野猫III 发表于 2006-6-12 06:42:18

ASProtect 2.1x SKE修复请教!

软件名称:大头贴制作系统 V4.5
加入时间 :2006-6-5 20:42:53
程序类别 :共享
文件大小 23.2MB
应用平台 WIN9X/NT/XP/2003
下载地址:http://www.chinasoftware.cn/showsoft.asp?soft_id=33
软件介绍:你有没有想过自己DIY一张大头贴呢?大头贴制作系统就是本着简易操作的宗旨来开发的一套制作贴纸相的软件,用户只要简单的点一下鼠标就可以轻松制作出贴纸照片来.本软件不但能够打印出标准的大头贴,而且还支持将大头贴照片输出到屏幕保护程序以及将大头贴保存到硬盘,让你每时每刻都能看到自己亲手制作的大头贴!

脱壳过程:
一、PEiD查得ASProtect 2.1x SKE -> Alexey Solodovnikov 壳。

二、OD载入,取消所有异常的忽略,重新载入程序。
00401000 >68 01507D00   PUSH 大头贴制.007D5001//载入后。
00401005    E8 01000000   CALL 大头贴制.0040100B
0040100A    C3            RETN
0040100B    C3            RETN
0040100C    60            PUSHAD
0040100D    AC            LODS BYTE PTR DS:

按Shift+F9,35次程序运行。跟据大鸟们的经验,咱们重新载入,在35-1次停下来。
0118F569    0156 00         ADD DWORD PTR DS:,EDX   //停在这
0118F56C    EE            OUT DX,AL                              ; I/O 命令
0118F56D    B7 D8         MOV BH,0D8
0118F56F    855F E3         TEST DWORD PTR DS:,EBX
0118F572    51            PUSH ECX
0118F573    F3:             PREFIX REP:                              ; 多余的前缀
0118F574    EB 02         JMP SHORT 0118F578

找开内存映射窗口(ALT+M),找到:
内存映射, 条目 23
地址=00401000
大小=00005000 (20480.)
属主=大头贴制 00400000
区段=
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
++++++++++
设置内存访问断点后,Shift+F9一次程序来到这里.
00403A63    33C0            XOR EAX,EAX
00403A65    6A 00         PUSH 0
00403A67    394424 08       CMP DWORD PTR SS:,EAX
00403A6B    68 00100000   PUSH 1000
00403A70    0F94C0          SETE AL
00403A73    50            PUSH EAX
00403A74    FF15 54604000   CALL DWORD PTR DS:               ; kernel32.HeapCreate
接着一直按Shift+F9程序到这里:
00403E33    55            PUSH EBP    //OEP?
00403E34    8BEC            MOV EBP,ESP
00403E36    83EC 14         SUB ESP,14
00403E39    A1 488F4000   MOV EAX,DWORD PTR DS:
00403E3E    8B15 4C8F4000   MOV EDX,DWORD PTR DS:
00403E44    53            PUSH EBX
00403E45    56            PUSH ESI
00403E46    8D0480          LEA EAX,DWORD PTR DS:
00403E49    57            PUSH EDI
00403E4A    8D3C82          LEA EDI,DWORD PTR DS:
00403E4D    8B45 08         MOV EAX,DWORD PTR SS:

Dump下来EIP:3E33。查壳:什么也没发现,深度查得:
Microsoft Visual C++ 6.0

+++++++++++++++++++++++
修复不了。程序出错,不知道这个壳脱得对不对,请多多指教。

004041ED    55            PUSH EBP
004041EE    8BEC            MOV EBP,ESP
004041F0    51            PUSH ECX
004041F1    8B4D 08         MOV ECX,DWORD PTR SS:
004041F4    53            PUSH EBX
004041F5    56            PUSH ESI
004041F6    57            PUSH EDI
004041F7    8B71 10         MOV ESI,DWORD PTR DS:

[ 本帖最后由 野猫III 于 2006-6-12 06:55 编辑 ]

风球 发表于 2006-6-12 13:53:35

这种壳修复有点麻烦,等我有时间我也要去学习一下。易语言还要处理

期待有经验的高手来帮你解答,我了学习一下```哈```

飘云 发表于 2006-6-12 21:47:07

E语言写的程序 加了壳,似乎是 纸老虎吧?

冷血书生 发表于 2006-6-13 13:59:30

呵呵~~此程序的脱壳时间,可以用秒来计算~

风球 发表于 2006-6-13 18:59:17

厉害,测试过完全正常?

记得以前玩过一下旧版的也是加这个壳的,用ECE来dump出易原体的方法,是可以完成脱壳,部分运行正常,但好像还有一些问题的,我就没搞了```

不知你们用得是什么方法呢? 秒脱,写篇脱文&破文给我们学习一下

hbqjxhw 发表于 2006-6-14 08:14:22

3600秒脱,此壳的OEP好像是00403831。

不是猫兄说的
00403E33    55            PUSH EBP    //OEP?

应该选了保护原始入口。

野猫III 发表于 2006-6-14 17:41:40

原帖由 hbqjxhw 于 2006-6-14 08:14 发表
3600秒脱,此壳的OEP好像是00403831。

不是猫兄说的
00403E33    55            PUSH EBP    //OEP?

应该选了保护原始入口。

呵呵,发个过程和做个演示来学习学习。。。

hbqjxhw 发表于 2006-6-14 20:09:25

原帖由 冷血书生 于 2006-6-13 13:59 发表
呵呵~~此程序的脱壳时间,可以用秒来计算~
我还没搞出来,还是请冷兄作一个动画吧。

野猫III 发表于 2006-6-15 12:10:46

原帖由 hbqjxhw 于 2006-6-14 20:09 发表

我还没搞出来,还是请冷兄作一个动画吧。

那算了。。。俺自己搞!虽然现在还不会。。。

zhimingcom 发表于 2006-6-18 07:54:09

你们都是高手.一个比一个强
页: [1] 2
查看完整版本: ASProtect 2.1x SKE修复请教!