[求助]脱ASProtect壳遇到了问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
傅辉哦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	傅辉哦 2 楼程序地址 http://www.xiayou.net/jiang.rar 2007-8-13 23:06 0
傅辉哦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	傅辉哦 3 楼在BBS里发了好久都没人理，是不是因为老壳，大家都没兴趣还是，要给钱才有人出面？？？现在的世道真是什么都讲钱，唉，有没高手帮帮手指点一，二软件壳用PEID V0.94 查出壳的版本 ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov 我就按着教程走，终于学会了找入口，现在直接用脚本，来到 017839EC 3100 XOR DWORD PTR DS:[EAX],EAX 017839EE 64:8F05 0000000>POP DWORD PTR FS:[0] 017839F5 58 POP EAX 017839F6 833D B07E7801 0>CMP DWORD PTR DS:[1787EB0],0 017839FD 74 14 JE SHORT 01783A13 017839FF 6A 0C PUSH 0C 01783A01 B9 B07E7801 MOV ECX,1787EB0 01783A06 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 01783A09 BA 04000000 MOV EDX,4 01783A0E E8 2DD1FFFF CALL 01780B40 01783A13 FF75 FC PUSH DWORD PTR SS:[EBP-4] 01783A16 FF75 F8 PUSH DWORD PTR SS:[EBP-8] 01783A19 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 01783A1C 8338 00 CMP DWORD PTR DS:[EAX],0 01783A1F 74 02 JE SHORT 01783A23 01783A21 FF30 PUSH DWORD PTR DS:[EAX] 01783A23 FF75 F0 PUSH DWORD PTR SS:[EBP-10] 01783A26 FF75 EC PUSH DWORD PTR SS:[EBP-14] 01783A29 C3 RETN // 此处下断 01783A2A 5F POP EDI 01783A2B 5E POP ESI 01783A2C 5B POP EBX 01783A2D 8BE5 MOV ESP,EBP 01783A2F 5D POP EBP C3 处 F2下断 SHIFT +Ｆ９　取消F2断在堆处 0012FF68 0012FFA4 下硬件断点 hr 12FF68 SHIFT + F9 取消硬件断点来到 01795BD2 /EB 44 JMP SHORT 01795C18 01795BD4 \|EB 01 JMP SHORT 01795BD7 01795BD6 \|9A 51579CFC BF0>CALL FAR 00BF:FC9C5751 ; Far call 01795BDD \|0000 ADD BYTE PTR DS:[EAX],AL 01795BDF \|00B9 00000000 ADD BYTE PTR DS:[ECX],BH 01795BE5 \|F3:AA REP STOS BYTE PTR ES:[EDI] 01795BE7 \|9D POPFD 01795BE8 \|5F POP EDI 01795BE9 \|59 POP ECX 01795BEA \|C3 RETN 01795BEB \|55 PUSH EBP 01795BEC \|8BEC MOV EBP,ESP 01795BEE \|53 PUSH EBX 01795BEF \|56 PUSH ESI 01795BF0 \|8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 01795BF3 \|8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 01795BF6 \|EB 11 JMP SHORT 01795C09 01795BF8 \|0FB703 MOVZX EAX,WORD PTR DS:[EBX] 01795BFB \|03C6 ADD EAX,ESI 01795BFD \|83C3 02 ADD EBX,2 01795C00 \|8BD0 MOV EDX,EAX 01795C02 \|8BC6 MOV EAX,ESI 01795C04 \|E8 0C000000 CALL 01795C15 01795C09 \|66:833B 00 CMP WORD PTR DS:[EBX],0 01795C0D ^\|75 E9 JNZ SHORT 01795BF8 01795C0F \|5E POP ESI 01795C10 \|5B POP EBX 01795C11 \|5D POP EBP 01795C12 \|C2 0800 RETN 8 01795C15 \|0102 ADD DWORD PTR DS:[EDX],EAX 01795C17 \|C3 RETN 01795C18 \03C3 ADD EAX,EBX 01795C1A BB 43030000 MOV EBX,343 F7 运行 01795C18 03C3 ADD EAX,EBX ; JiangHu.00400000 01795C1A BB 43030000 MOV EBX,343 01795C1F 0BDB OR EBX,EBX 01795C21 75 07 JNZ SHORT 01795C2A 01795C23 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 01795C27 61 POPAD 01795C28 50 PUSH EAX 来到了入口点,F7 走 01795BEB 55 PUSH EBP 01795BEC 8BEC MOV EBP,ESP 01795BEE 53 PUSH EBX 01795BEF 56 PUSH ESI 01795BF0 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 01795BF3 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 01795BF6 EB 11 JMP SHORT 01795C09 01795BF8 0FB703 MOVZX EAX,WORD PTR DS:[EBX] VC code 代码出来了 F7直到跳转问题就在这里,找到了抽取的代码,可是怎么找真OEP,写入? 01795FB9 68 D45B7901 PUSH 1795BD4 01795FBE C3 RETN 01795FBF 0000 ADD BYTE PTR DS:[EAX],AL 01795FC1 0000 ADD BYTE PTR DS:[EAX],AL 01795FC3 0000 ADD BYTE PTR DS:[EAX],AL 01795FC5 0000 ADD BYTE PTR DS:[EAX],AL 01795FC7 0000 ADD BYTE PTR DS:[EAX],AL 01795FC9 0000 ADD BYTE PTR DS:[EAX],AL 01795FCB 0000 ADD BYTE PTR DS:[EAX],AL 01795FCD 0000 ADD BYTE PTR DS:[EAX],AL 01795FCF 0000 ADD BYTE PTR DS:[EAX],AL 01795FD1 0000 ADD BYTE PTR DS:[EAX],AL 01795FD3 0000 ADD BYTE PTR DS:[EAX],AL 01795FD5 0000 ADD BYTE PTR DS:[EAX],AL 01795FD7 0000 ADD BYTE PTR DS:[EAX],AL ......//有2000多行哦 01795FD7 0000 ADD BYTE PTR DS:[EAX],AL 用F8 走中途遇到 00516E3C 59 POP ECX 00516E3D 59 POP ECX 00516E3E C3 RETN 00516E3F 0000 ADD BYTE PTR DS:[EAX],AL 00516E41 0000 ADD BYTE PTR DS:[EAX],AL 00516E43 0000 ADD BYTE PTR DS:[EAX],AL 00516E45 00E8 ADD AL,CH 00516E47 6935 0000BF94 0>IMUL ESI,DWORD PTR DS:[94BF0000],8B00000> 是不是要补这里? 程序地址 http://www.xiayou.net/jianghu.rar 请问是不是要用什么工具修复再修补,还是? 看了些教程都没遇到这样的哦 2007-8-14 14:01 0
失落的剑雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 87 粉丝 0 关注私信	失落的剑 4 楼哎，兄弟你看开吧，我在论坛里喊了两天了，就问一下壳的角本，都没人告诉，现在可真是金钱社会啊 2007-8-14 14:53 0
傅辉哦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	傅辉哦 5 楼我为学开这个，BBS没人说，反倒QQ有人加，有个牛人开价300RMB，有个还好50，唉 2007-8-14 16:31 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 6 楼首先你要搞懂什么是stolen code 一般都是stolen oep 找到oep处然后根据对比看是什么语言写的然后根据对照补上oep 至于这个方法可以参照论坛上的文章(我也只能用这个菜方法了至于如何找oep那是以后的活) 不知道有没说错只供参考了 2007-8-14 17:56 0
失落的剑雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 87 粉丝 0 关注私信	失落的剑 7 楼学这个最好还是找专业的网站吧，那里还有视频，好像也不贵，一年才100，我如果有时间我也学了，听我朋友说不错的，你有机会查一下哪个教学网站好 2007-8-14 20:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

