[求助]如何判断已成功脱壳ASProtect 2.3 SKE build 05.14 Beta [2]!的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]如何判断已成功脱壳ASProtect 2.3 SKE build 05.14 Beta [2]!的问题 0.00雪花

发表于: 2008-12-6 13:59 7480

[旧帖] [求助]如何判断已成功脱壳ASProtect 2.3 SKE build 05.14 Beta [2]!的问题 0.00雪花

iamatig

2008-12-6 13:59

7480

学习脱壳诛仙外挂“幻月之心”

一、查壳：
PEID内部三种扫描结果：
ASProtect 1.2x - 1.3x [Registered] -> Alexey  Solodovnikov
外部扫描结果：
ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *
插件VerA0.15扫描结果：
Version: ASProtect 2.3 SKE build 05.14 Beta [2]!

二、脱壳
决定使用脚本脱壳：

1、脚本：
ASProtect 2.3 SKE的脱壳脚本
Script written by VolX
version : v2.2 special edition
Date : 7-Aug-2006

2、过程：

(1)使用OD
Fix call xxxxxxxx now?->是
IAT fixed. Stolen code start, check the address and size of IAT in log
windows->确定->脚本执行完闭->确定

0206029B 55             push ebp    ; 000526200

查看LOG得知IAT和OEP信息：
00E0CE1C 硬件断点 1 位于 00E0CE1C
         iatstartaddr: 005359F8
         iatstart_rva: 001359F8
         iatsize: 00000804
0206029B 断点位于 0206029B
         OEP_rva: 00126200
(2)修复
使用ImportREC_fix_HH.exe
依上述LOG信息修复->获取输入表->修复转存文件

(3)检验
A、执行：
没有反应

B、再次查壳：
ARVID's TDR file *

C、OD载入脱壳后文件
00526200 >- E9 96A0B301    jmp    0206029B
但F7会提示“不知如何单步，因为内存地址0206029B不可读。尝试更改EIP或忽略程序异常”

D、重新脱壳后手工跟踪运行
对原程序按上述方法重新脱壳，从
0206029B 55             push ebp    ; 000526200
起手工跟踪，发现程序能生成托盘图标。(更正一下，后面再次尝试执行时不再看到生成过托盘图标，之前可能是OD中程序生成的图标，眼花了)

疑问
由此是否可判断脱壳正确？怀疑是程序有反脱壳机制，发现脱壳后自动退出，所以看起来是执行后没反应。不知这样判断是否正确？

[课程]Linux pwn 探索篇！

上传的附件：

重命名此文件.rar （907.02kb，74次下载）

收藏・0

免费・0

支持

最新回复 (13)
亚一巴雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	亚一巴 2 楼脱壳后程序自动退出的话,试试自校验 2008-12-6 15:26 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 3 楼 C、OD载入脱壳后文件00526200 >- E9 96A0B301 jmp 0206029B 但F7会提示“不知如何单步，因为内存地址0206029B不可读。尝试更改EIP或忽略程序异常” 这个也是自检验造成的吗？ 2008-12-6 16:14 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 4 楼我现在是不太清楚是否已经成功脱壳，因为OD载入脱壳后的文件不能执行下去。请大侠明示。 2008-12-6 18:55 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 5 楼我帮你脱了一份可以运行的你试下! 上传的附件： unpack_.rar （926.50kb，32次下载） 2008-12-6 23:43 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 6 楼哇可以了,非常感谢,我也觉得我根本就没有脱成功! 请问可否教在下是如何脱的?我上网找到一篇教程,正准备试下,不知是否就是这样的? 2006年黑鹰破解脱壳提高班(1-66)\18-ASProtect 2.X SKE脱壳Patch注册名 1、利用脚本处理IAT，到达Stolen OEP'Start Import table..->确定脚本->resume继续 Stolen code start,press OK..->确定到达Stolen code即Stolen OEP'Start 2、脱壳抓取Loadpe修正映像,完整脱壳从ollydump获得OEP入口点地址用Import 修正OEP地址,自动搜索IAT, 小技巧,OEP从1000开始尝试 3、分析Stolen区段(Stolen Code、VM自解码、Route Check程序完整性校验) Stolen Code 01600521 016C0000 VM ebx=013E84FC Route Check eax=015D0000 4、补区段一般的补区段的顺序 VM(2个) Route Check(1个) Stolen Code(一般是>10个) 5、修复Route Check 6、部分程序还有自校验(如果不能运行的话) 7、若软件使用的是ASP注册机制，则Patch注册名 2008-12-7 09:37 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 7 楼没有自效验!你直接用V大1.4就解决啦! 2008-12-7 10:09 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 8 楼我最高只有1.14的,没有1.4的,能不能发一份给我?谢谢! 2008-12-7 10:35 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 9 楼不好意思，是１.１４少打了个一害你找了半天，真不好意思！上传的附件： Aspr2.XX_unpacker_v1.14aSC.rar （26.14kb，170次下载） 2008-12-7 11:13 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 10 楼路过~~~~ 顺边下个脚本,西西~~ 谢了楼上~! 2008-12-7 11:18 0
小菜鸟一雪币： 889 活跃值： (4027) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 11 楼膜拜V大膜拜脚本支持手动 2008-12-7 11:51 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 12 楼没关系。不过我也是用的这个脚本，怎么不行呢？我查出来的是：查看LOG得知IAT和OEP信息： 00E0CE1C 硬件断点 1 位于 00E0CE1C iatstartaddr: 005359F8 iatstart_rva: 001359F8 iatsize: 00000804 0206029B 断点位于 0206029B OEP_rva: 00126200 2008-12-7 12:06 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 13 楼没有需要修复的,盗了代码的应该要被区段吧,可是如何判断哪里才是要补的区段呢?是如何总结出来的呢? 2008-12-7 20:53 0
rippke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	rippke 14 楼我也是碰到这样的。为什么别人可以，我不行呢。脱壳后不能运行？难道这也有人品》 2008-12-11 11:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

