ASProtect V1.3B脱壳――飞速的UnPackMe-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (38) ◀ 1 2
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 2004-6-23 20:18 26 楼 0 最初由 loveboom 发布你不会分泌一个嘛，增加段，或VirtualAlloc 逃不过它的检查。
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 2004-6-23 20:19 27 楼 0 自己去仔细看哈子IAT，会找到存放的地方的
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 2004-7-2 09:46 28 楼 0 美文,FLY大侠的文章就是好呀!
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 89 粉丝 1 关注私信	jwh51 2004-7-2 14:14 29 楼 0 最初由 temerata 发布逃不过它的检查。如果是增加段,会有两处检查,一是在大概第15处异常后, 还有一处是在大约31处异常后,第15处异常后的检查可以很容易躲过去,第31处异常的检查不用躲了,因为好像已经解压完毕了.可以DUMP了.
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 2004-7-2 16:35 30 楼 0 最初由 jwh51 发布如果是增加段,会有两处检查,一是在大概第15处异常后, 还有一处是在大约31处异常后,第15处异常后的检查可以很容易躲过去,第31处异常的检查不用躲了,因为好像已经解压完毕了.可以DUMP了. 我遇到的这个东西在第十二次异常之后会检查一次，可以避过。但是还是不会用老大你的方法。Dump出来的文件那些CALL都是E8XXXXXXXX，难道要一个一个手动修复？
zhangxisheng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	zhangxisheng 2004-9-9 01:55 31 楼 0 这个用peid查出来是 ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov 我这里有个程序查出来是ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay] 这低他是那个版本的ASProtect呀？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-9-9 04:17 32 楼 0 PEiD无法完全准确侦测出ASProtect的几个新版本需要跟踪，比较关键代码
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 2004-9-9 11:03 33 楼 0 自己跟多了就知道了
systembug 雪币： 223 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 1 关注私信	systembug 2004-11-13 17:59 34 楼 0 希望花个3 4 年看懂
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-11-13 18:05 35 楼 0 最初由 systembug 发布希望花个3 4 年看懂没这么严重只要你感兴趣学习，至多2、3个月后就能搞定这些了 ;)
linhanshi 雪币： 85463 活跃值： (198795) 能力值： (RANK：10 ) 在线值：发帖 9005 回帖 25618 粉丝 425 关注私信	linhanshi 2004-11-13 18:06 36 楼 0 支持!!!
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 2004-11-13 21:57 37 楼 0 这里好像不太对呀！ 00A5AFCF E8 31C0EB02 call 03917005 00A5AFD4 CD20 64FF30EB vxdjump EB30FF64 00A5AFDA 01E9 add ecx,ebp 00A5AFDC 64:8920 mov dword ptr fs:[eax],esp 00A5AFDF 3100 xor dword ptr ds:[eax],eax－－>我这里，这是最后一次异常呀！过了这里就运行了， 00A5AFE1 EB 01 jmp short 00A5AFE4 00A5AFE3 68 648F0500 push 58F64 00A5AFE8 0000 add byte ptr ds:[eax],al 00A5AFEA 00EB add bl,ch 00A5AFEC 02E8 add ch,al ----------------------------shift+F8 到下面这里 77F3526B 8B1C24 mov ebx,dword ptr ss:[esp] 77F3526E 51 push ecx 77F3526F 53 push ebx 77F35270 E8 BE380200 call ntdll.77F58B33 77F35275 0AC0 or al,al 77F35277 74 0C je short ntdll.77F35285 77F35279 5B pop ebx 77F3527A 59 pop ecx 77F3527B 6A 00 push 0 77F3527D 51 push ecx 77F3527E E8 D0FFFFFF call ntdll.ZwContinue->跟进这里，不然就运行了 77F35283 EB 0B jmp short ntdll.77F35290 －－－－－－－－－－> 跟进去 77F35253 > B8 22000000 mov eax,22 77F35258 BA 0003FE7F mov edx,7FFE0300 77F3525D FFD2 call edx－－>跟进去 77F3525F C2 0800 retn 8 －－－－－－> 7FFE0300 8BD4 mov edx,esp 7FFE0302 0F34 sysenter-->在这里就运行了，没办法呀！ 7FFE0304 C3 retn 我的操作系统是win2003
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 2004-11-13 22:25 38 楼 0 唉！那还是一个提醒，算我不认货喔！终于在 00A7997D F3:AA rep stos byte ptr es:[edi] 00A7997F 9D popfd 00A79980 5F pop edi 00A79981 59 pop ecx 00A79982 C3 retn－－>终于回到了4010df 00A79983 55 push ebp 00A79984 8BEC mov ebp,esp 00A79986 53 push ebx
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 678 粉丝 1 关注私信	wenglingok 26 2004-11-13 22:36 39 楼 0 又要学几年了，顶
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (38) ◀ 1 2
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 2004-6-23 20:18 26 楼 0 最初由 loveboom 发布你不会分泌一个嘛，增加段，或VirtualAlloc 逃不过它的检查。
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 2004-6-23 20:19 27 楼 0 自己去仔细看哈子IAT，会找到存放的地方的
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 2004-7-2 09:46 28 楼 0 美文,FLY大侠的文章就是好呀!
