-
-
[旧帖] [求助]PE Protect 0.9 -> Christoph Gabler?? 0.00雪花
-
发表于: 2008-3-29 14:58
-
最近在搞个SOFTWARE 练手
最外有个ASProtect
verA 扫了是 ASProtect 2.3 SKE build 06.26 Beta [Extract]
VolX的脚本搞好
IAT 搞不好
搞了一陣子
搞好了 运行不出错
DOUBLE CLICK
哈
自动退出
估计是文件校验
后来又拿起PEID
PE Protect 0.9 -> Christoph Gabler
脱不了
有人见过这款壳吗?
入口点特徵
00609000: 52 PUSH EDX
00609001: 51 PUSH ECX
00609002: 55 PUSH EBP
00609003: 57 PUSH EDI
00609004: 6467A13000 MOV EAX, FS:[30]
00609009: 85C0 TEST EAX, EAX
0060900B: 780D JS 60901A
0060900D: E807000000 CALL 00609019
00609012: 58 POP EAX
00609013: 83C007 ADD EAX, 00000007
00609016: C690C3689C0C48 INVALID
0060901D: 00C3 ADD BL, AL
0060901F: 82E1C3 AND CL, FFFFFFC3
00609022: 339106A3EF9D XOR EDX, [ECX-62105CFA]
00609028: BDF0C23A8C MOV EBP, 8C3AC2F0
0060902D: 43 INC EBX
0060902E: A0C82E3C0D MOV AL, [D3C2EC8]
00609033: 7B58 JNP 60908D
00609035: 96 XCHG ESI, EAX
00609036: A2C89513DA MOV [DA1395C8], AL
0060903B: 763C JBE 609079
0060903D: 90 NOP
0060903E: B7AB MOV BH, AB
00609040: 7FD2 JNLE 609014
00609042: E9B9FCD785 JMP 86388D00
00609047: 826FA972 AND BYTE PTR [EDI-57], 72
0060904B: A9561A1CFA TEST EAX, FA1C1A56
00609050: B1D2 MOV CL, D2
00609052: 26B928A505BA MOV ECX, BA05A528
00609058: 46 INC ESI
00609059: 14D7 ADC AL, D7
0060905B: 779A JNBE 608FF7
0060905D: 5B POP EBX
0060905E: E892D89D9D CALL 9DFE68F5
00609063: 6262E6 BOUND ESP, [EDX-1A]
00609066: C482C5259094 LES EAX, [EDX-6B6FDA3B]
0060906C: 134FA8 ADC ECX, [EDI-58]
0060906F: 8932 MOV [EDX], ESI
00609071: 61 POPAD
00609072: 193F SBB [EDI], EDI
00609074: 78D4 JS 60904A
00609076: 134337 ADC EAX, [EBX+37]
00609079: CDC6 INT C6
0060907B: F1 ICEBP
0060907C: 0B1CC9 OR EBX, [ECX+ECX*8]
0060907F: 60 PUSHAD
00609080: 14C1 ADC AL, C1
00609082: C0B46BAE59E377D3 INVALID
0060908A: BCF1F5C50D MOV ESP, 0DC5F5F1
0060908F: 35D98F8C2F XOR EAX, 2F8C8FD9
00609094: 5F POP EDI
00609095: 698A01E17C399564DDF2 IMUL ECX, [EDX+397CE101], F2DD6495
0060909F: EE OUT DX, AL
006090A0: DA71AE FIDIV DWORD PTR [ECX-52]
006090A3: 50 PUSH EAX
006090A4: 8C5F95 MOV [EDI-6B], DS
006090A7: 1D403DF8AD SBB EAX, ADF83D40
006090AC: F4 HLT
006090AD: 3232 XOR DH, [EDX]
006090AF: 7353 JNB 609104
006090B1: 99 CDQ
006090B2: 0C21 OR AL, 21
006090B4: 32FE XOR BH, DH
006090B6: D0C8 ROR AL, 01
006090B8: C1702109 INVALID
006090BC: 40 INC EAX
006090BD: 7E21 JLE 6090E0
