[求助]ASPack 2.12 -> Alexey Solodovnikov [Overlay]变形壳?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]ASPack 2.12 -> Alexey Solodovnikov [Overlay]变形壳?

发表于: 2007-7-22 23:49 9732

[求助]ASPack 2.12 -> Alexey Solodovnikov [Overlay]变形壳?

foopo

2007-7-22 23:49

9732

ASPack 2.12 -> Alexey Solodovnikov [Overlay]
  peid查出来的,用所有的aspck脱壳工具都不行,估计是个变形壳
请大虾们指教一下
然后是这样的:首先载入od,
0057C001 >  60             pushad    \\停在这里
0057C002 E8 03000000    call 0057C00A \\这里是f7进去
0057C007  - E9 EB045D45    jmp    45B4C4F7
0057C00C 55             push ebp
0057C00D C3             retn
0057C00E E8 01000000    call 0057C014
0057C013 EB 5D          jmp    short 0057C072
0057C015 BB EDFFFFFF    mov    ebx, -13
0057C01A 03DD          add    ebx, ebp
0057C01C 81EB 00C01700 sub    ebx, 17C000
.
.
.
f7进来之后就是:
0057C00A 5D             pop    ebp
0057C00B 45             inc    ebp
0057C00C 55             push ebp
0057C00D C3             retn                \\进入下一步
0057C00E E8 01000000    call 0057C014
0057C013 EB 5D          jmp    short 0057C072
0057C015 BB EDFFFFFF    mov    ebx, -13
0057C01A 03DD          add    ebx, ebp
0057C01C 81EB 00C01700 sub    ebx, 17C000
.
.
.
单步f8 在retn 处,到达:
0057C008 /EB 04          jmp    short 0057C00E  \\跳转实现
0057C00A |5D             pop    ebp
0057C00B |45             inc    ebp
0057C00C |55             push ebp
0057C00D |C3             retn
0057C00E \E8 01000000    call 0057C014  \\ 这里的call不得不进去,不然就飞了
0057C013 EB 5D          jmp    short 0057C072
0057C015 BB EDFFFFFF    mov    ebx, -13
0057C01A 03DD          add    ebx, ebp
.
.
.
然后就到这里了:
0057C014 5D             pop    ebp
0057C015 BB EDFFFFFF    mov    ebx, -13
0057C01A 03DD          add    ebx, ebp
0057C01C 81EB 00C01700 sub    ebx, 17C000
0057C022 807D 4D 01    cmp    byte ptr [ebp+4D], 1
0057C026 75 0C          jnz    short 0057C034
0057C028 8B7424 28    mov    esi, dword ptr [esp+28]
0057C02C 83FE 01       cmp    esi, 1
0057C02F 895D 4E       mov    dword ptr [ebp+4E], ebx
0057C032 75 31          jnz    short 0057C065
0057C034 8D45 53       lea    eax, dword ptr [ebp+53]
0057C037 50             push eax
0057C038 53             push ebx
0057C039 FFB5 F1090000 push dword ptr [ebp+9F1]
0057C03F 8D45 35       lea    eax, dword ptr [ebp+35]
0057C042 50             push eax
0057C043 E9 82000000    jmp    0057C0CA  \\这里就跳了

跳到这里:
0057C0CA /E9 06000000    jmp    0057C0D5  \\这里又跳
0057C0CF |06             push es
0057C0D0 |C7             ???                                     ; 未知命令
0057C0D1 |F4             hlt
0057C0D2 |1D 9263E805    sbb    eax, 5E86392
0057C0D7 0000          add    byte ptr [eax], al
0057C0D9 0019          add    byte ptr [ecx], bl
0057C0DB DEBF 8CD5E90D fidivr  word ptr [edi+DE9D58C]
0057C0E1 0000          add    byte ptr [eax], al

之后就到这里:
0057C0D5 E8 05000000    call 0057C0DF  \\这里的call 就飞了,
0057C0DA 19DE          sbb    esi, ebx
0057C0DC BF 8CD5E90D    mov    edi, 0DE9D58C
0057C0E1 0000          add    byte ptr [eax], al
0057C0E3 0051 B6       add    byte ptr [ecx-4A], dl
0057C0E6 B7 24          mov    bh, 24
0057C0E8 8D42 53       lea    eax, dword ptr [edx+53]
0057C0EB 90             nop
0057C0EC 898E AFBC455A mov    dword ptr [esi+5A45BCAF], ecx
0057C0F2 66:81E9 6691 sub    cx, 9166
0057C0F7 81C2 EB080000 add    edx, 8EB
0057C0FD 0F8C 04000000 jl    0057C107

.
.
然后总是到这里:

7C92EAF0 8B1C24       mov    ebx, dword ptr [esp]
7C92EAF3 51             push ecx
7C92EAF4 53             push ebx
7C92EAF5 E8 C78C0200    call 7C9577C1
7C92EAFA 0AC0          or    al, al
7C92EAFC 74 0C          je    short 7C92EB0A
7C92EAFE 5B             pop    ebx
7C92EAFF 59             pop    ecx
7C92EB00 6A 00          push 0
7C92EB02 51             push ecx
7C92EB03 E8 11EBFFFF    call ZwContinue
7C92EB08 EB 0B          jmp    short 7C92EB15

