网站 › 『 视频教程 』 › ASProtect 1.2 1.2c主程序脱壳+去暗桩+动画

enjon 发表于 2007-10-13 21:34:16

ASProtect 1.2 1.2c主程序脱壳+去暗桩+动画

【文章标题】: ASProtect 1.2 / 1.2c主程序脱壳
【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者主页】: 没有
【作者QQ号】: 46345049
【软件名称】: ASProtect
【软件大小】: 288 KB
【下载地址】: http://www.pediy.com/tools/PACK/Protectors/ASProtect/asprotect12.zip
【加壳方式】: ASProtect1.2
【保护方式】: 加密
【编写语言】: Bor
【使用工具】: OD LordPE ImportREC
【操作平台】: WinXp2
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
设置OD 设置：忽略除了内存访问的所有异常
OD载入停在这里:
00401000 >68 01F04800   PUSH ASProtec.0048F001
00401005    C3            RETN

Shift+F9: 第一次异常
00DD009D    3100            XOR DWORD PTR DS:,EAX
00DD009F    EB 01         JMP SHORT 00DD00A2

Shift+F9: 第二次异常
00DCFCF8    3100            XOR DWORD PTR DS:,EAX
00DCFCFA    EB 01         JMP SHORT 00DCFCFD
00DCFCFC    68 648F0500   PUSH 58F64

Shift+F9: 第三次异常
00DCFD3B    3100            XOR DWORD PTR DS:,EAX
00DCFD3D    64:8F05 0000000>POP DWORD PTR FS:
00DCFD44    58            POP EAX
00DCFD45    E8 4E29FFFF   CALL 00DC2698


Shift+F9: 第四次异常
00DCED49    3100            XOR DWORD PTR DS:,EAX
00DCED4B    EB 01         JMP SHORT 00DCED4E
00DCED4D    68 648F0500   PUSH 58F64

Shift+F9: 第五次异常
00DCEDB1    3100            XOR DWORD PTR DS:,EAX
00DCEDB3    EB 01         JMP SHORT 00DCEDB6
00DCEDB5    68 648F0500   PUSH 58F64

Shift+F9: 第六次异常
00DCEE43    3100            XOR DWORD PTR DS:,EAX
00DCEE45    EB 01         JMP SHORT 00DCEE48
00DCEE47    68 648F0500   PUSH 58F64

Shift+F9: 第七次异常
00DCEEB1    3100            XOR DWORD PTR DS:,EAX
00DCEEB3    EB 01         JMP SHORT 00DCEEB6
00DCEEB5    68 648F0500   PUSH 58F64

Shift+F9: 第八次异常
00DCEF22    3100            XOR DWORD PTR DS:,EAX
00DCEF24    EB 01         JMP SHORT 00DCEF27
00DCEF26    68 648F0500   PUSH 58F64

Shift+F9: 第九次异常
00DCFEB6    3100            XOR DWORD PTR DS:,EAX
00DCFEB8    EB 01         JMP SHORT 00DCFEBB
00DCFEBA    68 648F0500   PUSH 58F64

Shift+F9: 第十次异常
00DCEB3F    3100            XOR DWORD PTR DS:,EAX
00DCEB41    EB 01         JMP SHORT 00DCEB44
00DCEB43    68 648F0500   PUSH 58F64
Shift+F9: 第十七次异常
00DD0260    3100            XOR DWORD PTR DS:,EAX
00DD0262    EB 01         JMP SHORT 00DD0265
00DD0264    68 648F0500   PUSH 58F64
堆栈里：
0012D738   0012D740指向下一个 SEH 记录的指针
0012D73C   00DD0217SE 处理器
0012D740   0012FFE0指向下一个 SEH 记录的指针
0012D744   00DD0A6FSE 处理器
0012D748   0012FF90
0012D74C   00DC0000
0012D750   00DA0000
0012D754   00DD0038
0012D758   00000000
0012D75C   00DE1C44ASCII "G44ozAAQ6n0=" （硬盘指纹）




Shift+F9: 最后一次异常：
00DD0A2B    3100            XOR DWORD PTR DS:,EAX
00DD0A2D    EB 01         JMP SHORT 00DD0A30
00DD0A2F    68 648F0500   PUSH 58F64

此时打开内存竞相


Memory map, 项目 23
   地址=00401000         F2下断
   大小=00059000 (364544.)
   属主=ASProtec 00400000
   区段=
   包含=代码
   类型=映像 01001002
   访问=R
   初始访问=RWE

