[分享]ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录-经典问答-看雪-安全社区|安全招聘|kanxue.com

[分享]ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录

发表于: 2008-11-1 15:40 19886

[分享]ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录

suifengjz

2008-11-1 15:40

19886

【文章标题】: ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录
【文章作者】: suifengjz
【作者邮箱】: 765603171@qq.com
【作者QQ号】: 765603171
【软件名称】: ResScope(英文版)
【软件大小】: 1.85M
【下载地址】: 自己搜索下载
【加壳方式】: ASProtect V2.X Registered
【编写语言】: 脱壳后，没有查出来

【使用工具】: PEiD，OD，Volx大侠ASProtect脚本
【软件介绍】: 这是一个类似 eXeScope 的软件资源分析和编辑工具
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  开始，先查下壳
  普通扫描：ASProtect V2.X Registered -> Alexey Solodovnikov
  扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据
  用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
  第一步：脱壳
  先OD载入吧，使用插件->odbgscript->运行脚本 -> 打开（Aspr2.XX_unpacker_v1.0SC.osc）
运行脚本过程有『偷窃代码，请查看记录窗口内的IAT数据』点击确定，查看窗口记录，找到如下项

  消息=IAT 的地址 = 006AE1F4
   IAT 的相对地址 = 002AE1F4
   IAT 的大小 = 00000A74
   断点位于 01140079
   OEP 的地址 = 0068B8FC
   OEP 的相对地址 = 0028B8FC
  运行ImportREC，附加脱壳的进程，把od窗口记录里面的 “OEP 的相对地址” 0028B8FC数据填写到oep，
  “IAT 的大小”的数据00000A74填写到“ImportREC的大小”，
  “IAT 的相对地址”的数据002AE1F4填写到RVA，点击获取输入表->修复转存文件->选择dump的文件
  好了，本来想处理附加数据，发现文件可以使用，就没有处理





