[求助]ASProtect 1.2x - 1.3x怎样修补被偷窃的代码-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]ASProtect 1.2x - 1.3x怎样修补被偷窃的代码 0.00雪花

发表于: 2009-5-9 14:58 8363

[旧帖] [求助]ASProtect 1.2x - 1.3x怎样修补被偷窃的代码 0.00雪花

涛越

2009-5-9 14:58

8363

ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
用了VolX大侠的Aspr2.XX_unpacker_v1.0SC.osc脚本，提示没有偷窃代码。
下面是脚本的运行记录：
00401000 程序入口点
         Remove-RtlNtGlobalFlags
         Remove-ForceFlags
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77181000    文件头中的代码大小是 00090C00, 已对区段扩容: '.text'
71A40000 模块 C:\windows\system32\wsock32.dll
71A41000    文件头中的代码大小是 00002400, 已对区段扩容: '.text'
7C80176F 断点位于 kernel32.GetSystemTime
00CFDAFA 断点位于 00CFDAFA
00D0945A 断点位于 00D0945A
00CE011A 断点位于 00CE011A
00CFD7AE 断点位于 00CFD7AE
00D07CB2 硬件断点 1 位于 00D07CB2
00D07C73 硬件断点 2 位于 00D07C73
00CFD8CF 断点位于 00CFD8CF
00CFD902 断点位于 00CFD902
00CFD957 断点位于 00CFD957
         Delphi 初始化表的地址 0060FE14
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
0103017E 断点位于 0103017E
00CE002E 断点位于 00CE002E
00CE0062 断点位于 00CE0062
00CE00C5 断点位于 00CE00C5
00CE01B4 断点位于 00CE01B4
00CE0156 断点位于 00CE0156
00CE0034 断点位于 00CE0034
00CEC8AC 断点位于 00CEC8AC
00CF66FF 断点位于 00CF66FF
00CFCE8C 硬件断点 1 位于 00CFCE8C
00ED02EC 条件暂停: eip < ED0000
         IAT 的地址 = 0063B1CC
         IAT 的相对地址 = 0023B1CC
         IAT 的大小 = 00000834
00CE0042 断点位于 00CE0042
         OEP 的地址 = 00ED02EC
         OEP 的相对地址 = 00AD02EC

到此结束，打开Import Reconstructor 1.6，选择OD调试的程序，输入上面的OEP相对地址，选择IAT自动搜索，提示：无效的OEP，它与内存中的程序不匹配。
PEID获取的OEP是0060EB04，用0020eb04也不行。请求指点，最好详细点。感谢！！！

要脱壳的软件地址：http://www.rayfile.com/files/1029199e-3cbe-11de-93b2-0019d11a795f/

我已按照2楼的方法操作过了，修补过后，程序不能运行，怎么回事？ peid查不是有效的PE文件。

20090509下午18：00
用Aspr2.XX_unpacker_v1.14aSC.osc脚本，提示有偷窃代码
下面是记录：
Log data
地址    消息
         OllyDbg v1.10
         点阵字体 'MS Sans Serif' 已被替换为 '宋体'
         +BP-OLLY - Ver 1.0 by RedH@wK
         [CracksLatinos] - [aRC] - [RVLCN]
         http://redhawk.hispadominio.com
         http://www.crackslatinos.hispadominio.net/
         http://groups.google.com/group/arc3000
         http://www.revolucion7000.com/
         Nonameo's ApiBreak
         Copyright (C) 2005 Nonameo
         API断点设置工具 - Ver 1.2 by 蓝色光芒
         Asm2Clipboard PlugIn v0.1
         Written by FaTmiKE 2oo4
         I used code snippets from ExtraCopy PlugIn v1.0 by Regon
         ...so thanks to Regon for his great job!
         Bookmarks sample plugin v1.06 (plugin demo)
         Copyright (C) 2001, 2002 Oleh Yuschuk
         CleanupEx v1.12.108  by Gigapede
         CommandBar v3.00.108
         Originary Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn

         GODUP ver 1.2 by godfather+ - Delphi edition

         Hide Caption v1.00  by Gigapede
         隐藏调试器 v1.2.3f
         Copyright (c) 2005 by Asterix
         HideOD, www.pediy.com
         IsDebugPresent plugin v1.4 (SV 2oo3)
         插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
         Labelmaster 插件 v0.1
         版权所有 (C) 2004 JoeStewart
         LoadMap version 0.1 by lgx/iPB loaded
         LoadMapEx v1.1 by forever[RCT]
         MemoryManage beta
         Copyright (C) 2004 pLayAr
         有任何建议请发邮件至 [email]playar0709@21cn.net[/email]
         ODbgScript v1.65.2 chinese version by hnhuqiong
         http://bbs.pediy.com or http://www.unpack.cn
         OllyDump v3.00.110  by Gigapede
         OllyFlow 插件 v0.71
         版权所有 (C) 2005 henryouly@pediy
         OllyMachine v0.20
         Written by Luo Cong
         Compiled on Dec  7 2004 14:32:15
         OllyScript v0.92
         Written by SHaG

