ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (58) ◀ 1 2 3
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 51 楼 temerata 比较用功 :D 2004-12-24 15:15 0
深海游侠雪币： 300 活跃值： (521) 能力值： ( LV9，RANK：410 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	深海游侠 10 52 楼学习中。。 2004-12-24 20:14 0
romanbo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	romanbo 53 楼最初由 fly 发布 PEiD不是100％准确的 fly大哥，能总结一下怎么区分用ASProtect的各个版本加过壳的软件么？ 2005-1-5 16:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 54 楼论坛里有人简单总结过等精华六出来可以查看 BTW：很难100%确定壳版本号，大体了解就行了 2005-1-5 16:46 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 55 楼不好意思大家见笑了因为遇到了一个2.0的所以就想来学习一下上网下了一个虽然已经更新版本了但是脱壳还是一样的按照fly大侠的文章走了十几遍(水平太低了呵呵只好一遍一遍地走了) 学习感受了一下有几个问题想问一下大家 1."把EAX的值修改为GetProcAddress的地址，WinXP下这个地址是77E5A5FD" 我的是ds:[0163B278]=77E6D2D3 (kernel32.GetProcAddress) 是不是XP的版本不一样这个数值就不一样呢? 2."三、、Pre-Dip：用你自己的名字注册" fly大侠写的这一部分我还是不懂 "硬盘指纹"是什么? 为什么和它有关呢? ============================= 00418E50 8B4424 04 mov eax,dword ptr ss:[esp+4] 00418E54 A3 A8604900 mov dword ptr ds:[4960A8],eax //EAX=00A239BD 保存注册名的地方 ★ ============================= 我下的这个版本有两处[esp+4],[esp+8](只修改一处会异常) 我都改了结果得到一个未注册版本(只是试用期超乎想象的长) 3."修改OEP＝0003EFE8、RVA=00076000、Size=0000083C，获取输入表" 我是自动获得的 Size=00000864 <=======这样获取得输入表有一段无法解析按照文章中的 Size=0000083C <=======全部有用这个值是怎么得到的呢?也是需要看IAT时自己算吗? 4.因为是未注册版本需要小修一下在字符参考中搜索"licensed" ；看代码..... 回找 00402A46 . A1 0C724900 mov eax, dword ptr ds:[49720C] <==X 00402A4B . 85C0 test eax, eax 00402A4D . 0F84 73010000 je RegClean.00402BC6 00402A53 . 68 14724900 push RegClean.00497214 00402A58 . 8D4424 10 lea eax, dword ptr ss:[esp+10] 00402A5C . 68 54F74800 push RegClean.0048F754 ; ASCII "This product is licensed to: " -------- 在转存中跟随地址.......然后查找参考....... 找到一个赋值的语句 004193B6 \|. 33C9 xor ecx, ecx <===就改这里了 004193B8 \|. 8B15 AC0C4900 mov edx, dword ptr ds:[490CAC] 004193BE \|. 85C0 test eax, eax 004193C0 \|. A1 A80C4900 mov eax, dword ptr ds:[490CA8] 004193C5 \|. 8915 18724900 mov dword ptr ds:[497218], edx 004193CB \|. 0F9FC1 setg cl 004193CE \|. 890D 0C724900 mov dword ptr ds:[49720C], ecx <===X 33C9==>8BC9 改了后是注册版就是没说注册给谁了 555555555 先不管了我只要感受一下脱壳就好了也希望大家能给我一些指点再次感谢fly大侠的好文章 2005-2-20 21:20 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 56 楼没看过新版本，某些地方猜测一下，可能有误 1、GetProcAddress地址以你的系统为准，你可以 G GetProcAddress看看 2、硬盘指纹是Aspr取的硬件信息，相当于机器码 3、Pre-Dip的地方可能没找到 4、Size可以自己简单计算一下 5、注意这个软件的暗桩 2005-2-21 10:09 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 57 楼了解谢谢另外一个问题在看另一个asp2加的程序时出现如图提示会不会是调试器被检测到了的原因？直接F9就没事中断了就过不去了唉还是一窍不通的说~~~~~~~~~~~ 2005-2-26 22:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 58 楼你这个提示我没有遇到过 ASProtect的反跟踪不是太强，设置好od一般没问题的 2005-2-27 19:24 0
1397666 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	1397666 59 楼努力学习中希望可以慢慢明白谢谢楼主分享谢谢 2005-2-27 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (58) ◀ 1 2 3
