首页
社区
课程
招聘
[求助]ASPack 2.12 -> Alexey Solodovnikov [Overlay]变形壳?
发表于: 2007-7-22 23:49 9833

[求助]ASPack 2.12 -> Alexey Solodovnikov [Overlay]变形壳?

2007-7-22 23:49
9833
ASPack 2.12 -> Alexey Solodovnikov [Overlay]
  peid查出来的,用所有的aspck脱壳工具都不行,估计是个变形壳
请大虾们指教一下
    然后是这样的:首先载入od,
0057C001 >  60              pushad       \\停在这里
0057C002    E8 03000000     call    0057C00A   \\这里是f7进去
0057C007  - E9 EB045D45     jmp     45B4C4F7
0057C00C    55              push    ebp
0057C00D    C3              retn
0057C00E    E8 01000000     call    0057C014
0057C013    EB 5D           jmp     short 0057C072
0057C015    BB EDFFFFFF     mov     ebx, -13
0057C01A    03DD            add     ebx, ebp
0057C01C    81EB 00C01700   sub     ebx, 17C000
.
.
.
f7进来之后就是:
0057C00A    5D              pop     ebp                              
0057C00B    45              inc     ebp
0057C00C    55              push    ebp
0057C00D    C3              retn                  \\进入下一步
0057C00E    E8 01000000     call    0057C014
0057C013    EB 5D           jmp     short 0057C072
0057C015    BB EDFFFFFF     mov     ebx, -13
0057C01A    03DD            add     ebx, ebp
0057C01C    81EB 00C01700   sub     ebx, 17C000
.
.
.
单步f8 在retn 处,到达:
0057C008   /EB 04           jmp     short 0057C00E  \\跳转实现
0057C00A   |5D              pop     ebp
0057C00B   |45              inc     ebp
0057C00C   |55              push    ebp
0057C00D   |C3              retn
0057C00E   \E8 01000000     call    0057C014  \\ 这里的call不得不进去,不然就飞了
0057C013    EB 5D           jmp     short 0057C072
0057C015    BB EDFFFFFF     mov     ebx, -13
0057C01A    03DD            add     ebx, ebp
.
.
.
然后就到这里了:
0057C014    5D              pop     ebp
0057C015    BB EDFFFFFF     mov     ebx, -13
0057C01A    03DD            add     ebx, ebp
0057C01C    81EB 00C01700   sub     ebx, 17C000
0057C022    807D 4D 01      cmp     byte ptr [ebp+4D], 1
0057C026    75 0C           jnz     short 0057C034
0057C028    8B7424 28       mov     esi, dword ptr [esp+28]
0057C02C    83FE 01         cmp     esi, 1
0057C02F    895D 4E         mov     dword ptr [ebp+4E], ebx
0057C032    75 31           jnz     short 0057C065
0057C034    8D45 53         lea     eax, dword ptr [ebp+53]
0057C037    50              push    eax
0057C038    53              push    ebx
0057C039    FFB5 F1090000   push    dword ptr [ebp+9F1]
0057C03F    8D45 35         lea     eax, dword ptr [ebp+35]
0057C042    50              push    eax
0057C043    E9 82000000     jmp     0057C0CA  \\这里就跳了

跳到这里:
0057C0CA   /E9 06000000     jmp     0057C0D5  \\这里又跳
0057C0CF   |06              push    es
0057C0D0   |C7              ???                                      ; 未知命令
0057C0D1   |F4              hlt
0057C0D2   |1D 9263E805     sbb     eax, 5E86392
0057C0D7    0000            add     byte ptr [eax], al
0057C0D9    0019            add     byte ptr [ecx], bl
0057C0DB    DEBF 8CD5E90D   fidivr  word ptr [edi+DE9D58C]
0057C0E1    0000            add     byte ptr [eax], al

