[求助]手脱ASPack 2.12 -> Alexey Solodovnikov 遇到的困难-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]手脱ASPack 2.12 -> Alexey Solodovnikov 遇到的困难 0.00雪花

发表于: 2008-8-30 10:54 4293

[旧帖] [求助]手脱ASPack 2.12 -> Alexey Solodovnikov 遇到的困难 0.00雪花

ZSEPY

2008-8-30 10:54

4293

下面是我的操作过程
1、首先PEiD查壳

ASPack 2.12 Alexey Solodovnikov 的壳

2、OD载入 F9结果出现提示:

3、OD+PhantOm+HideOD 重新载入

1021F0B7    61              popad                                               ;f2 ,f9 直接返回。
1021F0B8    75 06           jnz     short 1021F0C0
1021F0BA    6A 01           push    1
1021F0BC    58              pop     eax
1021F0BD    C2 0C00         retn    0C
1021F0C0    33C0            xor     eax, eax
1021F0C2    F7D8            neg     eax
1021F0C4    1BC0            sbb     eax, eax
1021F0C6    40              inc     eax
1021F0C7    C2 0C00         retn    0C
1021F0CA    E8 0A000000     call    1021F0D9

00410149  |> /833D 50004200>/cmp     dword ptr [420050], 0            'F8之后来到这里
00410150  |. |0F84 EC000000 |je      00410242                                   '大跳转处 右键 跟随
00410156  |. |8925 24014200 |mov     dword ptr [420124], esp
0041015C  |. |8925 28014200 |mov     dword ptr [420128], esp
00410162  |. |6A 00         |push    0
00410164  |. |6A 00         |push    0
00410166  |. |6A 00         |push    0
00410168  |. |6A 00         |push    0
0041016A  |. |6A 00         |push    0
0041016C  |. |6A 00         |push    0


00410242  |> \6A 00         |push    0                               ; /Timeout = 0. ms            ;F4到这里  这里应该就是OEP入口了? 右键 Dump Debugged process 脱壳出来
00410244  |.  E8 4F080000   |call    <jmp.&KERNEL32.Sleep>           ; \Sleep
00410249  |.  6A 01         |push    1                               ; /RemoveMsg = PM_REMOVE
0041024B  |.  6A 00         |push    0                               ; |MsgFilterMax = WM_NULL
0041024D  |.  6A 00         |push    0                               ; |MsgFilterMin = WM_NULL
0041024F  |.  6A 00         |push    0                               ; |hWnd = NULL
00410251  |.  68 C8004200   |push    004200C8                        ; |pMsg = LOADDLL.004200C8
00410256  |.  E8 8B080000   |call    <jmp.&USER32.PeekMessageA>      ; \PeekMessageA
0041025B  |.  0BC0          |or      eax, eax
0041025D  |.^ 0F84 E6FEFFFF |je      00410149
00410263  |.  68 C8004200   |push    004200C8                        ; /pMsg = WM_NULL

4 脱壳出来的 F0410242.dll PEiD检查出现 "不是有效的PE文件"

感觉OEP入口搞错了..
5 ImportRec修复试试
提示"无效的OEP值"

哪位大哥帮忙指点迷津最好做个详细的分析说明，呵呵..谢谢了..