iamatig

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
亚一巴雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	亚一巴 2 楼脱壳后程序自动退出的话,试试自校验 2008-12-6 15:26 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 3 楼 C、OD载入脱壳后文件00526200 >- E9 96A0B301 jmp 0206029B 但F7会提示“不知如何单步，因为内存地址0206029B不可读。尝试更改EIP或忽略程序异常” 这个也是自检验造成的吗？ 2008-12-6 16:14 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 4 楼我现在是不太清楚是否已经成功脱壳，因为OD载入脱壳后的文件不能执行下去。请大侠明示。 2008-12-6 18:55 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 5 楼我帮你脱了一份可以运行的你试下! 上传的附件： unpack_.rar （926.50kb，32次下载） 2008-12-6 23:43 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 6 楼哇可以了,非常感谢,我也觉得我根本就没有脱成功! 请问可否教在下是如何脱的?我上网找到一篇教程,正准备试下,不知是否就是这样的? 2006年黑鹰破解脱壳提高班(1-66)\18-ASProtect 2.X SKE脱壳Patch注册名 1、利用脚本处理IAT，到达Stolen OEP'Start Import table..->确定脚本->resume继续 Stolen code start,press OK..->确定到达Stolen code即Stolen OEP'Start 2、脱壳抓取Loadpe修正映像,完整脱壳从ollydump获得OEP入口点地址用Import 修正OEP地址,自动搜索IAT, 小技巧,OEP从1000开始尝试 3、分析Stolen区段(Stolen Code、VM自解码、Route Check程序完整性校验) Stolen Code 01600521 016C0000 VM ebx=013E84FC Route Check eax=015D0000 4、补区段一般的补区段的顺序 VM(2个) Route Check(1个) Stolen Code(一般是>10个) 5、修复Route Check 6、部分程序还有自校验(如果不能运行的话) 7、若软件使用的是ASP注册机制，则Patch注册名 2008-12-7 09:37 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 7 楼没有自效验!你直接用V大1.4就解决啦! 2008-12-7 10:09 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 8 楼我最高只有1.14的,没有1.4的,能不能发一份给我?谢谢! 2008-12-7 10:35 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 9 楼不好意思，是１.１４少打了个一害你找了半天，真不好意思！上传的附件： Aspr2.XX_unpacker_v1.14aSC.rar （26.14kb，170次下载） 2008-12-7 11:13 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 10 楼路过~~~~ 顺边下个脚本,西西~~ 谢了楼上~! 2008-12-7 11:18 0
小菜鸟一雪币： 889 活跃值： (4027) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 11 楼膜拜V大膜拜脚本支持手动 2008-12-7 11:51 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 12 楼没关系。不过我也是用的这个脚本，怎么不行呢？我查出来的是：查看LOG得知IAT和OEP信息： 00E0CE1C 硬件断点 1 位于 00E0CE1C iatstartaddr: 005359F8 iatstart_rva: 001359F8 iatsize: 00000804 0206029B 断点位于 0206029B OEP_rva: 00126200 2008-12-7 12:06 0
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 85 粉丝 0 关注私信	iamatig 13 楼没有需要修复的,盗了代码的应该要被区段吧,可是如何判断哪里才是要补的区段呢?是如何总结出来的呢? 2008-12-7 20:53 0
rippke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	rippke 14 楼我也是碰到这样的。为什么别人可以，我不行呢。脱壳后不能运行？难道这也有人品》 2008-12-11 11:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复