F2下断后，ＳＨＩＦＴ＋Ｆ９
别以为就到ＯＥＰ了还没有
还有一次异常
00DCFC2A    3100            XOR DWORD PTR DS:,EAX
00DCFC2C    64:8F05 0000000>POP DWORD PTR FS:
00DCFC33    58            POP EAX
那就再一次ＳＨＩＦＴ＋Ｆ９
00DE7A8A    FF02            INC DWORD PTR DS:
00DE7A8C^ EB E8         JMP SHORT 00DE7A76

再一次ＳＨＩＦＴ＋Ｆ９

ＯＥＰ出来了
00458FD8    55            PUSH EBP
00458FD9    8BEC            MOV EBP,ESP
00458FDB    83C4 F4         ADD ESP,-0C
00458FDE    E8 99A3FAFF   CALL ASProtec.0040337C
00458FE3    E8 F0B8FAFF   CALL ASProtec.004048D8
00458FE8    E8 23FAFAFF   CALL ASProtec.00408A10
00458FED    E8 9667FBFF   CALL ASProtec.0040F788
00458FF2    E8 AD6BFBFF   CALL ASProtec.0040FBA4
00458FF7    E8 048BFBFF   CALL ASProtec.00411B00
00458FFC    E8 7F03FCFF   CALL ASProtec.00419380
00459001    E8 AAD4FCFF   CALL ASProtec.004264B0
00459006    E8 5556FDFF   CALL ASProtec.0042E660
0045900B    E8 4074FDFF   CALL ASProtec.00430450
00459010    E8 4706FEFF   CALL ASProtec.0043965C
00459015    E8 32C1FEFF   CALL ASProtec.0044514C
0045901A    E8 21C8FEFF   CALL ASProtec.00445840
0045901F    E8 0440FFFF   CALL ASProtec.0044D028
00459024    E8 4340FFFF   CALL ASProtec.0044D06C
00459029    E8 EE40FFFF   CALL ASProtec.0044D11C
0045902E    E8 8942FFFF   CALL ASProtec.0044D2BC
00459033    E8 7C55FFFF   CALL ASProtec.0044E5B4
00459038    E8 5F61FFFF   CALL ASProtec.0044F19C
0045903D    A1 28564600   MOV EAX,DWORD PTR DS:
00459042    E8 D1CAFCFF   CALL ASProtec.00425B18

LordPE脱壳

ImportREC修复

ＯＥ　Ｐ：58FD8　
ＲＡ　Ｖ：00066114
ＳＩＺＥ：000005CC
无效指针：２６０个用反跟踪级别 1　级修复
还有一个：用ASProtect插件修复
抓取脱壳文件

当运行修复后的文件是，出现一个对话框，提示：
Access violation at address 00DCC6D8. Read of address OODCC6D8.
结束进程。

需要修复
之前这个ＯＤ不要关掉了
现在掉出错地方修复
F9运行，在堆栈里看到ＣＡＬＬ　出错的地址，我们跟进去
0045495F|.FF15 AC4F4600 CALL DWORD PTR DS: 这个call向原来未脱壳的壳地址
我们到未脱壳的ＯＤ里找到这个地址。看看它跑哪里去
0045495F    FF15 AC4F4600   CALL DWORD PTR DS: 来到这里Enter进去看看
好RETN这个东西，回到脱壳后的ＯＤ上来。我们在这里找一个返回(RETN)到内存地址跟随
修改保存一下。再重新载入，使用同样步骤操作。
修复成功运行

拜拜，我是追杀
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年10月13日 21:12:24

[ 本帖最后由 enjon 于 2007-10-14 13:33 编辑 ]

温柔 发表于 2007-10-13 22:16:18

强人膜拜一下。。。。

黑暗次序 发表于 2007-10-14 01:42:29

强人啊。学习/:014 /:014 /:014 /:014

aytcgjb 发表于 2007-10-14 07:25:25

强人写的不错，学习一下

网游难民 发表于 2007-10-14 13:54:09

/:good
学习下~~

pingan 发表于 2007-10-14 21:07:44

学习了，支持楼主

enjon 发表于 2007-10-17 11:25:41

谢谢版主加“yyjpcx 飘云币 +10 PYG有你更精彩！”了十云币/:014

pw2000 发表于 2007-10-17 16:16:28

下载来学习，谢谢！

AnDY.Z.N 发表于 2007-12-3 14:30:28

啥时候我也能这么牛X呢！

阳小子 发表于 2007-12-4 18:18:01

附件: 您所在的用户组无法下载或查看附件/:010

查看完整版本: ASProtect 1.2 1.2c主程序脱壳+去暗桩+动画