首页
社区
课程
招聘
明月几时有――ASProtect V1.31 build 06.14主程序 脱壳
发表于: 2004-10-1 00:31 31057

明月几时有――ASProtect V1.31 build 06.14主程序 脱壳

fly 活跃值
85
2004-10-1 00:31
31057
收藏
免费 7
支持
分享
最新回复 (80)
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
51
:o
2004-10-1 22:12
0
雪    币: 266
活跃值: (269)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
52
最初由 fly 发布
我只在VB的加壳程序里看见aspr进行这个分支的处理
老兄提供一个例子?


Magic NetTrace v2.13
2004-10-1 22:25
0
雪    币: 250
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
美文,先收下。:)
2004-10-1 22:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
看不到留言。亲手无权限。
2004-10-2 00:00
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
55
QQ
以前的

论坛屏蔽了短信功能
2004-10-2 00:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
56
最初由 jingulong 发布


Magic NetTrace v2.13


昨天看了Magic NetTrace V2.5.4,没有发现AL=3有新的处理

BTW:相对于脱壳来说,Patch要省时间的多

2004-10-3 13:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
hehe,:D
fly inline patching asprotect again....:D

btw, wat happen to ur forum? cannot seem to connect this few days...
2004-10-3 14:11
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
呵呵~~很少看到这么多牛人同时出现了!兴奋ing
2004-10-3 14:23
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
59
TO stephenteh :

forum 挂了  :o
另外:你用t.p.e. 2.03b是否可以加上BMP?
2004-10-3 15:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
@ fly,
yes u can add bmp the patcher....u can change the option on customize tab -> Dialog Template...
2004-10-3 15:19
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
61
TO stephenteh :
加了bmp后patch时异常了,你试试

TO jingulong:
Magic NetTrace V2.5.4 是否用了delphi的初始化函数 ?
昨天脱壳了一个通宵,终于修复完毕
脱壳笔记整理中 ……
2004-10-3 19:55
0
雪    币: 266
活跃值: (269)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
62
最初由 fly 发布
TO stephenteh :
加了bmp后patch时异常了,你试试


TO jingulong:
........


V2.1.3
2004-10-3 20:07
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
63
google 没能找到这个旧版
mail给我吧或者给个链接
thank
2004-10-3 20:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
@fly,
没有啊。。。我的可以....
after adding the bmp i still can patch the program without any problem....how u get the patch data?? using the offset (compare) or (manual)...i'm using the compare method...
2004-10-3 20:27
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
65
郁闷,等会再试试
可能是图片的原因
thank
:D
2004-10-3 20:32
0
雪    币: 266
活跃值: (269)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
66
最初由 fly 发布
google 没能找到这个旧版
mail给我吧或者给个链接
thank


郁闷,邮了几次都失败,21cn啊!只好放在这里了,搁两天删吧。;)
2004-10-3 21:39
0
雪    币: 333
活跃值: (116)
能力值: ( LV9,RANK:570 )
在线值:
发帖
回帖
粉丝
67
学习and感谢 :)
2004-10-3 21:57
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
68
最初由 jingulong 发布
郁闷,邮了几次都失败,21cn啊!只好放在这里了,搁两天删吧。;)


thank
申请个163的邮箱吧
或者gmail
2004-10-4 01:14
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
69
简单看了一下
Magic NetTrace V2.1.3 应该是ASProtect V1.3B吧

在AL=3里面有5个分支处理
EAX=1 调用2次  是GetProcAddress
EAX=5 调用1次  是FindResourceA

00B76EDD     A1 1CC6B700         mov eax,dword ptr ds:[B7C61C]
00B76EE2     8B40 0C             mov eax,dword ptr ds:[eax+C]
00B76EE5     A3 50E7B700         mov dword ptr ds:[B7E750],eax
00B76EEA     B8 E86DB700         mov eax,0B76DE8
00B76EEF     8903                mov dword ptr ds:[ebx],eax
//EAX=5则前往0B76DE8
00B76EF1     5E                  pop esi
00B76EF2     5B                  pop ebx

00B76DE8     FF35 50E7B700       push dword ptr ds:[B7E750]
00B76DEE     53                  push ebx
00B76DEF     56                  push esi
00B76DF0     57                  push edi
00B76DF1     EB 01               jmp short 00B76DF4
//跟进壳里,最终来到下面部分

00B76DFC     EB 01               jmp short 00B76DFF
00B76DFF     5F                  pop edi
00B76E00     5E                  pop esi
00B76E01     5B                  pop ebx
00B76E02     C3                  retn
//返回00B99F7C

00B99F7C     6A 20               push 20
00B99F7E     68 D814E677         push 77E614D8
//FindResourceA的前2条指令
00B99F83     65:EB 01            jmp short 00B99F87
00B99F87     68 96CAE477         push 77E4CA96