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 51 楼 temerata 比较用功 :D 2004-12-24 15:15 0
深海游侠雪币： 300 活跃值： (521) 能力值： ( LV9，RANK：410 ) 在线值：发帖 12 回帖 77 粉丝 0 关注私信	深海游侠 10 52 楼学习中。。 2004-12-24 20:14 0
romanbo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	romanbo 53 楼最初由 fly 发布 PEiD不是100％准确的 fly大哥，能总结一下怎么区分用ASProtect的各个版本加过壳的软件么？ 2005-1-5 16:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 54 楼论坛里有人简单总结过等精华六出来可以查看 BTW：很难100%确定壳版本号，大体了解就行了 2005-1-5 16:46 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 55 楼不好意思大家见笑了因为遇到了一个2.0的所以就想来学习一下上网下了一个虽然已经更新版本了但是脱壳还是一样的按照fly大侠的文章走了十几遍(水平太低了呵呵只好一遍一遍地走了) 学习感受了一下有几个问题想问一下大家 1."把EAX的值修改为GetProcAddress的地址，WinXP下这个地址是77E5A5FD" 我的是ds:[0163B278]=77E6D2D3 (kernel32.GetProcAddress) 是不是XP的版本不一样这个数值就不一样呢? 2."三、、Pre-Dip：用你自己的名字注册" fly大侠写的这一部分我还是不懂 "硬盘指纹"是什么? 为什么和它有关呢? ============================= 00418E50 8B4424 04 mov eax,dword ptr ss:[esp+4] 00418E54 A3 A8604900 mov dword ptr ds:[4960A8],eax //EAX=00A239BD 保存注册名的地方 ★ ============================= 我下的这个版本有两处[esp+4],[esp+8](只修改一处会异常) 我都改了结果得到一个未注册版本(只是试用期超乎想象的长) 3."修改OEP＝0003EFE8、RVA=00076000、Size=0000083C，获取输入表" 我是自动获得的 Size=00000864 <=======这样获取得输入表有一段无法解析按照文章中的 Size=0000083C <=======全部有用这个值是怎么得到的呢?也是需要看IAT时自己算吗? 4.因为是未注册版本需要小修一下在字符参考中搜索"licensed" ；看代码..... 回找 00402A46 . A1 0C724900 mov eax, dword ptr ds:[49720C] <==X 00402A4B . 85C0 test eax, eax 00402A4D . 0F84 73010000 je RegClean.00402BC6 00402A53 . 68 14724900 push RegClean.00497214 00402A58 . 8D4424 10 lea eax, dword ptr ss:[esp+10] 00402A5C . 68 54F74800 push RegClean.0048F754 ; ASCII "This product is licensed to: " -------- 在转存中跟随地址.......然后查找参考....... 找到一个赋值的语句 004193B6 \|. 33C9 xor ecx, ecx <===就改这里了 004193B8 \|. 8B15 AC0C4900 mov edx, dword ptr ds:[490CAC] 004193BE \|. 85C0 test eax, eax 004193C0 \|. A1 A80C4900 mov eax, dword ptr ds:[490CA8] 004193C5 \|. 8915 18724900 mov dword ptr ds:[497218], edx 004193CB \|. 0F9FC1 setg cl 004193CE \|. 890D 0C724900 mov dword ptr ds:[49720C], ecx <===X 33C9==>8BC9 改了后是注册版就是没说注册给谁了 555555555 先不管了我只要感受一下脱壳就好了也希望大家能给我一些指点再次感谢fly大侠的好文章 2005-2-20 21:20 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 56 楼没看过新版本，某些地方猜测一下，可能有误 1、GetProcAddress地址以你的系统为准，你可以 G GetProcAddress看看 2、硬盘指纹是Aspr取的硬件信息，相当于机器码 3、Pre-Dip的地方可能没找到 4、Size可以自己简单计算一下 5、注意这个软件的暗桩 2005-2-21 10:09 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 57 楼了解谢谢另外一个问题在看另一个asp2加的程序时出现如图提示会不会是调试器被检测到了的原因？直接F9就没事中断了就过不去了唉还是一窍不通的说~~~~~~~~~~~ 2005-2-26 22:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 58 楼你这个提示我没有遇到过 ASProtect的反跟踪不是太强，设置好od一般没问题的 2005-2-27 19:24 0
1397666 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	1397666 59 楼努力学习中希望可以慢慢明白谢谢楼主分享谢谢 2005-2-27 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复