- UID
- 11574
注册时间2006-4-30
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
【PYG官方论坛】https://www.chinapyg.com
大家有空去看看
================
我是个菜鸟,想跟大家学习点技术。
QQ:381907802
第一次做动画,有什么错误的地方望高手指正。
今天和大家讨论一下
手动脱壳之ASProtect V2.X Registered -> Alexey Solodovnikov *
//////////////////////////
设置Ollydbg忽略除了“内存访问异常”之外的所有其他异常选项。
用插件去掉Ollydbg的调试器标志。
////////////////////////////////////////
OD载入后停在这里:
00401000 > 68 01B05600 PUSH csetup.0056B001 ===》壳的入口,F9运行
00401005 E8 01000000 CALL csetup.0040100B
0040100A C3 RETN
0040100B C3 RETN
0040100C 0D 6F2F026F OR EAX,6F022F6F
00401011 5B POP EBX
===============
Shift+F9按N次,注意右下角堆栈
00AFFAFF C601 9E MOV BYTE PTR DS:[ECX],9E
00AFFB02 BB 71FE8A67 MOV EBX,678AFE71
00AFFB07 64:8F06 POP DWORD PTR FS:[ESI]
00AFFB0A 0000 ADD BYTE PTR DS:[EAX],AL
00AFFB0C 83C4 04 ADD ESP,4
00AFFB0F 8D0C07 LEA ECX,DWORD PTR DS:[EDI+EAX]
00AFFB12 59 POP ECX
=====================
0012FF50 0012FF5C 指向下一个 SEH 记录的指针
0012FF54 00AFFA50 SE处理程序
0012FF58 00000002
0012FF5C 0012FF80 指向下一个 SEH 记录的指针
0012FF60 00AFFFE8 SE处理程序
0012FF64 0012FF78
0012FF68 00A80000
0012FF6C 00AFF62C
0012FF70 00000000
0012FF74 00B3D84C ASCII "FECE69A1-E37D" ====》硬盘特征指纹
0012FF78 0012FF98
0012FF7C 00ADE2D0
0012FF80 0012FFE0 指向下一个 SEH 记录的指针
0012FF84 00AFF854 SE处理程序
0012FF88 0012FF98
Shift+F9经过=23次异常后,堆栈出现硬盘特征指纹
=================
Shift+F9按5次,堆栈硬盘特征指纹消失,再按1次Shift+F9
00AFE8F9 C601 9E MOV BYTE PTR DS:[ECX],9E
00AFE8FC BB 71FE8A67 MOV EBX,678AFE71
00AFE901 64:8F06 POP DWORD PTR FS:[ESI]
00AFE904 0000 ADD BYTE PTR DS:[EAX],AL
00AFE906 83C4 04 ADD ESP,4
00AFE909 8D0C07 LEA ECX,DWORD PTR DS:[EDI+EAX]
00AFE90C 59 POP ECX
00AFE90D A1 4848B000 MOV EAX,DWORD PTR DS:[B04848]
==================
向上找到这里:
00AFE8E3 C3 RETN
00AFE8E4 EB 01 JMP SHORT 00AFE8E7
00AFE8E6 9A C1D19D36 EB0>CALL FAR 01EB:369DD1C1 ; 远调用
00AFE8ED 9A 83F1102B C96>CALL FAR 64C9:2B10F183 ; 远调用
00AFE8F4 FF31 PUSH DWORD PTR DS:[ECX]
00AFE8F6 64:8921 MOV DWORD PTR FS:[ECX],ESP
00AFE8F9 C601 9E MOV BYTE PTR DS:[ECX],9E
在00AFE8E3 C3 RETN按F2下断,Shift+F9断下,取消断点,F8单步
7C9237BF 64:8B25 0000000>MOV ESP,DWORD PTR FS:[0]
7C9237C6 64:8F05 0000000>POP DWORD PTR FS:[0]
7C9237CD 8BE5 MOV ESP,EBP
7C9237CF 5D POP EBP
7C9237D0 C2 1400 RETN 14
Alt+M查看内存在00401000按F2下断,F9运行
004B02B8 55 PUSH EBP
004B02B9 8BEC MOV EBP,ESP
004B02BB 83C4 E4 ADD ESP,-1C
004B02BE 53 PUSH EBX
004B02BF 56 PUSH ESI
004B02C0 33C0 XOR EAX,EAX
004B02C2 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
004B02B8程序OEP脱壳之。是Borland Delphi 6.0 - 7.0
==================
脱壳之后如何修复请高手指教。
动画下载
http://free.ys168.com/?a3chenming |
|
IP卡
发表于 2007-3-5 03:18:43
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-3-5 05:32:25
发表于 2007-3-5 09:51:49
发表于 2007-3-5 12:15:26
发表于 2007-3-16 11:04:59