网站 › ≮ 脱壳求助 ≯ › ASPack 2.x (without poly) -> Alexey Solodovnikov[已解决]

zhan1616 发表于 2008-9-6 16:06:37

ASPack 2.x (without poly) -> Alexey Solodovnikov[已解决]

ASPack 2.x (without poly) -> Alexey Solodovnikov







这一层我已经脱掉了，还脱掉了一层ASP，还有这层脱了，可是无法修复～！


附件下载地址：http://zhan1616.ys168.com/      中的0000.rar








请知道的朋友指点一下～！谢谢～！















[ 本帖最后由 zhan1616 于 2008-9-8 14:10 编辑 ]

honkerbase 发表于 2008-9-6 18:03:13

程序发上来吧

程序发上来吧

zhan1616 发表于 2008-9-6 18:38:36

我的目标是学习，并无其它目的，如果楼上愿意请指点一下，谢谢～！

FuSi 发表于 2008-9-6 20:14:12

空指令的地方怎么可能是OEP。不明白LZ是靠什么来判断的。

zhan1616 发表于 2008-9-6 20:38:26

0042D3A7    0BC9            or      ecx, ecx
0042D3A9    8985 A8030000   mov   dword ptr , eax
0042D3AF    61            popad
0042D3B0    75 08         jnz   short 0042D3BA
0042D3B2    B8 01000000   mov   eax, 1
0042D3B7    C2 0C00         retn    0C
0042D3BA    68 43FB4100   push    0041FB43
0042D3BF    C3            retn
----在这里返回后即是OEP
0042D3C0    8B85 26040000   mov   eax, dword ptr
0042D3C6    8D8D 3B040000   lea   ecx, dword ptr
0042D3CC    51            push    ecx
0042D3CD    50            push    eax
0042D3CE    FF95 490F0000   call    dword ptr


返回后
0041FB43    0000            add   byte ptr , al
0041FB45    0000            add   byte ptr , al
0041FB47    0000            add   byte ptr , al
0041FB49    0000            add   byte ptr , al
0041FB4B    0000            add   byte ptr , al
0041FB4D    0000            add   byte ptr , al
0041FB4F    0000            add   byte ptr , al
0041FB51    0000            add   byte ptr , al
0041FB53    0000            add   byte ptr , al
0041FB55    0000            add   byte ptr , al
0041FB57    0000            add   byte ptr , al
0041FB59    0000            add   byte ptr , al
0041FB5B    0000            add   byte ptr , al
0041FB5D    0000            add   byte ptr , al
0041FB5F    0000            add   byte ptr , al
0041FB61    0000            add   byte ptr , al
0041FB63    0000            add   byte ptr , al
0041FB65    0000            add   byte ptr , al
0041FB67    0000            add   byte ptr , al
0041FB69    0000            add   byte ptr , al
0041FB6B    0000            add   byte ptr , al
0041FB6D    0000            add   byte ptr , al
0041FB6F    0000            add   byte ptr , al
0041FB71    0000            add   byte ptr , al
0041FB73    0000            add   byte ptr , al
0041FB75    0000            add   byte ptr , al
0041FB77    0000            add   byte ptr , al
0041FB79    0000            add   byte ptr , al
0041FB7B    0000            add   byte ptr , al
0041FB7D    0000            add   byte ptr , al
0041FB7F    0000            add   byte ptr , al
0041FB81    0000            add   byte ptr , al
0041FB83    0000            add   byte ptr , al
0041FB85    0000            add   byte ptr , al
0041FB87    0000            add   byte ptr , al
0041FB89    0000            add   byte ptr , al
0041FB8B    0000            add   byte ptr , al
0041FB8D    0000            add   byte ptr , al
0041FB8F    0000            add   byte ptr , al
0041FB91    0000            add   byte ptr , al
0041FB93    0000            add   byte ptr , al

enjon 发表于 2008-9-6 21:00:14

这样是看不出什么的，需要把原文件放上来让大家参考

aj3423 发表于 2008-9-6 21:33:36

od载入，ctrl+S 搜索
push 0
retn

在 retn处F4 ->F8-> dump

zhan1616 发表于 2008-9-6 22:10:42

楼上的，没错啊，我的地址是一样的啊～！就是在那里脱掉的～！

Luckly 发表于 2008-9-7 09:03:47

虽然很像压缩壳的出口 但是从代码上看不是OEP发个程序上来。

zhan1616 发表于 2008-9-7 17:17:09

附件已上传～！～！～！请帮忙

查看完整版本: ASPack 2.x (without poly) -> Alexey Solodovnikov[已解决]