傅辉哦

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

8

粉丝

0

关注

私信

傅辉哦: 2 楼

程序地址 http://www.xiayou.net/jiang.rar

2007-8-13 23:06

0

傅辉哦

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

8

粉丝

0

关注

私信

傅辉哦: 3 楼

在BBS里发了好久都没人理，是不是因为老壳，大家都没兴趣还是，要给钱才有人出面？？？现在的世道真是什么都讲钱，唉，有没高手帮帮手指点一，二

软件壳用PEID V0.94 查出壳的版本 ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov

我就按着教程走，终于学会了找入口，现在直接用脚本，来到

017839EC 3100          XOR DWORD PTR DS:[EAX],EAX
017839EE 64:8F05 0000000>POP DWORD PTR FS:[0]
017839F5 58             POP EAX
017839F6 833D B07E7801 0>CMP DWORD PTR DS:[1787EB0],0
017839FD 74 14          JE SHORT 01783A13
017839FF 6A 0C          PUSH 0C
01783A01 B9 B07E7801    MOV ECX,1787EB0
01783A06 8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]
01783A09 BA 04000000    MOV EDX,4
01783A0E E8 2DD1FFFF    CALL 01780B40
01783A13 FF75 FC       PUSH DWORD PTR SS:[EBP-4]
01783A16 FF75 F8       PUSH DWORD PTR SS:[EBP-8]
01783A19 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
01783A1C 8338 00       CMP DWORD PTR DS:[EAX],0
01783A1F 74 02          JE SHORT 01783A23
01783A21 FF30          PUSH DWORD PTR DS:[EAX]
01783A23 FF75 F0       PUSH DWORD PTR SS:[EBP-10]
01783A26 FF75 EC       PUSH DWORD PTR SS:[EBP-14]
01783A29 C3             RETN // 此处下断
01783A2A 5F             POP EDI
01783A2B 5E             POP ESI
01783A2C 5B             POP EBX
01783A2D 8BE5          MOV ESP,EBP
01783A2F 5D             POP EBP