之后就到这里:
0057C0D5    E8 05000000     call    0057C0DF  \\这里的call 就飞了,
0057C0DA    19DE            sbb     esi, ebx
0057C0DC    BF 8CD5E90D     mov     edi, 0DE9D58C
0057C0E1    0000            add     byte ptr [eax], al
0057C0E3    0051 B6         add     byte ptr [ecx-4A], dl
0057C0E6    B7 24           mov     bh, 24
0057C0E8    8D42 53         lea     eax, dword ptr [edx+53]
0057C0EB    90              nop
0057C0EC    898E AFBC455A   mov     dword ptr [esi+5A45BCAF], ecx
0057C0F2    66:81E9 6691    sub     cx, 9166
0057C0F7    81C2 EB080000   add     edx, 8EB
0057C0FD    0F8C 04000000   jl      0057C107

.
.
然后总是到这里:

7C92EAF0    8B1C24          mov     ebx, dword ptr [esp]
7C92EAF3    51              push    ecx
7C92EAF4    53              push    ebx
7C92EAF5    E8 C78C0200     call    7C9577C1
7C92EAFA    0AC0            or      al, al
7C92EAFC    74 0C           je      short 7C92EB0A
7C92EAFE    5B              pop     ebx
7C92EAFF    59              pop     ecx
7C92EB00    6A 00           push    0
7C92EB02    51              push    ecx
7C92EB03    E8 11EBFFFF     call    ZwContinue
7C92EB08    EB 0B           jmp     short 7C92EB15

不管是查找popad或者什么方式都要到:

7C92EAF0    8B1C24          mov     ebx, dword ptr [esp]
7C92EAF3    51              push    ecx
7C92EAF4    53              push    ebx
7C92EAF5    E8 C78C0200     call    7C9577C1
7C92EAFA    0AC0            or      al, al
7C92EAFC    74 0C           je      short 7C92EB0A
7C92EAFE    5B              pop     ebx
7C92EAFF    59              pop     ecx
7C92EB00    6A 00           push    0
7C92EB02    51              push    ecx
7C92EB03    E8 11EBFFFF     call    ZwContinue
7C92EB08    EB 0B           jmp     short 7C92EB15

然后就提示说检测到调试工具,程序结束

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ASP记得是有多态的……好像精华里有,查查资料吧……我也太
2007-7-23 08:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最好把程序放上来
2007-7-23 08:58
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我今天又用Stripper 2.07ht脱了一下,
   发现壳还在,但是附加数据没有了,程序可以正常运行,载入od反调试的功能它也在,似乎一切都一样,脱没脱似乎都一样
2007-7-23 10:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我现在也是遇到aspack壳的问题,就是解不出来,奇怪啊
2007-7-23 10:58
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我经常碰见aspack的,但是这个不同,但是确实是aspack加的壳,很有特征的.但是它和一般的就是不一样,有个循环,始终跳不出去
2007-7-26 18:57
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
双层? esp定律试试

双层aspack需要两次esp定律
2007-7-27 13:37
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
8
传程序吧,信息量太少了
2007-7-27 13:43
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
esp 我以前就尝试了,它简直不给我机会,下了断,一运行就提示检测到调试工具.
             根本断不下来,程序上传有点困难,麻烦大家给想个办法,对付程序反调试的功能
2007-7-27 15:02
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我在论坛里反复寻找,终于找到和我一样的问题的朋友的帖子,但是没有一个被解决,一个朋友发的有出错提示图片,大家可以看看,希望有人可以解决.

http://bbs.pediy.com/upload/2006/4/image/snap1.jpg_529.jpg
2007-7-27 15:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
esp定律直接应该可以的吧?
我遇好几个aspack都是直接esp脱掉的
2007-7-27 23:08
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
文件给我们吧,这样才好弄
2007-8-5 02:10
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
13
Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]

你有没有搞错???
2007-8-5 02:14
0
游客
登录 | 注册 方可回帖
返回
//