006090BF: CF IRETD
006090C0: 5B POP EBX
006090C1: 72A4 JB 609067
006090C3: 45 INC EBP
006090C4: 817C6EDBDFFCABA6 CMP [ESI+EBP*2-25], A6ABFCDF
006090CC: CC INT 3
006090CD: 1D286ECF4F SBB EAX, 4FCF6E28
006090D2: 07 POP ES
006090D3: 239082EB9E58 AND EDX, [EAX+589EEB82]
006090D9: 0FD8E3 PSUBUSB MM4, MM3
006090DC: FB STI
006090DD: B333 MOV BL, 33
006090DF: 45 INC EBP
006090E0: 48 DEC EAX
006090E1: 1E PUSH DS
006090E2: C11B48 RCR [EBX], 48
006090E5: DE7F00 FIDIVR WORD PTR [EDI]
006090E8: 17 POP SS
006090E9: C19EAFFCE42104 RCR [ESI+21E4FCAF], 04
006090F0: 0215D0B35836 ADD DL, [3658B3D0]
006090F6: 89BE2BD01BB4 MOV [ESI-4BE42FD5], EDI
006090FC: B9023047D5 MOV ECX, D5473002
00609101: 620DCB23B205 BOUND ECX, [05B223CB]
00609107: 9E SAHF
00609108: AF SCASD
00609109: 4D DEC EBP
0060910A: 008FC8B973C4 ADD [EDI-3B8C4638], CL
00609110: 22E0 AND AH, AL
00609112: 9F LAHF
00609113: C7AFB1F796C24408FA5D INVALID
0060911D: C64080BF MOV BYTE PTR [EAX-80], BF
00609121: C16FC498 SHR [EDI-3C], 98
00609125: 78E1 JS 609108
00609127: 017177 ADD [ECX+77], ESI
0060912A: 6202 BOUND EAX, [EDX]
0060912C: 37 AAA
0060912D: A29BF7EC41 MOV [41ECF79B], AL
00609132: 8FC6 POP ESI
00609134: FD STD
00609135: DE2B FISUBR WORD PTR [EBX]
00609137: C9 LEAVE
00609138: AB STOSD
00609139: 08252D9131AF OR [AF31912D], AH
0060913F: 52 PUSH EDX
00609140: 43 INC EBX
00609141: 52 PUSH EDX
00609142: B5E8 MOV CH, E8
00609144: 7304 JNB 60914A
00609146: 99 CDQ
00609147: A22E2ABBB5 MOV [B5BB2A2E], AL
0060914C: 1476 ADC AL, 76
0060914E: 3695 XCHG EBP, EAX
00609150: A253A08DF0 MOV [F08DA053], AL
00609155: FB STI
00609156: BB2F77D159 MOV EBX, 59D1772F
0060915B: B3C2 MOV BL, C2
0060915D: 44 INC ESP
0060915E: EE OUT DX, AL
0060915F: CF IRETD
00609160: 22BC908EC17E58 AND BH, [EAX+EDX*4+587EC18E]
00609167: 35B765664E XOR EAX, 4E6665B7
0060916C: EE OUT DX, AL
0060916D: E407 IN AL, 07
0060916F: 4B DEC EBX
00609170: 05CDB46B77 ADD EAX, 776BB4CD
00609175: 9AE3CFBB6BF0EB CALL FAR EBF0:6BBBCFE3
0060917C: 24D6 AND AL, D6
0060917E: 92 XCHG EDX, EAX
0060917F: BFA33F967E MOV EDI, 7E963FA3
00609184: D563 AAD 63
00609186: EA9BE33B20621B JMP FAR 1B62:203BE39B
0060918D: 6F OUTSD
0060918E: F4 HLT
0060918F: 7B5E JNP 6091EF
00609191: F5 CMC
00609192: 92 XCHG EDX, EAX
00609193: 25C6A284EA AND EAX, EA84A2C6
00609198: 10AF9D27A894 ADC [EDI-6B57D863], CH
