首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [讨论]脱ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov 0.00雪花
发表于: 2009-5-31 15:04 1858

[旧帖] [讨论]脱ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov 0.00雪花

hmyxrj 活跃值
2009-5-31 15:04
1858
我是一位新手,认识看雪也有一段时间,看雪论坛里真是高手个个,经过在看雪论坛里的学到的东东也不少,个个都成了破解高手,当然我就是其中一名小菜鸟,也想在看雪里学点东东。可是最近想自自搞个脱壳软件真难呀!我想用这次机会跟坛里个位高手指点下这个软件在脱壳中出了什么问题,但愿坛里大师给小站指点指点!
脱壳目标是一个外挂:破天123.exe   侦壳软件:PEID0.95版查壳为ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov  我用侦壳软件:PEID0.94版查壳为ASProtect V2.X Registered -> Alexey Solodovnikov *小菜还不能确定是那种壳。望指点。当然坛有大师兄使用VoLX大侠的Aspr2.XX_unpacker_v1.0SC.osc这个脚本脱壳。当然我就按照他的方法照做。
   用od载入破天123程序提示本软件压缩,加密过要分析软件吗?点否。OD停在此
00401000 >  68 01C05100     PUSH 破天123.0051C001
00401005    E8 01000000     CALL 破天123.0040100B
0040100A    C3              RETN
0040100B    C3              RETN
0040100C    01BD CD71F9FF   ADD DWORD PTR SS:[EBP+FFF971CD],EDI
00401012    A2 08F56E6D     MOV BYTE PTR DS:[6D6EF508],AL
00401017    90              NOP
00401018  ^ 71 EE           JNO SHORT 破天123.00401008
0040101A    53              PUSH EBX
0040101B    27              DAA
0040101C    F5              CMC
0040101D    19BCB0 EC193CC1 SBB DWORD PTR DS:[EAX+ESI*4+C13C19EC],ED>
00401024    8F              ???                                      ; 未知命令
这时点OD菜单--插件---运行脚本--打开找到脚本Aspr2.XX_unpacker_v1.0SC打开这时OD就载入等几秒种后OD就弹出一个提示:注意,有些API没修复!  这点我就不明白了,会弹出这个提示。这里我看过坛里使用这个脚本不会有这样的提示!不管我就点:确定。OD停此。这时点OD查看记录也可用<ait+L键>
           窗口工具 OD插件 v0.06 BETA
             Coded by EsseEmme
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'D:\TDDOWNLOAD\new0\new0\破天123.exe'
           ID 00000E6C 的新进程已创建
00401000   ID 000007D8 的主线程已创建
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
5CC30000   卸载 C:\WINDOWS\system32\ShimEng.dll
00401000   程序入口点
7C80176F   断点位于 kernel32.GetSystemTime
00BEFF66   访问违规: 正在写入到 [00000000]
00BEE2BA   INT3 命令位于00BEE2BA
00BEF004   访问违规: 正在写入到 [00000000]
00BEF7F3   断点位于 00BEF7F3
00BEF6F4   断点位于 00BEF6F4
00BEF382   访问违规: 正在写入到 [00000000]
00BE4C5A   断点位于 00BE4C5A
00BB011A   断点位于 00BB011A
           AsprAPIloc: 00BF267C
00BEF4B8   断点位于 00BEF4B8
00BEDC3E   硬件断点 1 位于 00BEDC3E
00BEF5D1   断点位于 00BEF5D1
00BEF609   断点位于 00BEF609
00BD5538   断点位于 00BD5538
           SDK 偷代码区段 = 00000003
00BD5538   断点位于 00BD5538
00BD5538   断点位于 00BD5538
00BD39AB   断点位于 00BD39AB
00BB012D   断点位于 00BB012D
00BEF67A   断点位于 00BEF67A
00BB0156   断点位于 00BB0156
           CRC 校验在 0041D1A3
           CRC 校验在 0041D415
00BB0034   断点位于 00BB0034
00BB09D8   断点位于 00BB09D8
各位大师兄我这里就不明白了。明明坛里不是有人说了有如下出现。IAT的相对地址=xxxxx  oep的相对地址=xxxxx等这类出现我的却没有呢?小弟就是不明白这点。望坛友指示!提出是那里出了问题?小弟在此感谢!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
hmyxrj
雪    币: 108
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
那位大哥能指点下。
2009-6-2 19:20
0
qwoshiren
雪    币: 61
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
有些时候有提示~~有些时候要靠自己发现
2009-6-2 21:17
0
yyjjww
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
初学我也不知道,希望高手能给个解释,好让我学习一下
2010-1-14 21:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//