jisheng 发表于 2005-12-17 13:38:49

ASProtect 2.1x SKE 脱壳

[转帖]学习ASProtect 2.1x SKE 脱壳

【目   标】:Security Officer for Windows 6.7.1.1
【工   具】:flyodbg1.1、LORDPE、ImportREC,WinHex
【任   务】:脱壳、修复
【操作平台】:Windows XP sp2
【作   者】: mirrormask
【相关链接】: google
【简要说明】:老婆经常偷玩游戏,近日又迷上英雄无敌,荒废学业。某天突发奇志,要金盆洗手,要我找一用户控制软件,功能要求是在她的用户界面下,只能进入学习资料文件夹。于是找到一名为Security Officer for Windows的冬冬,方便之处不能细数。可是只有30天试用期。想我也在看雪受诸位高手熏陶多时,向老婆夸下海口,要在30天内解除软件限制,使她的学习环境得到保证.找来高手文章,边学边练,12日后,神功初成,软柿子涅扁。
CODE:
--------------------------------------------------------------------------------

【详细过程】:
peid:ASProtect 2.1x SKE -> Alexey Solodovnikov
od,大概32次异常后下code段内存断点,shift-f9,断下
00529D3C   55             push ebp ;这里
00529D3D   8BEC             mov ebp,esp
00529D3F   83C4 F0         add esp,-10
00529D42   B8 4C975200       mov eax,wso.0052974C
00529D47   E8 88CFEDFF       call wso.00406CD4
做了一个只有32 个esto 的odscript脚本(别的指令不会)。简陋,但方便。
无stolen code,窃喜。
1、iat初步分析
粗跟一下,会看到call进入壳里了。
00406C10   E8 EB93DA00       call 011B0000 ;可能是其他数值
搜索命令 call 011B0000,发现从 40123c开始,类似
/*40123C*/ jmp dword ptr ds:
形式的语句,他们本应整齐排列,530***就应是iat位置。但被call 011B0000这类指令打断,api调用被加密。d 530000,发现从5301b4到5309a0处是iat表,但是iat表被加密,比如:
005301F0 *5C B4 FB 1B   AD 9C 80 7C   *C8 2D E7 47   11 03 81 7C \贷瓬

renaihaore 发表于 2005-12-20 12:05:27

好帖子

xumount 发表于 2005-12-25 11:41:59

aa9518 发表于 2005-12-26 09:22:48

到了,厉害。。。

夜之魂 发表于 2006-1-4 14:29:22

ASProtect 2.1x SKE
一直是我心中的痛!搞不定啊

lamsen 发表于 2006-1-6 18:14:33

zhuzhoo 发表于 2006-1-9 17:13:22

Iceman 发表于 2006-1-23 04:06:11

得找时间,实践下

ihhvqu 发表于 2006-1-23 22:23:21

楼主真是高人呀,我可搞不定。。

hyd009 发表于 2006-1-24 03:32:35

精华贴啊----------
页: [1] 2 3
查看完整版本: ASProtect 2.1x SKE 脱壳