0060919E: 54 PUSH ESP
0060919F: 9D POPFD
006091A0: 8FAB41F64784 INVALID
006091A6: C2F08F RETN 8FF0
006091A9: D20C7DAF690A3C ROR [EDI*2+3C0A69AF], CL
006091B0: 79A8 JNS 60915A
006091B2: E7F1 OUT F1, EAX
006091B4: 58 POP EAX
006091B5: 4D DEC EBP
006091B6: 20F3 AND BL, DH
006091B8: 129172A90DFC ADC DL, [ECX-03F2568E]
006091BE: 11993568EBAB ADC [ECX-541497CB], EBX
006091C4: EF OUT DX, EAX
006091C5: 04F4 ADD AL, F4
006091C7: 7F98 JNLE 609161
006091C9: 67AF SCASW
006091CB: 1E PUSH DS
006091CC: 89FC MOV ESP, EDI
006091CE: 7655 JBE 609225
006091D0: A6 CMPSB
006091D1: 55 PUSH EBP
006091D2: 41 INC ECX
006091D3: 7EE6 JLE 6091BB
006091D5: 29E0 SUB EAX, ESP
006091D7: 90 NOP
006091D8: 6314E7 ARPL EDX, [EDI+*8]
006091DB: AC LODSB
006091DC: CB RETF
006091DD: 63C8 ARPL ECX, EAX
006091DF: 97 XCHG EDI, EAX
006091E0: 666F OUTSW
006091E2: D8C0 FADD ST(0), ST(0)
006091E4: EC IN AL, DX
006091E5: 5C POP ESP
006091E6: 3DC8E247F4 CMP EAX, F447E2C8
006091EB: B746 MOV BH, 46
006091ED: 288A46B90113 SUB [EDX+1301B946], CL
006091F3: EA74188F9BA751 JMP FAR 51A7:9B8F1874
006091FA: D95E27 FSTP REAL4 PTR [ESI+27]
006091FD: EE OUT DX, AL
006091FE: 9F LAHF
006091FF: 2F DAS
最外有个ASProtect
verA 扫了是 ASProtect 2.3 SKE build 06.26 Beta [Extract]
VolX的脚本搞好
IAT 搞不好
搞了一陣子
搞好了 运行不出错
DOUBLE CLICK
哈
自动退出
估计是文件校验
后来又拿起PEID
PE Protect 0.9 -> Christoph Gabler
脱不了
有人见过这款壳吗?
入口点特徵
00609000: 52 PUSH EDX
00609001: 51 PUSH ECX
00609002: 55 PUSH EBP
00609003: 57 PUSH EDI
00609004: 6467A13000 MOV EAX, FS:[30]
00609009: 85C0 TEST EAX, EAX
0060900B: 780D JS 60901A
0060900D: E807000000 CALL 00609019
00609012: 58 POP EAX
00609013: 83C007 ADD EAX, 00000007
00609016: C690C3689C0C48 INVALID
0060901D: 00C3 ADD BL, AL
0060901F: 82E1C3 AND CL, FFFFFFC3
00609022: 339106A3EF9D XOR EDX, [ECX-62105CFA]
00609028: BDF0C23A8C MOV EBP, 8C3AC2F0
0060902D: 43 INC EBX
0060902E: A0C82E3C0D MOV AL, [D3C2EC8]
00609033: 7B58 JNP 60908D
00609035: 96 XCHG ESI, EAX
00609036: A2C89513DA MOV [DA1395C8], AL
0060903B: 763C JBE 609079
0060903D: 90 NOP
0060903E: B7AB MOV BH, AB
00609040: 7FD2 JNLE 609014
00609042: E9B9FCD785 JMP 86388D00
00609047: 826FA972 AND BYTE PTR [EDI-57], 72
0060904B: A9561A1CFA TEST EAX, FA1C1A56
00609050: B1D2 MOV CL, D2
00609052: 26B928A505BA MOV ECX, BA05A528
00609058: 46 INC ESI
00609059: 14D7 ADC AL, D7