C3 处 F2下断 SHIFT +Ｆ９　取消F2断

在堆处

0012FF68 0012FFA4

下硬件断点  hr 12FF68  SHIFT + F9  取消硬件断点

来到
01795BD2 /EB 44          JMP SHORT 01795C18
01795BD4 |EB 01          JMP SHORT 01795BD7
01795BD6 |9A 51579CFC BF0>CALL FAR 00BF:FC9C5751                ; Far call
01795BDD |0000          ADD BYTE PTR DS:[EAX],AL
01795BDF |00B9 00000000 ADD BYTE PTR DS:[ECX],BH
01795BE5 |F3:AA          REP STOS BYTE PTR ES:[EDI]
01795BE7 |9D             POPFD
01795BE8 |5F             POP EDI
01795BE9 |59             POP ECX
01795BEA |C3             RETN
01795BEB |55             PUSH EBP
01795BEC |8BEC          MOV EBP,ESP
01795BEE |53             PUSH EBX
01795BEF |56             PUSH ESI
01795BF0 |8B75 0C       MOV ESI,DWORD PTR SS:[EBP+C]
01795BF3 |8B5D 08       MOV EBX,DWORD PTR SS:[EBP+8]
01795BF6 |EB 11          JMP SHORT 01795C09
01795BF8 |0FB703       MOVZX EAX,WORD PTR DS:[EBX]
01795BFB |03C6          ADD EAX,ESI
01795BFD |83C3 02       ADD EBX,2
01795C00 |8BD0          MOV EDX,EAX
01795C02 |8BC6          MOV EAX,ESI
01795C04 |E8 0C000000    CALL 01795C15
01795C09 |66:833B 00    CMP WORD PTR DS:[EBX],0
01795C0D  ^|75 E9          JNZ SHORT 01795BF8
01795C0F |5E             POP ESI
01795C10 |5B             POP EBX
01795C11 |5D             POP EBP
01795C12 |C2 0800       RETN 8
01795C15 |0102          ADD DWORD PTR DS:[EDX],EAX
01795C17 |C3             RETN
01795C18 \03C3          ADD EAX,EBX
01795C1A BB 43030000    MOV EBX,343

F7 运行

01795C18 03C3          ADD EAX,EBX                            ; JiangHu.00400000
01795C1A BB 43030000    MOV EBX,343
01795C1F 0BDB          OR EBX,EBX
01795C21 75 07          JNZ SHORT 01795C2A
01795C23 894424 1C    MOV DWORD PTR SS:[ESP+1C],EAX
01795C27 61             POPAD
01795C28 50             PUSH EAX

来到了入口点,F7 走

01795BEB 55             PUSH EBP
01795BEC 8BEC          MOV EBP,ESP
01795BEE 53             PUSH EBX
01795BEF 56             PUSH ESI
01795BF0 8B75 0C       MOV ESI,DWORD PTR SS:[EBP+C]
01795BF3 8B5D 08       MOV EBX,DWORD PTR SS:[EBP+8]
01795BF6 EB 11          JMP SHORT 01795C09
01795BF8 0FB703       MOVZX EAX,WORD PTR DS:[EBX]

VC code 代码出来了

F7直到跳转

问题就在这里,找到了抽取的代码,可是怎么找真OEP,写入?

01795FB9 68 D45B7901    PUSH 1795BD4
01795FBE C3             RETN
01795FBF 0000          ADD BYTE PTR DS:[EAX],AL
01795FC1 0000          ADD BYTE PTR DS:[EAX],AL
01795FC3 0000          ADD BYTE PTR DS:[EAX],AL
01795FC5 0000          ADD BYTE PTR DS:[EAX],AL
01795FC7 0000          ADD BYTE PTR DS:[EAX],AL
01795FC9 0000          ADD BYTE PTR DS:[EAX],AL
01795FCB 0000          ADD BYTE PTR DS:[EAX],AL
01795FCD 0000          ADD BYTE PTR DS:[EAX],AL
01795FCF 0000          ADD BYTE PTR DS:[EAX],AL
01795FD1 0000          ADD BYTE PTR DS:[EAX],AL
01795FD3 0000          ADD BYTE PTR DS:[EAX],AL
01795FD5 0000          ADD BYTE PTR DS:[EAX],AL
01795FD7 0000          ADD BYTE PTR DS:[EAX],AL

......//有2000多行哦

01795FD7 0000          ADD BYTE PTR DS:[EAX],AL

用F8 走

中途遇到

00516E3C 59             POP ECX
00516E3D 59             POP ECX
00516E3E C3             RETN
00516E3F 0000          ADD BYTE PTR DS:[EAX],AL
00516E41 0000          ADD BYTE PTR DS:[EAX],AL
00516E43 0000          ADD BYTE PTR DS:[EAX],AL
00516E45 00E8          ADD AL,CH
00516E47 6935 0000BF94 0>IMUL ESI,DWORD PTR DS:[94BF0000],8B00000>

是不是要补这里?

程序地址 http://www.xiayou.net/jianghu.rar

请问是不是要用什么工具修复再修补,还是? 看了些教程都没遇到这样的哦

2007-8-14 14:01

0