         PhantOm plugin 1.20
            by Hellsp@wn & Archer
         Ultra String Reference v0.11
         Written by Luo Cong
         Compiled on Sep 20 2005 15:33:30
         WatchMan v1.00  by Gigapede
                     数据格式转换 plugin v1.1
         该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
               Copyright (C) 2006 by zhanshen[DFCG][RCT]
         正在扫描导入库 '.\LIB\MFC42.Lib'
         已解析出 6384 个序号
         正在扫描导入库 '.\LIB\mfc71.Lib'
         已解析出 6442 个序号

         文件 'E:\DLTA_Cngr\DLTA.exe'
            >> Status: Caption changed
            >> Status: FPU bug patched
            >> Status: OutputDebugString patched
            >> Hide Driver loading
               >> Random Hide driver name = TVT3rA3jTuVj.sys
               >> Random Hide driver symlink = \\.\TVT3rA3jTuVj
               >> Random Hide driver description = i0efAuTTowo
            >> Status: Driver loaded
         ID 00000D18 的新进程已创建
00401000 ID 00000918 的主线程已创建
            >> Status: PEB patched [on system]
            >> Status: KiUserExceptionDispatcher hooked
            >> Status: ZwContinue hooked
            >> Status: GetTickCount hooked
00400000 模块 E:\DLTA_Cngr\DLTA.exe
5D170000 模块 C:\windows\system32\comctl32.dll
5FDD0000 模块 C:\windows\system32\netapi32.dll
71A10000 模块 C:\windows\system32\WS2HELP.dll
71A20000 模块 C:\windows\system32\ws2_32.dll
76320000 模块 C:\windows\system32\comdlg32.dll
76990000 模块 C:\windows\system32\ole32.dll
770F0000 模块 C:\windows\system32\oleaut32.dll
77BD0000 模块 C:\windows\system32\version.dll
77BE0000 模块 C:\windows\system32\msvcrt.dll
77D10000 模块 C:\windows\system32\user32.dll
77DA0000 模块 C:\windows\system32\advapi32.dll
77E50000 模块 C:\windows\system32\RPCRT4.dll
77EF0000 模块 C:\windows\system32\GDI32.dll
77F40000 模块 C:\windows\system32\SHLWAPI.dll
77FC0000 模块 C:\windows\system32\Secur32.dll
7C800000 模块 C:\windows\system32\kernel32.dll
7C920000 模块 C:\windows\system32\ntdll.dll
7D590000 模块 C:\windows\system32\shell32.dll
         隐藏调试器
76300000 模块 C:\windows\system32\IMM32.DLL
62C20000 模块 C:\windows\system32\LPK.DLL
73FA0000 模块 C:\windows\system32\USP10.dll
00401000 程序入口点
            >> Status: EP break deleted
         IsDebugPresent hidden
         IsDebugPresent 已隐藏
         Remove-RtlNtGlobalFlags
         Remove-ForceFlags
         imgbase: 00400000 | ASCII "MZP"
         imgbasefromdisk: 00400000 | ASCII "MZP"
         tmp1: 004001F8
         1stsecsize: 00210000
         1stsecbase: 00401000 | DLTA.<模块入口点>
         tmp1: 00400360 | ASCII ".adata"
         lastsecsize: 00001000
         lastsecbase: 00725000
         isdll: 00000000
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
71A40000 模块 C:\windows\system32\wsock32.dll
7C80176F 断点位于 kernel32.GetSystemTime
         dllimgbase: 00CE0000
         tmp4: 00CFDAFA
00CFDAFA 断点位于 00CFDAFA
         thunkstop: 00CFD7AE
         APIpoint3: 00D07C73
         thunkpt: 00D0945A
         patch1: 00D091EC
         tmp2: 0000003B
         thunkdataloc: 00CE0200
         tmp2: 00CFD9C8
00400000 卸载 E:\DLTA_Cngr\DLTA.exe
5D170000 卸载 C:\windows\system32\comctl32.dll
5FDD0000 卸载 C:\windows\system32\netapi32.dll
62C20000 卸载 C:\windows\system32\LPK.DLL
71A10000 卸载 C:\windows\system32\WS2HELP.dll
71A20000 卸载 C:\windows\system32\ws2_32.dll
71A40000 卸载 C:\windows\system32\wsock32.dll
73FA0000 卸载 C:\windows\system32\USP10.dll
76300000 卸载 C:\windows\system32\IMM32.DLL
76320000 卸载 C:\windows\system32\comdlg32.dll
76990000 卸载 C:\windows\system32\ole32.dll
770F0000 卸载 C:\windows\system32\oleaut32.dll
77180000 卸载 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000 卸载 C:\windows\system32\version.dll
77BE0000 卸载 C:\windows\system32\msvcrt.dll
77D10000 卸载 C:\windows\system32\user32.dll
77DA0000 卸载 C:\windows\system32\advapi32.dll
77E50000 卸载 C:\windows\system32\RPCRT4.dll
77EF0000 卸载 C:\windows\system32\GDI32.dll
77F40000 卸载 C:\windows\system32\SHLWAPI.dll
77FC0000 卸载 C:\windows\system32\Secur32.dll
7C800000 卸载 C:\windows\system32\kernel32.dll
7C920000 卸载 C:\windows\system32\ntdll.dll
7D590000 卸载 C:\windows\system32\shell32.dll
         进程已终止
         正在扫描导入库 '.\LIB\MFC42.Lib'
         无法打开导入库
         正在扫描导入库 '.\LIB\mfc71.Lib'
         无法打开导入库