0060905B: 779A JNBE 608FF7
0060905D: 5B POP EBX
0060905E: E892D89D9D CALL 9DFE68F5
00609063: 6262E6 BOUND ESP, [EDX-1A]
00609066: C482C5259094 LES EAX, [EDX-6B6FDA3B]
0060906C: 134FA8 ADC ECX, [EDI-58]
0060906F: 8932 MOV [EDX], ESI
00609071: 61 POPAD
00609072: 193F SBB [EDI], EDI
00609074: 78D4 JS 60904A
00609076: 134337 ADC EAX, [EBX+37]
00609079: CDC6 INT C6
0060907B: F1 ICEBP
0060907C: 0B1CC9 OR EBX, [ECX+ECX*8]
0060907F: 60 PUSHAD
00609080: 14C1 ADC AL, C1
00609082: C0B46BAE59E377D3 INVALID
0060908A: BCF1F5C50D MOV ESP, 0DC5F5F1
0060908F: 35D98F8C2F XOR EAX, 2F8C8FD9
00609094: 5F POP EDI
00609095: 698A01E17C399564DDF2 IMUL ECX, [EDX+397CE101], F2DD6495
0060909F: EE OUT DX, AL
006090A0: DA71AE FIDIV DWORD PTR [ECX-52]
006090A3: 50 PUSH EAX
006090A4: 8C5F95 MOV [EDI-6B], DS
006090A7: 1D403DF8AD SBB EAX, ADF83D40
006090AC: F4 HLT
006090AD: 3232 XOR DH, [EDX]
006090AF: 7353 JNB 609104
006090B1: 99 CDQ
006090B2: 0C21 OR AL, 21
006090B4: 32FE XOR BH, DH
006090B6: D0C8 ROR AL, 01
006090B8: C1702109 INVALID
006090BC: 40 INC EAX
006090BD: 7E21 JLE 6090E0
006090BF: CF IRETD
006090C0: 5B POP EBX
006090C1: 72A4 JB 609067
006090C3: 45 INC EBP
006090C4: 817C6EDBDFFCABA6 CMP [ESI+EBP*2-25], A6ABFCDF
006090CC: CC INT 3
006090CD: 1D286ECF4F SBB EAX, 4FCF6E28
006090D2: 07 POP ES
006090D3: 239082EB9E58 AND EDX, [EAX+589EEB82]
006090D9: 0FD8E3 PSUBUSB MM4, MM3
006090DC: FB STI
006090DD: B333 MOV BL, 33
006090DF: 45 INC EBP
006090E0: 48 DEC EAX
006090E1: 1E PUSH DS
006090E2: C11B48 RCR [EBX], 48
006090E5: DE7F00 FIDIVR WORD PTR [EDI]
006090E8: 17 POP SS
006090E9: C19EAFFCE42104 RCR [ESI+21E4FCAF], 04
006090F0: 0215D0B35836 ADD DL, [3658B3D0]
006090F6: 89BE2BD01BB4 MOV [ESI-4BE42FD5], EDI
006090FC: B9023047D5 MOV ECX, D5473002
00609101: 620DCB23B205 BOUND ECX, [05B223CB]
00609107: 9E SAHF
00609108: AF SCASD
00609109: 4D DEC EBP
0060910A: 008FC8B973C4 ADD [EDI-3B8C4638], CL
00609110: 22E0 AND AH, AL
00609112: 9F LAHF
00609113: C7AFB1F796C24408FA5D INVALID
0060911D: C64080BF MOV BYTE PTR [EAX-80], BF
00609121: C16FC498 SHR [EDI-3C], 98
00609125: 78E1 JS 609108
00609127: 017177 ADD [ECX+77], ESI
0060912A: 6202 BOUND EAX, [EDX]
0060912C: 37 AAA
0060912D: A29BF7EC41 MOV [41ECF79B], AL
00609132: 8FC6 POP ESI
00609134: FD STD
00609135: DE2B FISUBR WORD PTR [EBX]
00609137: C9 LEAVE
