ASProtect 1.23脱壳附加数据去对话框
动画正上传中等待高手请略过
【文章标题】: ASProtect 1.23脱壳附加数据去LOG
【文章作者】: 追杀
【作者邮箱】: 没得
【作者主页】: 没得
【作者QQ号】: 46345049
【软件名称】: 566 KB
【软件大小】: 566 KB
【下载地址】: 自己搜索下载
【保护方式】: ASProtect 1.23
【使用工具】: OD LoaderPE IR
【操作平台】: WindowXP2
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
OD 载入忽略除了内存访问的所有异常,停在这里
00401000 >68 01B04000 PUSH ASProtec.0040B001
00401005 E8 01000000 CALL ASProtec.0040100B
0040100A C3 RETN
0040100B C3 RETN
0093311C 3100 XOR DWORD PTR DS:,EAX 第一次异常
0093311E EB 01 JMP SHORT 00933121
00932B79 3100 XOR DWORD PTR DS:,EAX 第二次异常
00932B7B EB 01 JMP SHORT 00932B7E
00932BC1 3100 XOR DWORD PTR DS:,EAX 第三次异常
00932BC3 64:8F05 0000000>POP DWORD PTR FS:
00932BCA 58 POP EAX
00932BCB E8 88FAFEFF CALL 00922658
009338CD 3100 XOR DWORD PTR DS:,EAX 第十五次异常
009338CF EB 01 JMP SHORT 009338D2
堆栈
0012FF5C 0012FF64指向下一个 SEH 记录的指针
0012FF60 00933884SE 处理器
0012FF64 0012FFE0指向下一个 SEH 记录的指针
0012FF68 009338FCSE 处理器
0012FF6C 0012FF90
0012FF70 00920000
0012FF74 00900000
0012FF78 009330B0
0012FF7C 0094072CASCII "Kj6oEAAwecY="
0012FF80 00400000ASProtec.00400000
00932AA6 3100 XOR DWORD PTR DS:,EAX 每十六次异常
00932AA8 64:8F05 0000000>POP DWORD PTR FS:
此时打开内存竞相
Memory map, 项目 23
地址=00401000 在这里F2
大小=00005000 (20480.)
属主=ASProtec 00400000
区段=
包含=代码
类型=映像 01001002
访问=R
初始访问=RWE
Shift+F9
OEP
00403831 55 PUSH EBP
00403832 8BEC MOV EBP,ESP
00403834 6A FF PUSH -1
00403836 68 F0624000 PUSH ASProtec.004062F0
0040383B 68 A44C4000 PUSH ASProtec.00404CA4
00403840 64:A1 00000000MOV EAX,DWORD PTR FS:
00403846 50 PUSH EAX
00403847 64:8925 0000000>MOV DWORD PTR FS:,ESP
0040384E 83EC 58 SUB ESP,58
00403851 53 PUSH EBX
00403852 56 PUSH ESI
00403853 57 PUSH EDI
00403854 8965 E8 MOV DWORD PTR SS:,ESP
用LoaderPE 脱壳,脱好后用IR 修复
无效指针用一级反汇编与IR自带插件修复
现在来运行程程
提示无效数据。
手动处理修复
HEX WORKSHOP用这个载入未脱壳文件
具体看操作,然后COPY数据
载入脱壳后的文件
具体看操作
去除对话框
下断 BP MessageBoxA
堆栈提示
0012F104 00409DDC/CALL 到 MessageBoxA 来自 dumped_2.00409DD7
0012F108 00120366|hOwner = 00120366 ('示例程序',class='Afx:10000000:b:10011:1900015:0')
0012F10C 004090E5|Text = "再见"
0012F110 004090E0|Title = "示例"
0012F114 00000000\Style = MB_OK|MB_APPLMODAL
00409D90 55 PUSH EBP 我们来到这里
改成 jmp 409DF1
OK
拜拜
http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=20&fid=6480711c466e47cf9f966f9332bc548af6d021e9551d4e3e
动画下载
提取码: 17e293f1
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年12月24日 3:27:31
[ 本帖最后由 enjon 于 2007-12-30 22:49 编辑 ] 谢谢。。。。。刚来,看不太懂~~ 看得懂一点,收到了,谢谢了 ASProtect /:001 低版本还好。。 在看在学/:010 /:010 可惜看不到录像了,想看看附加数据的处理…… 谢谢,我需要学习哦 到了ASProtect 2.x SKE 后的要补区段
我照着做 都失败也搞不清楚是为什么~!学习了~ 原帖由 天颖 于 2008-2-19 06:20 发表 https://www.chinapyg.com/images/common/back.gif
到了ASProtect 2.x SKE 后的要补区段
我照着做 都失败也搞不清楚是为什么~!学习了~
楼上的付加数据网上有教程的,1.23的好像有SDK 处理掉就行了,
不好意思很少时间上网,没来得急回复 这壳这个东东我怎么就学不会怎么弄的呢?
页:
[1]