ASProtect 1.23脱壳附加数据去对话框

enjon

动画正上传中等待
高手请略过
【文章标题】: ASProtect 1.23脱壳附加数据去LOG
【文章作者】: 追杀
【作者邮箱】: 没得
【作者主页】: 没得
【作者QQ号】: 46345049
【软件名称】: 566 KB
【软件大小】: 566 KB
【下载地址】: 自己搜索下载
【保护方式】: ASProtect 1.23
【使用工具】: OD LoaderPE IR
【操作平台】: WindowXP2
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  OD 载入忽略除了内存访问的所有异常，停在这里
  00401000 >  68 01B04000     PUSH ASProtec.0040B001
  00401005    E8 01000000     CALL ASProtec.0040100B
  0040100A    C3              RETN
  0040100B    C3              RETN
  
  0093311C    3100            XOR DWORD PTR DS:[EAX],EAX         第一次异常
  0093311E    EB 01           JMP SHORT 00933121
  
  00932B79    3100            XOR DWORD PTR DS:[EAX],EAX         第二次异常
  00932B7B    EB 01           JMP SHORT 00932B7E
  
  00932BC1    3100            XOR DWORD PTR DS:[EAX],EAX         第三次异常
  00932BC3    64:8F05 0000000>POP DWORD PTR FS:[0]
  00932BCA    58              POP EAX
  00932BCB    E8 88FAFEFF     CALL 00922658
  
  009338CD    3100            XOR DWORD PTR DS:[EAX],EAX         第十五次异常
  009338CF    EB 01           JMP SHORT 009338D2
  堆栈
  0012FF5C   0012FF64  指向下一个 SEH 记录的指针
  0012FF60   00933884  SE 处理器
  0012FF64   0012FFE0  指向下一个 SEH 记录的指针
  0012FF68   009338FC  SE 处理器
  0012FF6C   0012FF90
  0012FF70   00920000
  0012FF74   00900000
  0012FF78   009330B0
  0012FF7C   0094072C  ASCII "Kj6oEAAwecY="
  0012FF80   00400000  ASProtec.00400000
  
  
  
  
  00932AA6    3100            XOR DWORD PTR DS:[EAX],EAX         每十六次异常
  00932AA8    64:8F05 0000000>POP DWORD PTR FS:[0]
  
  此时打开内存竞相
  Memory map, 项目 23
   地址=00401000                                                 在这里F2
   大小=00005000 (20480.)
   属主=ASProtec 00400000
   区段=
   包含=代码
   类型=映像 01001002
   访问=R
   初始访问=RWE
  
  
  Shift+F9
  
  ＯＥＰ
  
  
  00403831    55              PUSH EBP
  00403832    8BEC            MOV EBP,ESP
  00403834    6A FF           PUSH -1
  00403836    68 F0624000     PUSH ASProtec.004062F0
  0040383B    68 A44C4000     PUSH ASProtec.00404CA4
  00403840    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
  00403846    50              PUSH EAX
  00403847    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
  0040384E    83EC 58         SUB ESP,58
  00403851    53              PUSH EBX
  00403852    56              PUSH ESI
  00403853    57              PUSH EDI
  00403854    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
  
  
  用LoaderPE 脱壳，脱好后用IR 修复
  无效指针用一级反汇编与ＩＲ自带插件修复
  现在来运行程程
  
  
  提示无效数据。
  手动处理修复
  
  HEX WORKSHOP用这个载入未脱壳文件
  具体看操作，然后ＣＯＰＹ数据
  载入脱壳后的文件
  具体看操作
  
  去除对话框
  下断 BP MessageBoxA
  
  堆栈提示
  0012F104   00409DDC  /CALL 到 MessageBoxA 来自 dumped_2.00409DD7
  0012F108   00120366  |hOwner = 00120366 ('示例程序',class='Afx:10000000:b:10011:1900015:0')
  0012F10C   004090E5  |Text = "再见"
  0012F110   004090E0  |Title = "示例"
  0012F114   00000000  \Style = MB_OK|MB_APPLMODAL
  
  
  
  00409D90    55              PUSH EBP  　我们来到这里
  改成 jmp 409DF1
  ＯＫ　
  
  拜拜
http://exs.mail.qq.com/cgi-bin/d ... 48af6d021e9551d4e3e
动画下载
提取码： 17e293f1
  
  
  
  
  
  
  
  
  
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年12月24日 3:27:31

[ 本帖最后由 enjon 于 2007-12-30 22:49 编辑 ]

angelfish

谢谢。。。。。刚来，看不太懂~~

kroyer

看得懂一点，收到了，谢谢了

magic659117852

ASProtect /:001 低版本还好。。

cc7x

在看在学/:010 /:010

惜雪

可惜看不到录像了，想看看附加数据的处理……

yzxyz68

谢谢，我需要学习哦

天颖

到了ASProtect 2.x SKE 后的  要补区段
我照着做 都失败  也搞不清楚是为什么~！  学习了~

enjon

原帖由 天颖 于 2008-2-19 06:20 发表
到了ASProtect 2.x SKE 后的  要补区段
我照着做 都失败  也搞不清楚是为什么~！  学习了~

楼上的付加数据网上有教程的,1.23的好像有SDK 处理掉就行了,

不好意思很少时间上网,没来得急回复

guguangxing

这壳这个东东我怎么就学不会怎么弄的呢？