不管是查找popad或者什么方式都要到:

7C92EAF0 8B1C24       mov    ebx, dword ptr [esp]
7C92EAF3 51             push ecx
7C92EAF4 53             push ebx
7C92EAF5 E8 C78C0200    call 7C9577C1
7C92EAFA 0AC0          or    al, al
7C92EAFC 74 0C          je    short 7C92EB0A
7C92EAFE 5B             pop    ebx
7C92EAFF 59             pop    ecx
7C92EB00 6A 00          push 0
7C92EB02 51             push ecx
7C92EB03 E8 11EBFFFF    call ZwContinue
7C92EB08 EB 0B          jmp    short 7C92EB15

然后就提示说检测到调试工具,程序结束

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (12)
新手向导雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	新手向导 2 楼 ASP记得是有多态的……好像精华里有，查查资料吧……我也太菜了 2007-7-23 08:44 0
sypdang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	sypdang 3 楼最好把程序放上来 2007-7-23 08:58 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 4 楼我今天又用Stripper 2.07ht脱了一下, 发现壳还在,但是附加数据没有了,程序可以正常运行,载入od反调试的功能它也在,似乎一切都一样,脱没脱似乎都一样 2007-7-23 10:43 0
gotobt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 43 粉丝 0 关注私信	gotobt 5 楼我现在也是遇到aspack壳的问题，就是解不出来，奇怪啊 2007-7-23 10:58 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 6 楼我经常碰见aspack的,但是这个不同,但是确实是aspack加的壳,很有特征的.但是它和一般的就是不一样,有个循环,始终跳不出去 2007-7-26 18:57 0
壹群老虎雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 82 粉丝 0 关注私信	壹群老虎 7 楼双层？ esp定律试试双层aspack需要两次esp定律 2007-7-27 13:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼传程序吧,信息量太少了 2007-7-27 13:43 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 9 楼 esp 我以前就尝试了,它简直不给我机会,下了断,一运行就提示检测到调试工具. 根本断不下来,程序上传有点困难,麻烦大家给想个办法,对付程序反调试的功能 2007-7-27 15:02 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 10 楼我在论坛里反复寻找,终于找到和我一样的问题的朋友的帖子,但是没有一个被解决,一个朋友发的有出错提示图片,大家可以看看,希望有人可以解决. http://bbs.pediy.com/upload/2006/4/image/snap1.jpg_529.jpg 2007-7-27 15:32 0
cnhacks 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	cnhacks 11 楼 esp定律直接应该可以的吧? 我遇好几个aspack都是直接esp脱掉的 2007-7-27 23:08 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 12 楼文件给我们吧，这样才好弄 2007-8-5 02:10 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 13 楼 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 你有没有搞错？？？ 2007-8-5 02:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

foopo

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
新手向导雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	新手向导 2 楼 ASP记得是有多态的……好像精华里有，查查资料吧……我也太菜了 2007-7-23 08:44 0
sypdang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	sypdang 3 楼最好把程序放上来 2007-7-23 08:58 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 4 楼我今天又用Stripper 2.07ht脱了一下, 发现壳还在,但是附加数据没有了,程序可以正常运行,载入od反调试的功能它也在,似乎一切都一样,脱没脱似乎都一样 2007-7-23 10:43 0
gotobt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 43 粉丝 0 关注私信	gotobt 5 楼我现在也是遇到aspack壳的问题，就是解不出来，奇怪啊 2007-7-23 10:58 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 6 楼我经常碰见aspack的,但是这个不同,但是确实是aspack加的壳,很有特征的.但是它和一般的就是不一样,有个循环,始终跳不出去 2007-7-26 18:57 0
壹群老虎雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 82 粉丝 0 关注私信	壹群老虎 7 楼双层？ esp定律试试双层aspack需要两次esp定律 2007-7-27 13:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼传程序吧,信息量太少了 2007-7-27 13:43 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 9 楼 esp 我以前就尝试了,它简直不给我机会,下了断,一运行就提示检测到调试工具. 根本断不下来,程序上传有点困难,麻烦大家给想个办法,对付程序反调试的功能 2007-7-27 15:02 0
foopo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	foopo 10 楼我在论坛里反复寻找,终于找到和我一样的问题的朋友的帖子,但是没有一个被解决,一个朋友发的有出错提示图片,大家可以看看,希望有人可以解决. http://bbs.pediy.com/upload/2006/4/image/snap1.jpg_529.jpg 2007-7-27 15:32 0
cnhacks 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	cnhacks 11 楼 esp定律直接应该可以的吧? 我遇好几个aspack都是直接esp脱掉的 2007-7-27 23:08 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 12 楼文件给我们吧，这样才好弄 2007-8-5 02:10 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 13 楼 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 你有没有搞错？？？ 2007-8-5 02:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复