首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[解决]ASProtect没偷代码,知道OEP地址怎么脱壳
发表于: 2009-2-2 09:46 4913

[解决]ASProtect没偷代码,知道OEP地址怎么脱壳

ucantseeme 活跃值
2009-2-2 09:46
4913
这个程序用V大的脚本直接脱了

OEP=40386B

壳是ASProtect.SKE.2.11.Build.03.13的

对OEP直接F4没用,下内存断点也没用

想问下我现在知道OEP了

怎么才能脱掉呢

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (11)
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
脚本直接脱就可以了。
如果想自己手工脱壳,搜索论坛,相关文章己很详细了。
2009-2-2 09:59
0
我脱
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
用脚本脱完后会自己生成一个脱壳的文件,你修复一下看看就行了,有的程序有附加数据。
2009-2-2 10:10
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
4
Drx 被清掉了
2009-2-2 10:52
0
ucantseeme
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
你怎么知道被清掉了

我还以为我点错了没上传呢
2009-2-2 12:27
0
小子贼野
雪    币: 347
活跃值: (25)
能力值: ( LV9,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
6
有什么是sessiondiy不知道的?!
2009-2-2 13:01
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
7
若你是用 StrongOD 的话 : Skip Some Expection 不要打勾
OllyDBG 的例外设定     : INT3 '单步 不要打勾, 其它全勾

Shift-F9 会停在 : 00D0C73A    CC              int3
看一下此时的 SEH 是 00D0C69C 如下:

是在设 ESP ' EBP ' EIP and 清除Dr0~3 的动作.

00D0C69C    55              push    ebp
00D0C69D    8BEC            mov     ebp, esp
00D0C69F    8B45 10         mov     eax, [ebp+10]
00D0C6A2    33D2            xor     edx, edx
00D0C6A4    8950 04         mov     [eax+4], edx
00D0C6A7    8B15 D4B5D100   mov     edx, [D1B5D4]
00D0C6AD    8990 C4000000   mov     [eax+C4], edx
00D0C6B3    33D2            xor     edx, edx
00D0C6B5    8950 08         mov     [eax+8], edx
00D0C6B8    8B15 D8B5D100   mov     edx, [D1B5D8]
00D0C6BE    8990 B4000000   mov     [eax+B4], edx
00D0C6C4    33D2            xor     edx, edx
00D0C6C6    8950 0C         mov     [eax+C], edx
00D0C6C9    8B15 DCB5D100   mov     edx, [D1B5DC]
00D0C6CF    8990 B8000000   mov     [eax+B8], edx
00D0C6D5    33D2            xor     edx, edx
00D0C6D7    8950 10         mov     [eax+10], edx
00D0C6DA    33C0            xor     eax, eax
00D0C6DC    5D              pop     ebp
00D0C6DD    C3              retn

会有二次.
全都不让他清 Dr0~3 的话, 你的OEP硬断点就有效了.
2009-2-2 13:38
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
8
你的网路银行帐号'密码

我还以为我点错了没上传呢

本来有, 后来你给人家删除了. 所以现在没有.
2009-2-2 13:40
0
mycgj
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
不会,真正学习,支持下楼主
2009-2-2 16:28
0
guoqianyi
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
脚本脱掉壳以后用ImportRec修复
2009-2-2 16:39
0
ucantseeme
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
[QUOTE=sessiondiy;572174]若你是用 StrongOD 的话 : Skip Some Expection 不要打勾
OllyDBG 的例外设定     : INT3 '单步 不要打勾, 其它全勾

Shift-F9 会停在 : 00D0C73A    CC              int3
看一下此时的 SEH 是 00D0C69C 如下:

是在设 ESP ' EBP ' EIP and 清除Dr0~3 的动作.

00D0C69C    55              push    ebp
00D0C69D    8BEC            mov     ebp, esp
00D0C69F    8B45 10         mov     eax, [ebp+10]
00D0C6A2    33D2            xor     edx, edx
00D0C6A4    8950 04         mov     [eax+4], edx
00D0C6A7    8B15 D4B5D100   mov     edx, [D1B5D4]
00D0C6AD    8990 C4000000   mov     [eax+C4], edx
00D0C6B3    33D2            xor     edx, edx
00D0C6B5    8950 08         mov     [eax+8], edx
00D0C6B8    8B15 D8B5D100   mov     edx, [D1B5D8]
00D0C6BE    8990 B4000000   mov     [eax+B4], edx
00D0C6C4    33D2            xor     edx, edx
00D0C6C6    8950 0C         mov     [eax+C], edx
00D0C6C9    8B15 DCB5D100   mov     edx, [D1B5DC]
00D0C6CF    8990 B8000000   mov     [eax+B8], edx
00D0C6D5    33D2            xor     edx, edx
00D0C6D7    8950 10         mov     [eax+10], edx
00D0C6DA    33C0            xor     eax, eax
00D0C6DC    5D              pop     ebp
00D0C6DD    C3              retn

会有二次.
全都不让他清 Dr0~3 的话, 你的OEP硬断点就有效了.[/QUOTE]

你太强了
2009-2-2 20:19
0
wyjwxx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
高手高手高高手
2009-2-4 19:59
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//