【已解决】手动脱壳“ASProtect v1.23 RC1”

chenming

软件下载http://qiruan.com/3344520.asp?url=http://qaplus.s11.163sc.com/down1/xqsjv76_setup.exe&id=378

PEID v0.94检测时显示为“ASProtect v1.23 RC1”。

00401000 > 68 02804000     PUSH virus.00408002                      ; (00) 载入后停在这里,[F9]运行.
00401005    E8 01000000     CALL virus.0040100B
0040100A    C3              RETN
0040100B    C3              RETN

0113E5FE    0000            add     byte ptr [eax], al      ；; (01) OD停在这里，提示“内存访问”异常。用[Shift+F9]忽略异常3次
0113E600    E8 33C05A59     call    5A6EA638
0113E605    59              pop     ecx
0113E606    64:8910         mov     dword ptr fs:[eax], edx
0113E609    EB 0F           jmp     short 0113E61A
0113E60B  ^ E9 5848FCFF     jmp     01102E68
0113E610    E8 73FBFFFF     call    0113E188
0113E615    E8 AA4BFCFF     call    011031C4


0113DA11    0000            add     byte ptr [eax], al    ；(03) OD停在这里，提示“内存访问”异常。找到异常处理代码所在的地址为0113DA1E下软断点用[Shift+F9]忽略异常
0113DA13    E8 33C05A59     call    5A6E9A4B
0113DA18    59              pop     ecx
0113DA19    64:8910         mov     dword ptr fs:[eax], edx
0113DA1C    EB 2B           jmp     short 0113DA49
0113DA1E  ^ E9 4554FCFF     jmp     01102E68                  ；（04）这里下软断点。在“03”处忽略异常并运行后来到这里。这时把该处的软断点取消掉，接下来[F8]单步运行(跳)。
0113DA23    8B45 F4         mov     eax, dword ptr [ebp-C]
0113DA26    50              push    eax


01102E68    8B4424 04       mov     eax, dword ptr [esp+4]   ；（05) 跳到这里后，[F8]单步向下走。
01102E6C    F740 04 0600000>test    dword ptr [eax+4], 6
01102E73    0F85 12010000   jnz     01102F8B
01102E79    8138 DEFAED0E   cmp     dword ptr [eax], 0EEDFADE
01102E7F    8B50 18         mov     edx, dword ptr [eax+18]
01102E82    8B48 14         mov     ecx, dword ptr [eax+14]
01102E85    74 6E           je      short 01102EF5
01102E87    FC              cld
01102E88    E8 FBFCFFFF     call    01102B88



0113E7B1    8B15 980A1401   mov     edx, dword ptr [1140A98]     ；（06）一直[F8]单步走到这里。
0113E7B7    8902            mov     dword ptr [edx], eax
0113E7B9    A1 980A1401     mov     eax, dword ptr [1140A98]
0113E7BE    8B00            mov     eax, dword ptr [eax]
0113E7C0    E8 3788FEFF     call    01126FFC
0113E7C5    A1 980A1401     mov     eax, dword ptr [1140A98]
0113E7CA    8B00            mov     eax, dword ptr [eax]
0113E7CC    8B4C24 04       mov     ecx, dword ptr [esp+4]
0113E7D0    8B1424          mov     edx, dword ptr [esp]
0113E7D3    E8 188BFEFF     call    011272F0
0113E7D8    84C0            test    al, al
0113E7DA    75 0A           jnz     short 0113E7E6
0113E7DC    68 4CE81301     push    113E84C                          ; ASCII "170",CR,LF
0113E7E1    E8 A270FDFF     call    01115888
0113E7E6    A1 980A1401     mov     eax, dword ptr [1140A98]
0113E7EB    8B00            mov     eax, dword ptr [eax]
0113E7ED    33D2            xor     edx, edx
0113E7EF    E8 7486FEFF     call    01126E68
0113E7F4    A1 980A1401     mov     eax, dword ptr [1140A98]
0113E7F9    8B00            mov     eax, dword ptr [eax]
0113E7FB    B1 01           mov     cl, 1
0113E7FD    33D2            xor     edx, edx
0113E7FF    E8 187BFEFF     call    0112631C
0113E804    8B0424          mov     eax, dword ptr [esp]
0113E807    E8 583DFCFF     call    01102564
0113E80C    A1 7C0A1401     mov     eax, dword ptr [1140A7C]
0113E811    C600 DE         mov     byte ptr [eax], 0DE
0113E814    803D F4081401 0>cmp     byte ptr [11408F4], 0
0113E81B    74 05           je      short 0113E822
0113E81D    E8 E2E1FFFF     call    0113CA04                       ；到这里我不会走了，F8单步
0113E822    8BC6            mov     eax, esi
0113E824    E8 EB43FCFF     call    01102C14
0113E829    A1 AC951401     mov     eax, dword ptr [11495AC]
0113E82E    E8 E143FCFF     call    01102C14
0113E833    E8 ACAAFFFF     call    011392E4
0113E838    E8 CF0CFFFF     call    0112F50C
0113E83D    59              pop     ecx
0113E83E    5A              pop     edx
0113E83F    5E              pop     esi
0113E840    5B              pop     ebx
0113E841    C3              retn                 ；到这里返回后
。。。。省略过程。。。。。。。。