         文件 'E:\DLTA_Cngr\DLTA.exe'
            >> Status: OutputDebugString already patched
            >> Status: Driver already loaded
         ID 000009D8 的新进程已创建
00401000 ID 00000E88 的主线程已创建
            >> Status: PEB patched [on system]
            >> Status: KiUserExceptionDispatcher hooked
            >> Status: ZwContinue hooked
            >> Status: GetTickCount hooked
00400000 模块 E:\DLTA_Cngr\DLTA.exe
5D170000 模块 C:\windows\system32\comctl32.dll
5FDD0000 模块 C:\windows\system32\netapi32.dll
71A10000 模块 C:\windows\system32\WS2HELP.dll
71A20000 模块 C:\windows\system32\ws2_32.dll
76320000 模块 C:\windows\system32\comdlg32.dll
76990000 模块 C:\windows\system32\ole32.dll
770F0000 模块 C:\windows\system32\oleaut32.dll
77BD0000 模块 C:\windows\system32\version.dll
77BE0000 模块 C:\windows\system32\msvcrt.dll
77D10000 模块 C:\windows\system32\user32.dll
77DA0000 模块 C:\windows\system32\advapi32.dll
77E50000 模块 C:\windows\system32\RPCRT4.dll
77EF0000 模块 C:\windows\system32\GDI32.dll
77F40000 模块 C:\windows\system32\SHLWAPI.dll
77FC0000 模块 C:\windows\system32\Secur32.dll
7C800000 模块 C:\windows\system32\kernel32.dll
7C920000 模块 C:\windows\system32\ntdll.dll
7D590000 模块 C:\windows\system32\shell32.dll
         隐藏调试器
76300000 模块 C:\windows\system32\IMM32.DLL
62C20000 模块 C:\windows\system32\LPK.DLL
73FA0000 模块 C:\windows\system32\USP10.dll
00401000 程序入口点
            >> Status: EP break deleted
         IsDebugPresent hidden
         IsDebugPresent 已隐藏
         Remove-RtlNtGlobalFlags
         Remove-ForceFlags
         --> 锘縜sprotect 鏃х増鑴卞３鑴氭湰
         --> 浠呮敮鎸?.0, 1.1(娌¤杩?.1鐨?濮戜笖鎶奵hap708褰撲綔1.1鍚?, 1.2x鐨勶紝涓嶆敮鎸?.30鍙婁互涓婄殑鐗堟湰
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
71A40000 模块 C:\windows\system32\wsock32.dll
7C80176F 断点位于 kernel32.GetSystemTime
00CFDAFA 断点位于 00CFDAFA
00D0945A 断点位于 00D0945A
00CE011A 断点位于 00CE011A
00CFD7AE 断点位于 00CFD7AE
00D07CB2 硬件断点 1 位于 00D07CB2
00D07C73 硬件断点 2 位于 00D07C73
00CFD8CF 断点位于 00CFD8CF
00CFD902 断点位于 00CFD902
00CFD957 断点位于 00CFD957
         Delphi 初始化表的地址 0060FE14
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
0103017E 断点位于 0103017E
00CE002E 断点位于 00CE002E
00CE0077 断点位于 00CE0077
00CE00C5 断点位于 00CE00C5
00CE01B4 断点位于 00CE01B4
00CE0250 断点位于 00CE0250
00CE0034 断点位于 00CE0034
00CEC8AC 断点位于 00CEC8AC
00CF66FF 断点位于 00CF66FF
00CFCE8C 硬件断点 1 位于 00CFCE8C
00ED02EB 断点位于 00ED02EB
00CE07D9 断点位于 00CE07D9
00CE003E 断点位于 00CE003E
00CE00F2 断点位于 00CE00F2
00CE0030 断点位于 00CE0030
         IAT 的地址 = 0063B1CC
         IAT 的相对地址 = 0023B1CC
         IAT 的大小 = 00000834
00CE0079 断点位于 00CE0079
         OEP 的地址 = 006105D4
         OEP 的相对地址 = 002105D4
用ImportREC可以修复IAT，程序可以正常运行。请教怎么把偷窃的代码修复了！！！！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (11)
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 2 楼不是自动搜索！第一个空输入上面的OEP相对地址：00AD02EC 第二个空输入IAT 的相对地址：0023B1CC 第三个空输入IAT 的大小：00000834 然后点获取出入表 2009-5-9 15:33 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 3 楼 IAT 的相对地址 = 0023B1CC IAT 的大小 = 00000834 不都已经给你了吗 2009-5-9 17:09 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 4 楼谢谢楼上2位。我已按照楼上的方法操作过了，修补过后，程序不能运行，怎么回事？ 2009-5-10 01:16 0
啊CR 雪币： 623 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 59 回帖 334 粉丝 0 关注私信	啊CR 3 5 楼调试一下看看是异常退出还是自校验退出的 2009-5-10 01:28 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 6 楼是异常退出。OD提示：访问违例，访问[7CC0AE40]。另外程序错误提示：应用程序正常初始化（0xc0000005）失败。 2009-5-10 16:44 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 7 楼软件不是正式版，正式版下载地址： http://www.fhcpsoft.net/User/ 一组合法用户名和注册码格式： DABCDE1 12345-67890-12345678901 别破了，没用，作者忽悠人的。 2009-5-10 16:44 0
ttyysky 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	ttyysky 8 楼这种情况就是手动查找IAT就可以了````既然已经解密了，那手动找一下就ok ``` 2009-5-10 16:56 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 9 楼楼上2位高手的详细说下！！！ 2009-5-10 17:02 0
chzhn 雪币： 170 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 10 楼是不是你在用补丁前没有隐藏OD啊，先隐藏下再试试 2009-5-10 17:05 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 11 楼可以修复IAT了，请教怎么处理偷窃的代码/ 2009-5-10 18:30 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 12 楼 [QUOTE=rxzcums;621369]软件不是正式版，正式版下载地址： http://www.fhcpsoft.net/User/ 一组合法用户名和注册码格式： DABCDE1 12345-67890-12345678901 别破了，没用，作者忽悠人的。[/QUOTE] 没修复偷窃的代码，直接OD调试，可以爆破，可惜比你还是差多了，注册码没追出来。怎么修补偷窃代码呢？请指点！ 2009-5-10 20:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

