ASProtect V2.X脱壳+处理附加数据+去自校验~
--------------------------------------------------------------------------ASProtect V2.X脱壳+处理附加数据+去自校验
作者:Hmily
博客:Http://Blog.52Hmily.Cn
QQ群:39940458
-------------------------------------------------------------------
大家好,我是Hmily,今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.09.13脱壳教程,需要的工具有:
PEiD,OD,Volx大侠ASProtect脚本(http://www.unpack.cn/viewthread.php?tid=9487),ImportREC,Overlay 最终版,Resource Binder......(这些网上都能下到,就不提供了)
这个是我上次脱Q宠保姆VC版 2.23 SP7版 2007.09.06的记录:http://hi.baidu.com/52hmily/blog/item/53d0757f787a120b28388a04.html
好,开始,先查下壳
普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov * Sign.By.fly *注意是有附加数据的
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 06.26 Beta
第一步:脱壳
先OD载入吧,运行脚本,就会自动脱壳了,脱完先修复,先查看OD运行记录,再打开ImportREC,然后对照着填OEP地址,点获取输入表,再点修复转存文件。
第二步:处理附加数据
好了,现在来处理附加数据,打开Overlay,点复制Overlay,这样就处理了附加数据
第三步:去自校验
现在还是运行不了,看来是有自校验,我们把脱好的程序再次载入OD,在命令出输入:bp CreateFileA,回车,按F9运行,到这就可以了,下面看清楚,点反汇编窗口中跟随,F2下端,F9运行到这里,取消断点,这里都是系统的领空,我们要到程序的领空去,按F8先跟到程序领空,好,这里已经到系统领空了,下面还是用F8跟,后面慢慢来,大家看好,
004638D8 . A3 04DB4D00 mov dword ptr , eax
004638DD . E8 61F5FFFF call 00462E43
004638E2 . E8 272BFFFF call 0045640E
004638E7 . 85C0 test eax, eax
004638E9 . 0F85 15010000 jnz 00463A04 ————跳转没实现
004638EF . 52 push edx
004638F0 . 57 push edi
004638F1 . C1D2 E7 rcl edx, 0E7
004638F4 . 83EA 03 sub edx, 3
004638F7 . 68 28214200 push 00422128
004638FC . 81D2 EC7E7BD3 adc edx, D37B7EEC
00463902 . 5A pop edx
00463903 . FF32 push dword ptr
00463905 . 335424 08 xor edx, dword ptr
00463909 . 335424 28 xor edx, dword ptr
如果这样下去你会发现程序就结束了,说明这里是关键的跳转,我们先看看,继续跟,出错了,好了,现在我们重新载入程序,直接跳到刚才那个地方004638E9,
004638E9 . /0F85 15010000 jnz 00463A04
没实现跳转,我们来让他实现,可以直接把JNZ改成JMP就可以了,保存
好,我们现在再看看能不能运行,晕,刚才突然点错了,我们继续,OK,可以啦,查下壳 VC8 -> Microsoft Corporation *,我们再用Resource Binder给它优化下,重建资源,
程序也会小点,好了,这样教程就结束了。
欢迎大家和我交流技术!
88
教程地址:http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=9&fid=0cbdb835689494c2390e0293d53a95281125d325ea32d7ce
提取码:edac828d
Q宠保姆VC版 2.23 SP8版2007.09.13UNPack:http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=3&fid=0aae5f8d3c23dcb602a712b93d69d4d0ac7ddece7271e0dc
提取码:ae5027bb
[ 本帖最后由 glts 于 2007-9-16 17:45 编辑 ] 不错,希望看到更多的文章. 恩,我会继续努力。。。。。。。。。/:014 恩,我会继续努力。。。。。。。。。 我需要好好研究一下最后的去除自效验一段—— 楼上可以到黑吧去看看FOBNN的教程。讲得很详细关于去自校验 真的不错,开眼了/:014 真的不错,/:001 /:001 /:001 呵呵-我是菜鸟,只能按着葫芦花个瓢了-呵呵,在某论坛看到有人求助脱壳,正好练练...
程序也是保姆。不过是老版本的....2.23 SP2 2007.07.03版本
扫描一下显示为-ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *,VerA1.5扫描为Version: ASProtect 2.3 SKE build 06.26 Beta ,呵呵-人家VolX的脚本就是脱壳机了-那么对于我这样的菜鸟来说就是宝贝呀!
先试试再说!OD载入程序-用脚本跑一遍看看,结果显示“没有偷窃代码”,这太好了!补区段我还不太会呢!跑完后自动生成了脱壳后文件,然后用ImportREC修复:OEP = 000370BF,修复好后的程序还是不能正常运行。没有附加数据-
看来有自校验:把修复好的程序用OD载入,然后输入命令:bp CreateFileA,下断完继续跟,最后找到校验的地方:
004626C1 .A3 F43A4D00 mov dword ptr ds:,eax
004626C6 .E8 39F7FFFF call de_QQPet.00461E04
004626CB .E8 6C34FFFF call de_QQPet.00455B3C
004626D0 .85C0 test eax,eax
004626D2 0F85 15010000 jnz de_QQPet.004627ED -日的,这个跳转没有实现,jmp it
004626D8 .53 push ebx
004626D9 .56 push esi
004626DA .8D5B 4A lea ebx,dword ptr ds:
004626DD .23DD and ebx,ebp
004626DF .035C24 18 add ebx,dword ptr ss:
004626E3 .BB BE494100 mov ebx,de_QQPet.004149BE
[ 本帖最后由 wangwei.hebtu 于 2007-9-27 21:00 编辑 ] 其实现在有些Volx大侠ASProtect脚本不能脱壳的版本和软件更有研究头