--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2008年11月01日 15:35:14

[课程]Linux pwn 探索篇！

收藏・5

免费・0

支持

最新回复 (30) 1 2 ▶
单步王子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	单步王子 2 楼能送我份你上面所说的脚本吗打包上来哈````谢谢 2008-11-2 03:26 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 3 楼发几个附件脚本上传的附件：脚本.rar （58.55kb，691次下载） 2008-11-2 12:18 0
deanslan 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	deanslan 4 楼我昨天脱了一个软件，也是这个步骤，成功了：） 2008-11-2 12:20 0
zoogool 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	zoogool 5 楼学习ing~~~ 2008-11-7 00:01 0
飘渺之恋雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 79 粉丝 0 关注私信	飘渺之恋 6 楼受教了.3楼的脚本应该就是你所用的吧. 2008-11-7 00:50 0
kangking 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	kangking 7 楼 http://www.rayfile.com/files/3b1f6d3a-acb8-11dd-9c8f-0014221b798a/ 怎么用2.XX的脚本脱不了呀，谁能帮我试一下脱这个啊 2008-11-7 20:42 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 8 楼学习一下 2008-11-8 11:35 0
xudecun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	xudecun 9 楼谢谢楼主，学习中 2008-12-3 15:35 0
xudecun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	xudecun 10 楼呵呵，好帖，学习了！ 2008-12-3 15:50 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 11 楼鼓励一下，希望下次能见到你自己写的脚本..... 嘿嘿. 2008-12-3 15:57 0
rippke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	rippke 12 楼请问下在哪查看窗口记录。。。。昨天试了个脚本也是这样的情况。我说怎么ImportREC没用呢。。。刚学高手不要见笑…… ALT+L呀。。原来。。 2008-12-8 12:13 0
martim 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	martim 13 楼这样也可以~!给我一个好吗 2008-12-8 12:32 0
fxingbuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	fxingbuo 14 楼今天终于学会了脱ASProtect 2.1x SKE -> Alexey Solodovnikov了，兴奋！！ 2008-12-16 22:11 0
hezhaoyang 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 141 粉丝 0 关注私信	hezhaoyang 15 楼替你高兴 2008-12-16 23:07 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 16 楼真正的学会了？能不看教程单步脱补OEP 然后手动IAT修复你就学会了```` 2008-12-17 03:37 0
zhaoker 雪币： 421 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zhaoker 17 楼 - -! 我2年没玩crack，真是落伍了~~~~要大补了￥%~~工作忙，很羡慕大学时光……谢谢楼主分享…… 2009-1-29 13:22 0
zzlya 雪币： 6326 活跃值： (2184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 246 粉丝 0 关注私信	zzlya 18 楼我这老是出错啊/ 2009-2-12 00:34 0
richiewj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 13 粉丝 0 关注私信	richiewj 19 楼我用Ollydbg脱壳,和别人学,别人怎么弄我就怎么弄,当自己弄时找不到哪个才是我想要的入口,用什么方法辩别哪个才是真正的头入口! 这里抛砖引玉(要是有好方法和经验多多交流) Microsoft Visual C++ 6.0 00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择) 00496EB9 \|. 8BEC MOV EBP,ESP 00496EBB \|. 6A FF PUSH -1 00496EBD \|. 68 40375600 PUSH Screensh.00563740 00496EC2 \|. 68 8CC74900 PUSH Screensh.0049C78C ; SE 处理程序安装 00496EC7 \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00496ECD \|. 50 PUSH EAX 00496ECE \|. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 00496ED5 \|. 83EC 58 SUB ESP,58 2009-2-12 11:04 0
何平安定雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	何平安定 20 楼刚试一试，没成功！555 2009-2-17 22:52 0
chly 雪币： 200 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	chly 21 楼学习ing~~~ 2009-3-2 11:15 0
jektion 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jektion 22 楼正在脱，不过系统一直在显示忙，不知道成不成 2009-9-6 00:33 0
LJXX 雪币： 206 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	LJXX 23 楼第一步：脱壳先OD载入吧，使用插件->odbgscript->运行脚本 -> 打开（Aspr2.XX_unpacker_v1.0SC.osc）运行脚本过程有『偷窃代码，请查看记录窗口内的IAT数据』点击确定，查看窗口记录，找到如下项消息=IAT 的地址 = 006AE1F4 IAT 的相对地址 = 002AE1F4 IAT 的大小 = 00000A74 断点位于 01140079 OEP 的地址 = 0068B8FC OEP 的相对地址 = 0028B8FC 请问大家以上"的IAT 的地址"在哪个窗口可以看到 2009-9-16 13:31 0
hyue 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	hyue 24 楼 Volx 的脚本太强大了。 2009-9-18 10:37 0
gjjdgl 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	gjjdgl 25 楼按 ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录脱邯郸市机动车驾驶人科目一考试系统，没成功。脱完后，查壳，提示什么都没找到运行直接提示遇到问题需要关闭 2010-4-10 19:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