附上dll文件点击链接直接下载
http://2mon.cn/kanxue/HelpInst.rar
先谢谢了

[课程]Android-CTF解题方法汇总！

收藏・0

免费・1

支持

最新回复 (14)
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 2 楼选下面的dll。。。 2008-8-30 11:23 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 3 楼我试了还是提示"无效的OEP值" 是不是 OEP 不对 2008-8-30 11:37 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 4 楼要用lordpe脱。我怀疑你用OD的插件脱的。。脱的时候选下面的dll。。。 2008-8-30 15:12 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 5 楼 lordpe 没用过.我先下个试一下。非常谢谢了.. 2008-8-30 15:20 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 6 楼第一次见这么奇怪的ＡＳＰＡＣＫ　２.１２　也许我没脱过ＤＬＬ把｀｀｀ 00A7ABC8 55 push ebp 00A7ABC9 8BEC mov ebp,esp 00A7ABCB 81C4 40FFFFFF add esp,-0C0 00A7ABD1 53 push ebx 00A7ABD2 56 push esi 00A7ABD3 57 push edi 00A7ABD4 8B5D 0C mov ebx,dword ptr ss:[ebp+C] 00A7ABD7 837D 18 00 cmp dword ptr ss:[ebp+18],0 00A7ABDB 74 08 je short 00A7ABE5 00A7ABDD 8D45 18 lea eax,dword ptr ss:[ebp+18] 00A7ABE0 E8 9B09FFFF call 00A6B580 00A7ABE5 33C9 xor ecx,ecx 00A7ABE7 55 push ebp 00A7ABE8 68 63ACA700 push 0A7AC63 00A7ABED 64:FF31 push dword ptr fs:[ecx] 00A7ABF0 64:8921 mov dword ptr fs:[ecx],esp 00A7ABF3 EB 01 jmp short 00A7ABF6 2008-8-30 15:54 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 7 楼我看了不少文章 ASPack 2.12 -> Alexey Solodovnikov 有人说ESP定律可以脱先辈能不能帮我看一下 OEP在哪.. 谢谢了 2008-8-30 15:57 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 8 楼楼主你ＡＳＰＡＣＫ　２.１２壳　ＥＳＰ定律能不能脱你都不能确定　你敢脱ＤＬＬ壳　　你牛Ｂ｀｀｀｀那壳我不搞了｀｀｀脱壳工具脱不了　比真的ＡＳＰＡＣＫ　２.１２代码不同应该是伪装　要么就是变形本来真的ＡＳＰＡＣＫ　２.１２这里是跳向快到ＯＥＰ的　结果跳到了这上传的附件： 1.jpg （27.64kb，184次下载） 2008-8-30 16:00 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 9 楼 OD载入之后 CTRL+F 搜索 popad F2 两次F9 到 1021F001 > 60 pushad 1021F002 E8 03000000 call 1021F00A 1021F007 - E9 EB045D45 jmp 557EF4F7 1021F00C 55 push ebp 1021F00D C3 retn 1021F00E E8 01000000 call 1021F014 1021F013 EB 5D jmp short 1021F072 然后就跟 http://bbs.pediy.com/showthread.php?t=36627&highlight=ASPack+2+12+Alexey+Solodovnikov+Overlay http://www.anqn.com/article/2005-08-05/a0951567.shtml 上个主题 sungy 【原创】手脱ASPack 2.12 有点雷同就跟真的ＡＳＰＡＣＫ　２.１２代码就有点类似了.. 然后怎么搞请前辈帮忙指点一二~`先谢谢了 2008-8-30 16:01 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 10 楼还有你用IMPrec填错了 OEp要減去基址 2008-8-30 16:20 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 11 楼基址在哪里..我找了半天没找到. 2008-8-30 17:25 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 12 楼基址是０１００００００什么都不知道　脱ＤＬＬ？还敢搞ＡＳＰＡＣＫ　２.１２？ 2008-8-30 17:50 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 13 楼 ASPACK ? 楼主是在开玩笑把？ ASProtect 2.3 SKE build 06.26 Beta 还是经过处理的！ 2008-8-30 21:08 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 14 楼 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 不是aspack是上面这个壳！ 2008-8-30 21:13 0
luzhmu 雪币： 86 活跃值： (1038) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 15 楼 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 2008-8-30 21:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ZSEPY