00B99F90     68 86BBE777         push 77E7BB86
00B99F95     64:A1 00000000      mov eax,dword ptr fs:[0]
00B99F9B     50                  push eax
00B99F9C     64:8925 00000000    mov dword ptr fs:[0],esp
00B99FA3     8B4424 10           mov eax,dword ptr ss:[esp+10]
00B99FA7     896C24 10           mov dword ptr ss:[esp+10],ebp
00B99FAB     8D6C24 10           lea ebp,dword ptr ss:[esp+10]
00B99FAF     2BE0                sub esp,eax
00B99FB1     53                  push ebx
00B99FB2     56                  push esi
00B99FB3     57                  push edi
00B99FB4     8B45 F8             mov eax,dword ptr ss:[ebp-8]
00B99FB7     8965 E8             mov dword ptr ss:[ebp-18],esp
00B99FBA     50                  push eax
00B99FBB     8B45 FC             mov eax,dword ptr ss:[ebp-4]
00B99FBE     C745 FC FFFFFFFF    mov dword ptr ss:[ebp-4],-1
00B99FC5     8945 F8             mov dword ptr ss:[ebp-8],eax
//把CALL call kernel32.77E574E1放在这里执行
00B99FC8     F2:                 prefix repne:
00B99FC9     EB 01               jmp short 00B99FCC

00B99FCC     68 1975E577         push 77E57519
00B99FD1     C3                  retn

77E4CA8A     6A 20               push 20
//FindResourceA  ★
77E4CA8C     68 D814E677         push kernel32.77E614D8
77E4CA91     E8 4BAA0000         call kernel32.77E574E1
77E4CA96     33F6                xor esi,esi   ; mTrace.00400000
//返回这里

简单分析一下,不对请指正
这几天脱aspr太累,休息去啦

BTW:AL=3的几个分支可能是作者准备重新打造的“特殊函数”?
不知道下面的分支是如何用的
00B76EA1     68 106FB700         push 0B76F10  ; ASCII "_except_handler2"
00B76EA6     56                  push esi
00B76EA7     A1 1CC6B700         mov eax,dword ptr ds:[B7C61C]
00B76EAC     8B00                mov eax,dword ptr ds:[eax]
00B76EAE     FFD0                call eax
00B76EB0     A3 44E7B700         mov dword ptr ds:[B7E744],eax
00B76EB5     B8 086EB700         mov eax,0B76E08
00B76EBA     8903                mov dword ptr ds:[ebx],eax
00B76EBC     5E                  pop esi
00B76EBD     5B                  pop ebx
00B76EBE     C3                  retn
00B76EBF     68 246FB700         push 0B76F24  ; ASCII "_except_handler3"
00B76EC4     56                  push esi
00B76EC5     A1 1CC6B700         mov eax,dword ptr ds:[B7C61C]
00B76ECA     8B00                mov eax,dword ptr ds:[eax]
00B76ECC     FFD0                call eax
00B76ECE     A3 48E7B700         mov dword ptr ds:[B7E748],eax
00B76ED3     B8 246EB700         mov eax,0B76E24
00B76ED8     8903                mov dword ptr ds:[ebx],eax
00B76EDA     5E                  pop esi
00B76EDB     5B                  pop ebx
00B76EDC     C3                  retn
2004-10-4 03:15
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
70
用  Asprotect 1.31 加壳的我还没看过有用 FindResouceA 这个花招的 ,估 计是作者认为有  Stolen code 就够你修复个好半天了吧 ?
2004-10-4 10:56
0
雪    币: 221
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
71
fly终于放出来了,厉害啊!!
2004-10-4 12:38
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
72
最初由 VolX 发布
用 Asprotect 1.31 加壳的我还没看过有用 FindResouceA 这个花招的 ,估 计是作者认为有 Stolen code 就够你修复个好半天了吧 ?


或许
也可能是作者准备留做以后升级用的

VolX兄见过“_except_handler2/3”的分支处理没有?
2004-10-4 13:41
0
雪    币: 266
活跃值: (269)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
73
最初由 fly 发布
简单看了一下
Magic NetTrace V2.1.3 应该是ASProtect V1.3B吧


在AL=3里面有5个分支处理
EAX=1 调用2次 是GetProcAddress
EAX=5 调用1次 是FindResourceA
........


找到调用的API是很容易的,要“修复”就难多了,也许现在已经领略al=3的麻烦了吧。
2004-10-4 13:46
0
雪    币: 229
活跃值: (50)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
74
最初由 fly 发布


或许
也可能是作者准备留做以后升级用的

VolX兄见过“_except_handler2/3”的分支处理没有?



我可没看过,不知这东东会如何 BT ?
2004-10-4 20:39
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
75
最初由 jingulong 发布


郁闷,邮了几次都失败,21cn啊!只好放在这里了,搁两天删吧。;) 附件:mNTr2.13.part1.rar 附件:mNTr2.13.part2.rar 附件:mNTr2.13.part3.rar


Magic NetTrace V2.1.3 脱壳完毕
晕,还是FindResourceA的问题  :o
借用了壳代码来解决了
2004-10-7 02:22
0
游客
登录 | 注册 方可回帖
返回
//