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 89 粉丝 1 关注私信	jwh51 2004-7-2 14:14 29 楼 0 最初由 temerata 发布逃不过它的检查。如果是增加段,会有两处检查,一是在大概第15处异常后, 还有一处是在大约31处异常后,第15处异常后的检查可以很容易躲过去,第31处异常的检查不用躲了,因为好像已经解压完毕了.可以DUMP了.
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 2004-7-2 16:35 30 楼 0 最初由 jwh51 发布如果是增加段,会有两处检查,一是在大概第15处异常后, 还有一处是在大约31处异常后,第15处异常后的检查可以很容易躲过去,第31处异常的检查不用躲了,因为好像已经解压完毕了.可以DUMP了. 我遇到的这个东西在第十二次异常之后会检查一次，可以避过。但是还是不会用老大你的方法。Dump出来的文件那些CALL都是E8XXXXXXXX，难道要一个一个手动修复？
zhangxisheng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	zhangxisheng 2004-9-9 01:55 31 楼 0 这个用peid查出来是 ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov 我这里有个程序查出来是ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay] 这低他是那个版本的ASProtect呀？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-9-9 04:17 32 楼 0 PEiD无法完全准确侦测出ASProtect的几个新版本需要跟踪，比较关键代码
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 2004-9-9 11:03 33 楼 0 自己跟多了就知道了
systembug 雪币： 223 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 1 关注私信	systembug 2004-11-13 17:59 34 楼 0 希望花个3 4 年看懂
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-11-13 18:05 35 楼 0 最初由 systembug 发布希望花个3 4 年看懂没这么严重只要你感兴趣学习，至多2、3个月后就能搞定这些了 ;)
linhanshi 雪币： 85463 活跃值： (198795) 能力值： (RANK：10 ) 在线值：发帖 9005 回帖 25618 粉丝 425 关注私信	linhanshi 2004-11-13 18:06 36 楼 0 支持!!!
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 2004-11-13 21:57 37 楼 0 这里好像不太对呀！ 00A5AFCF E8 31C0EB02 call 03917005 00A5AFD4 CD20 64FF30EB vxdjump EB30FF64 00A5AFDA 01E9 add ecx,ebp 00A5AFDC 64:8920 mov dword ptr fs:[eax],esp 00A5AFDF 3100 xor dword ptr ds:[eax],eax－－>我这里，这是最后一次异常呀！过了这里就运行了， 00A5AFE1 EB 01 jmp short 00A5AFE4 00A5AFE3 68 648F0500 push 58F64 00A5AFE8 0000 add byte ptr ds:[eax],al 00A5AFEA 00EB add bl,ch 00A5AFEC 02E8 add ch,al ----------------------------shift+F8 到下面这里 77F3526B 8B1C24 mov ebx,dword ptr ss:[esp] 77F3526E 51 push ecx 77F3526F 53 push ebx 77F35270 E8 BE380200 call ntdll.77F58B33 77F35275 0AC0 or al,al 77F35277 74 0C je short ntdll.77F35285 77F35279 5B pop ebx 77F3527A 59 pop ecx 77F3527B 6A 00 push 0 77F3527D 51 push ecx 77F3527E E8 D0FFFFFF call ntdll.ZwContinue->跟进这里，不然就运行了 77F35283 EB 0B jmp short ntdll.77F35290 －－－－－－－－－－> 跟进去 77F35253 > B8 22000000 mov eax,22 77F35258 BA 0003FE7F mov edx,7FFE0300 77F3525D FFD2 call edx－－>跟进去 77F3525F C2 0800 retn 8 －－－－－－> 7FFE0300 8BD4 mov edx,esp 7FFE0302 0F34 sysenter-->在这里就运行了，没办法呀！ 7FFE0304 C3 retn 我的操作系统是win2003
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 2004-11-13 22:25 38 楼 0 唉！那还是一个提醒，算我不认货喔！终于在 00A7997D F3:AA rep stos byte ptr es:[edi] 00A7997F 9D popfd 00A79980 5F pop edi 00A79981 59 pop ecx 00A79982 C3 retn－－>终于回到了4010df 00A79983 55 push ebp 00A79984 8BEC mov ebp,esp 00A79986 53 push ebx
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 678 粉丝 1 关注私信	wenglingok 26 2004-11-13 22:36 39 楼 0 又要学几年了，顶
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复