发帖

回帖

RANK

关注

私信

他的文章

[求助]手脱ASPack 2.12 -> Alexey Solodovnikov 遇到的困难 4294

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 2 楼选下面的dll。。。 2008-8-30 11:23 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 3 楼我试了还是提示"无效的OEP值" 是不是 OEP 不对 2008-8-30 11:37 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 4 楼要用lordpe脱。我怀疑你用OD的插件脱的。。脱的时候选下面的dll。。。 2008-8-30 15:12 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 5 楼 lordpe 没用过.我先下个试一下。非常谢谢了.. 2008-8-30 15:20 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 6 楼第一次见这么奇怪的ＡＳＰＡＣＫ　２.１２　也许我没脱过ＤＬＬ把｀｀｀ 00A7ABC8 55 push ebp 00A7ABC9 8BEC mov ebp,esp 00A7ABCB 81C4 40FFFFFF add esp,-0C0 00A7ABD1 53 push ebx 00A7ABD2 56 push esi 00A7ABD3 57 push edi 00A7ABD4 8B5D 0C mov ebx,dword ptr ss:[ebp+C] 00A7ABD7 837D 18 00 cmp dword ptr ss:[ebp+18],0 00A7ABDB 74 08 je short 00A7ABE5 00A7ABDD 8D45 18 lea eax,dword ptr ss:[ebp+18] 00A7ABE0 E8 9B09FFFF call 00A6B580 00A7ABE5 33C9 xor ecx,ecx 00A7ABE7 55 push ebp 00A7ABE8 68 63ACA700 push 0A7AC63 00A7ABED 64:FF31 push dword ptr fs:[ecx] 00A7ABF0 64:8921 mov dword ptr fs:[ecx],esp 00A7ABF3 EB 01 jmp short 00A7ABF6 2008-8-30 15:54 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 7 楼我看了不少文章 ASPack 2.12 -> Alexey Solodovnikov 有人说ESP定律可以脱先辈能不能帮我看一下 OEP在哪.. 谢谢了 2008-8-30 15:57 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 8 楼楼主你ＡＳＰＡＣＫ　２.１２壳　ＥＳＰ定律能不能脱你都不能确定　你敢脱ＤＬＬ壳　　你牛Ｂ｀｀｀｀那壳我不搞了｀｀｀脱壳工具脱不了　比真的ＡＳＰＡＣＫ　２.１２代码不同应该是伪装　要么就是变形本来真的ＡＳＰＡＣＫ　２.１２这里是跳向快到ＯＥＰ的　结果跳到了这上传的附件： 1.jpg （27.64kb，184次下载） 2008-8-30 16:00 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 9 楼 OD载入之后 CTRL+F 搜索 popad F2 两次F9 到 1021F001 > 60 pushad 1021F002 E8 03000000 call 1021F00A 1021F007 - E9 EB045D45 jmp 557EF4F7 1021F00C 55 push ebp 1021F00D C3 retn 1021F00E E8 01000000 call 1021F014 1021F013 EB 5D jmp short 1021F072 然后就跟 http://bbs.pediy.com/showthread.php?t=36627&highlight=ASPack+2+12+Alexey+Solodovnikov+Overlay http://www.anqn.com/article/2005-08-05/a0951567.shtml 上个主题 sungy 【原创】手脱ASPack 2.12 有点雷同就跟真的ＡＳＰＡＣＫ　２.１２代码就有点类似了.. 然后怎么搞请前辈帮忙指点一二~`先谢谢了 2008-8-30 16:01 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 10 楼还有你用IMPrec填错了 OEp要減去基址 2008-8-30 16:20 0
ZSEPY 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	ZSEPY 11 楼基址在哪里..我找了半天没找到. 2008-8-30 17:25 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 12 楼基址是０１００００００什么都不知道　脱ＤＬＬ？还敢搞ＡＳＰＡＣＫ　２.１２？ 2008-8-30 17:50 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 13 楼 ASPACK ? 楼主是在开玩笑把？ ASProtect 2.3 SKE build 06.26 Beta 还是经过处理的！ 2008-8-30 21:08 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 14 楼 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 不是aspack是上面这个壳！ 2008-8-30 21:13 0
luzhmu 雪币： 86 活跃值： (1038) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 15 楼 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 2008-8-30 21:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复