00609138: AB STOSD
00609139: 08252D9131AF OR [AF31912D], AH
0060913F: 52 PUSH EDX
00609140: 43 INC EBX
00609141: 52 PUSH EDX
00609142: B5E8 MOV CH, E8
00609144: 7304 JNB 60914A
00609146: 99 CDQ
00609147: A22E2ABBB5 MOV [B5BB2A2E], AL
0060914C: 1476 ADC AL, 76
0060914E: 3695 XCHG EBP, EAX
00609150: A253A08DF0 MOV [F08DA053], AL
00609155: FB STI
00609156: BB2F77D159 MOV EBX, 59D1772F
0060915B: B3C2 MOV BL, C2
0060915D: 44 INC ESP
0060915E: EE OUT DX, AL
0060915F: CF IRETD
00609160: 22BC908EC17E58 AND BH, [EAX+EDX*4+587EC18E]
00609167: 35B765664E XOR EAX, 4E6665B7
0060916C: EE OUT DX, AL
0060916D: E407 IN AL, 07
0060916F: 4B DEC EBX
00609170: 05CDB46B77 ADD EAX, 776BB4CD
00609175: 9AE3CFBB6BF0EB CALL FAR EBF0:6BBBCFE3
0060917C: 24D6 AND AL, D6
0060917E: 92 XCHG EDX, EAX
0060917F: BFA33F967E MOV EDI, 7E963FA3
00609184: D563 AAD 63
00609186: EA9BE33B20621B JMP FAR 1B62:203BE39B
0060918D: 6F OUTSD
0060918E: F4 HLT
0060918F: 7B5E JNP 6091EF
00609191: F5 CMC
00609192: 92 XCHG EDX, EAX
00609193: 25C6A284EA AND EAX, EA84A2C6
00609198: 10AF9D27A894 ADC [EDI-6B57D863], CH
0060919E: 54 PUSH ESP
0060919F: 9D POPFD
006091A0: 8FAB41F64784 INVALID
006091A6: C2F08F RETN 8FF0
006091A9: D20C7DAF690A3C ROR [EDI*2+3C0A69AF], CL
006091B0: 79A8 JNS 60915A
006091B2: E7F1 OUT F1, EAX
006091B4: 58 POP EAX
006091B5: 4D DEC EBP
006091B6: 20F3 AND BL, DH
006091B8: 129172A90DFC ADC DL, [ECX-03F2568E]
006091BE: 11993568EBAB ADC [ECX-541497CB], EBX
006091C4: EF OUT DX, EAX
006091C5: 04F4 ADD AL, F4
006091C7: 7F98 JNLE 609161
006091C9: 67AF SCASW
006091CB: 1E PUSH DS
006091CC: 89FC MOV ESP, EDI
006091CE: 7655 JBE 609225
006091D0: A6 CMPSB
006091D1: 55 PUSH EBP
006091D2: 41 INC ECX
006091D3: 7EE6 JLE 6091BB
006091D5: 29E0 SUB EAX, ESP
006091D7: 90 NOP
006091D8: 6314E7 ARPL EDX, [EDI+*8]
006091DB: AC LODSB
006091DC: CB RETF
006091DD: 63C8 ARPL ECX, EAX
006091DF: 97 XCHG EDI, EAX
006091E0: 666F OUTSW
006091E2: D8C0 FADD ST(0), ST(0)
006091E4: EC IN AL, DX
006091E5: 5C POP ESP
006091E6: 3DC8E247F4 CMP EAX, F447E2C8
006091EB: B746 MOV BH, 46
006091ED: 288A46B90113 SUB [EDX+1301B946], CL
006091F3: EA74188F9BA751 JMP FAR 51A7:9B8F1874
006091FA: D95E27 FSTP REAL4 PTR [ESI+27]
006091FD: EE OUT DX, AL
006091FE: 9F LAHF
006091FF: 2F DAS
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