suifengjz

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
单步王子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	单步王子 2 楼能送我份你上面所说的脚本吗打包上来哈````谢谢 2008-11-2 03:26 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 3 楼发几个附件脚本上传的附件：脚本.rar （58.55kb，691次下载） 2008-11-2 12:18 0
deanslan 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	deanslan 4 楼我昨天脱了一个软件，也是这个步骤，成功了：） 2008-11-2 12:20 0
zoogool 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	zoogool 5 楼学习ing~~~ 2008-11-7 00:01 0
飘渺之恋雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 79 粉丝 0 关注私信	飘渺之恋 6 楼受教了.3楼的脚本应该就是你所用的吧. 2008-11-7 00:50 0
kangking 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	kangking 7 楼 http://www.rayfile.com/files/3b1f6d3a-acb8-11dd-9c8f-0014221b798a/ 怎么用2.XX的脚本脱不了呀，谁能帮我试一下脱这个啊 2008-11-7 20:42 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 8 楼学习一下 2008-11-8 11:35 0
xudecun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	xudecun 9 楼谢谢楼主，学习中 2008-12-3 15:35 0
xudecun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	xudecun 10 楼呵呵，好帖，学习了！ 2008-12-3 15:50 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 11 楼鼓励一下，希望下次能见到你自己写的脚本..... 嘿嘿. 2008-12-3 15:57 0
rippke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	rippke 12 楼请问下在哪查看窗口记录。。。。昨天试了个脚本也是这样的情况。我说怎么ImportREC没用呢。。。刚学高手不要见笑…… ALT+L呀。。原来。。 2008-12-8 12:13 0
martim 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	martim 13 楼这样也可以~!给我一个好吗 2008-12-8 12:32 0
fxingbuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	fxingbuo 14 楼今天终于学会了脱ASProtect 2.1x SKE -> Alexey Solodovnikov了，兴奋！！ 2008-12-16 22:11 0
hezhaoyang 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 141 粉丝 0 关注私信	hezhaoyang 15 楼替你高兴 2008-12-16 23:07 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 16 楼真正的学会了？能不看教程单步脱补OEP 然后手动IAT修复你就学会了```` 2008-12-17 03:37 0
zhaoker 雪币： 421 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zhaoker 17 楼 - -! 我2年没玩crack，真是落伍了~~~~要大补了￥%~~工作忙，很羡慕大学时光……谢谢楼主分享…… 2009-1-29 13:22 0
zzlya 雪币： 6326 活跃值： (2184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 246 粉丝 0 关注私信	zzlya 18 楼我这老是出错啊/ 2009-2-12 00:34 0
richiewj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 13 粉丝 0 关注私信	richiewj 19 楼我用Ollydbg脱壳,和别人学,别人怎么弄我就怎么弄,当自己弄时找不到哪个才是我想要的入口,用什么方法辩别哪个才是真正的头入口! 这里抛砖引玉(要是有好方法和经验多多交流) Microsoft Visual C++ 6.0 00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择) 00496EB9 \|. 8BEC MOV EBP,ESP 00496EBB \|. 6A FF PUSH -1 00496EBD \|. 68 40375600 PUSH Screensh.00563740 00496EC2 \|. 68 8CC74900 PUSH Screensh.0049C78C ; SE 处理程序安装 00496EC7 \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00496ECD \|. 50 PUSH EAX 00496ECE \|. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 00496ED5 \|. 83EC 58 SUB ESP,58 2009-2-12 11:04 0
何平安定雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	何平安定 20 楼刚试一试，没成功！555 2009-2-17 22:52 0
chly 雪币： 200 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	chly 21 楼学习ing~~~ 2009-3-2 11:15 0
jektion 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jektion 22 楼正在脱，不过系统一直在显示忙，不知道成不成 2009-9-6 00:33 0
LJXX 雪币： 206 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	LJXX 23 楼第一步：脱壳先OD载入吧，使用插件->odbgscript->运行脚本 -> 打开（Aspr2.XX_unpacker_v1.0SC.osc）运行脚本过程有『偷窃代码，请查看记录窗口内的IAT数据』点击确定，查看窗口记录，找到如下项消息=IAT 的地址 = 006AE1F4 IAT 的相对地址 = 002AE1F4 IAT 的大小 = 00000A74 断点位于 01140079 OEP 的地址 = 0068B8FC OEP 的相对地址 = 0028B8FC 请问大家以上"的IAT 的地址"在哪个窗口可以看到 2009-9-16 13:31 0
hyue 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	hyue 24 楼 Volx 的脚本太强大了。 2009-9-18 10:37 0
gjjdgl 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	gjjdgl 25 楼按 ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录脱邯郸市机动车驾驶人科目一考试系统，没成功。脱完后，查壳，提示什么都没找到运行直接提示遇到问题需要关闭 2010-4-10 19:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复