax 0041FA93 \|. 5B pop ebx ; unpacked.00497078 0041FA94 \|. 81C4 08010000 add esp,108 0041FA9A \|. C3 retn 0041FA9B \|> 8B4424 08 mov eax,dword ptr ss:[esp+8] 0041FA9F \|. 56 push esi ; unpacked.00497078 0041FAA0 \|. 85C0 test eax,eax 0041FAA2 \|. 57 push edi 0041FAA3 \|. 75 06 jnz short unpacked.0041FAAB 0041FAA5 \|. 8BFB mov edi,ebx 0041FAA7 \|. 33F6 xor esi,esi ; unpacked.00497078 0041FAA9 \|. EB 16 jmp short unpacked.0041FAC1 0041FAAB \|> 6A 01 push 1 0041FAAD \|. 6A 00 push 0 0041FAAF \|. 6A 00 push 0 0041FAB1 \|. 50 push eax 0041FAB2 \|. E8 79F60100 call unpacked.0043F130 0041FAB7 \|. 8BF8 mov edi,eax 0041FAB9 \|. 33C0 xor eax,eax 0041FABB \|. 8BF2 mov esi,edx 0041FABD \|. 03FB add edi,ebx 0041FABF \|. 13F0 adc esi,eax 0041FAC1 \|> 55 push ebp ; /hObject = NULL 0041FAC2 \|. FF15 50724700 call dword ptr ds:[<&kernel32.CloseHandl>; \CloseHandle 0041FAC8 \|. 85F6 test esi,esi ; unpacked.00497078 0041FACA \|. 7F 25 jg short unpacked.0041FAF1 0041FACC \|. 7C 08 jl short unpacked.0041FAD6 0041FACE \|. 81FF 90230B00 cmp edi,0B2390 ; 自校验2 0041FAD4 \|. 77 1B ja short unpacked.0041FAF1 0041FAD6 \|> 85F6 test esi,esi ; unpacked.00497078 0041FAD8 \|. 7C 17 jl short unpacked.0041FAF1 0041FADA \|. 7F 08 jg short unpacked.0041FAE4 0041FADC \|. 81FF F09C0900 cmp edi,99CF0 0041FAE2 \|. 72 0D jb short unpacked.0041FAF1 0041FAE4 \|> 5F pop edi ; unpacked.00497078 0041FAE5 \|. 5E pop esi ; unpacked.00497078 0041FAE6 \|. 5D pop ebp ; unpacked.00497078 0041FAE7 \|. 33C0 xor eax,eax 0041FAE9 \|. 5B pop ebx ; unpacked.00497078 0041FAEA \|. 81C4 08010000 add esp,108 0041FAF0 \|. C3 retn 0041FAF1 \|> 5F pop edi ; unpacked.00497078 0041FAF2 \|. 5E pop esi ; unpacked.00497078 0041FAF3 \|. 5D pop ebp ; unpacked.00497078 0041FAF4 \|. B8 01000000 mov eax,1 0041FAF9 \|. 5B pop ebx ; unpacked.00497078 0041FAFA \|. 81C4 08010000 add esp,108 0041FB00 \. C3 retn 上面两个校验引起扫描时的异常。还有一个校验就是引起重启。 2004-12-24 14:49 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 49 楼修复时的异常： 0041DC70 . E8 EB240000 call unpacked.00420160 0041DC75 . 85C0 test eax,eax 0041DC77 . 74 05 je short unpacked.0041DC7E 0041DC79 . 83C8 FF or eax,FFFFFFFF 0041DC7C . FE00 inc byte ptr ds:[eax] ; 修复时出错 00420160 /$ A1 0C724900 mov eax,dword ptr ds:[49720C] 00420165 \|. 81EC 0C020000 sub esp,20C 0042016B \|. 85C0 test eax,eax 0042016D \|. 0F84 86000000 je unpacked.004201F9 00420173 \|. 8B0D 40A04700 mov ecx,dword ptr ds:[47A040] ; unpacked.0048F680 00420179 \|. 8D4424 04 lea eax,dword ptr ss:[esp+4] 0042017D \|. 50 push eax ; /pHandle = 0109FCF8 0042017E \|. 68 3F000F00 push 0F003F ; \|Access = KEY_ALL_ACCESS 00420183 \|. 6A 00 push 0 ; \|Reserved = 0 00420185 \|. 51 push ecx ; \|Subkey = "" 00420186 \|. 68 01000080 push 80000001 ; \|hKey = HKEY_CURRENT_USER 0042018B \|. C74424 18 000>mov dword ptr ss:[esp+18],0 ; \| 00420193 \|. FF15 08704700 call dword ptr ds:[<&advapi32.RegOpenKey>; \RegOpenKeyExA 00420199 \|. 85C0 test eax,eax 0042019B \|. 75 5C jnz short unpacked.004201F9 0042019D \|. 56 push esi 0042019E \|. 8B7424 08 mov esi,dword ptr ss:[esp+8] 004201A2 \|. 894424 0C mov dword ptr ss:[esp+C],eax 004201A6 \|. 8D5424 04 lea edx,dword ptr ss:[esp+4] 004201AA \|. 57 push edi 004201AB \|. 8D4424 14 lea eax,dword ptr ss:[esp+14] 004201AF \|. 52 push edx ; /pBufSize = 0109FCEC 004201B0 \|. 8D4C24 14 lea ecx,dword ptr ss:[esp+14] ; \| 004201B4 \|. 50 push eax ; \|Buffer = 0109FCF8 004201B5 \|. 51 push ecx ; \|pValueType = 0109FCF4 004201B6 \|. 6A 00 push 0 ; \|Reserved = NULL 004201B8 \|. 68 20F74800 push unpacked.0048F720 ; \|ValueName = "Key"这里检测有没有Key! 004201BD \|. 56 push esi ; \|hKey = AC 004201BE \|. C74424 20 000>mov dword ptr ss:[esp+20],200 ; \| 004201C6 \|. FF15 04704700 call dword ptr ds:[<&advapi32.RegQueryVa>; \RegQueryValueExA 004201CC \|. 85C0 test eax,eax 004201CE \|. 75 0E jnz short unpacked.004201DE 004201D0 \|. 817C24 08 AA0>cmp dword ptr ss:[esp+8],0AA 004201D8 \|. 1BFF sbb edi,edi 004201DA \|. F7DF neg edi 004201DC \|. EB 05 jmp short unpacked.004201E3 004201DE \|> BF 01000000 mov edi,1 004201E3 \|> 85F6 test esi,esi 004201E5 \|. 74 07 je short unpacked.004201EE 004201E7 \|. 56 push esi ; /hKey = 000000AC (window) 004201E8 \|. FF15 44704700 call dword ptr ds:[<&advapi32.RegCloseKe>; \RegCloseKey 004201EE \|> 8BC7 mov eax,edi 004201F0 \|. 5F pop edi 004201F1 \|. 5E pop esi 004201F2 \|. 81C4 0C020000 add esp,20C 004201F8 \|. C3 retn 004201F9 \|> 33C0 xor eax,eax 004201FB \|. 81C4 0C020000 add esp,20C 00420201 \. C3 retn 2004-12-24 14:56 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 50 楼学习先！！！ 2004-12-24 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复