涛越

发帖

105

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 2 楼不是自动搜索！第一个空输入上面的OEP相对地址：00AD02EC 第二个空输入IAT 的相对地址：0023B1CC 第三个空输入IAT 的大小：00000834 然后点获取出入表 2009-5-9 15:33 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 3 楼 IAT 的相对地址 = 0023B1CC IAT 的大小 = 00000834 不都已经给你了吗 2009-5-9 17:09 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 4 楼谢谢楼上2位。我已按照楼上的方法操作过了，修补过后，程序不能运行，怎么回事？ 2009-5-10 01:16 0
啊CR 雪币： 623 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 59 回帖 334 粉丝 0 关注私信	啊CR 3 5 楼调试一下看看是异常退出还是自校验退出的 2009-5-10 01:28 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 6 楼是异常退出。OD提示：访问违例，访问[7CC0AE40]。另外程序错误提示：应用程序正常初始化（0xc0000005）失败。 2009-5-10 16:44 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 7 楼软件不是正式版，正式版下载地址： http://www.fhcpsoft.net/User/ 一组合法用户名和注册码格式： DABCDE1 12345-67890-12345678901 别破了，没用，作者忽悠人的。 2009-5-10 16:44 0
ttyysky 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	ttyysky 8 楼这种情况就是手动查找IAT就可以了````既然已经解密了，那手动找一下就ok ``` 2009-5-10 16:56 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 9 楼楼上2位高手的详细说下！！！ 2009-5-10 17:02 0
chzhn 雪币： 170 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 10 楼是不是你在用补丁前没有隐藏OD啊，先隐藏下再试试 2009-5-10 17:05 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 11 楼可以修复IAT了，请教怎么处理偷窃的代码/ 2009-5-10 18:30 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 12 楼 [QUOTE=rxzcums;621369]软件不是正式版，正式版下载地址： http://www.fhcpsoft.net/User/ 一组合法用户名和注册码格式： DABCDE1 12345-67890-12345678901 别破了，没用，作者忽悠人的。[/QUOTE] 没修复偷窃的代码，直接OD调试，可以爆破，可惜比你还是差多了，注册码没追出来。怎么修补偷窃代码呢？请指点！ 2009-5-10 20:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复