02370000    81EF 07D4F700   sub     edi, 0F7D407     ；到这里后如何走，请高手帮我看一下。
02370006    E8 09000000     call    02370014
0237000B    5D              pop     ebp
0237000C    D2A3 A0591EFF   shl     byte ptr [ebx+FF1E59A0], cl
02370012    CC              int3
02370013    15 8BF95966     adc     eax, 6659F98B
02370018    B8 934181C1     mov     eax, C1814193
0237001D    41              inc     ecx
0237001E    0100            add     dword ptr [eax], eax
02370020    000F            add     byte ptr [edi], cl
02370022    B7 C2           mov     bh, 0C2
02370024    BE 11000000     mov     esi, 11
02370029    0FB7C7          movzx   eax, di
0237002C    FF31            push    dword ptr [ecx]
0237002E    0F84 25000000   je      02370059
02370034    0F87 17000000   ja      02370051
0237003A    E8 11000000     call    02370050
0237003F    F5              cmc
02370040    8AFB            mov     bh, bl
02370042    1871 56         sbb     byte ptr [ecx+56], dh
02370045    D7              xlat    byte ptr [ebx+al]
02370046    C4AD E27330A9   les     ebp, fword ptr [ebp+A93073E2]
0237004C    2E:CF           iretd
0237004E    5C              pop     esp
0237004F    65:5F           pop     edi
02370051    68 E19BB92C     push    2CB99BE1
02370056    B2 03           mov     dl, 3
02370058    5F              pop     edi
02370059    5B              pop     ebx
0237005A    66:8BD6         mov     dx, si
0237005D    81EB B3ED5318   sub     ebx, 1853EDB3
02370063    81DA B7C81E20   sbb     edx, 201EC8B7
02370069    81F3 70EF9A39   xor     ebx, 399AEF70
0237006F    66:B8 5339      mov     ax, 3953
02370073    81F3 E9428C5C   xor     ebx, 5C8C42E9
02370079    B0 13           mov     al, 13
0237007B    53              push    ebx
0237007C    81F7 FD65E54D   xor     edi, 4DE565FD
02370082    8F01            pop     dword ptr [ecx]
02370084    68 C00FA47D     push    7DA40FC0
02370089    81E2 B557F049   and     edx, 49F057B5
0237008F    81CF 97EE3E69   or      edi, 693EEE97
02370095    58              pop     eax
02370096    83E9 01         sub     ecx, 1
02370099    66:8BC2         mov     ax, dx
0237009C    E8 11000000     call    023700B2
023700A1    25 FAAB08A1     and     eax, A108ABFA
023700A6    C687 B4DD5223 2>mov     byte ptr [edi+2352DDB4], 20
023700AD    D99E 7F4C9566   fstp    dword ptr [esi+66954C7F]
023700B3    8BD0            mov     edx, eax
023700B5    58              pop     eax
023700B6    49              dec     ecx
023700B7    49              dec     ecx
023700B8    49              dec     ecx
023700B9    E9 0E000000     jmp     023700CC
023700BE    4E              dec     esi
023700BF    6F              outs    dx, dword ptr es:[edi]
023700C0    7C 05           jl      short 023700C7
023700C2    5A              pop     edx
023700C3    8B68 81         mov     ebp, dword ptr [eax-7F]
023700C6    26:67:14 BD     adc     al, 0BD
023700CA    B2 03           mov     dl, 3
023700CC    4E              dec     esi
023700CD    0F85 22000000   jnz     023700F5
023700D3    0F80 09000000   jo      023700E2
023700D9    81F0 D6171B02   xor     eax, 21B17D6
023700DF    80EC B0         sub     ah, 0B0
023700E2    E9 25000000     jmp     0237010C
023700E7    AE              scas    byte ptr es:[edi]
023700E8    4F              dec     edi
023700E9    DCE5            fsubr   st(5), st
023700EB    BA 6BC86186     mov     edx, 8661C86B
023700F0    47              inc     edi
023700F1  ^ 74 9D           je      short 02370090
023700F3    12E3            adc     ah, bl
023700F5    80D6 55         adc     dh, 55
023700F8  ^ E9 2FFFFFFF     jmp     0237002C
023700FD    5B              pop     ebx
023700FE    F8              clc
023700FF    D136            sal     dword ptr [esi], 1
02370101    37              aaa
02370102    A4              movs    byte ptr es:[edi], byte ptr [esi>
02370103    0D C2D31009     or      eax, 910D3C2
02370108    0E              push    cs
02370109    2F              das
0237010A    3C C5           cmp     al, 0C5
0237010C    1E              push    ds
0237010D    34 6B           xor     al, 6B
0237010F    17              pop     ss
02370110    D5 9C           aad     9C
02370112    E4 3D           in      al, 3D
02370114    4C              dec     esp
02370115    8C9E 5964E451   mov     word ptr [esi+51E46459], ds
0237011B    8007 7B         add     byte ptr [edi], 7B
0237011E    EF              out     dx, eax
0237011F    F9              stc
02370120    6E              outs    dx, byte ptr es:[edi]
02370121    B5 E6           mov     ch, 0E6
02370123    3A4CE3 7C       cmp     cl, byte ptr [ebx+7C]
02370127    A6              cmps    byte ptr [esi], byte ptr es:[edi>
02370128    4E              dec     esi
02370129    4E              dec     esi
0237012A    8A5B 25         mov     bl, byte ptr [ebx+25]
0237012D    9D              popfd
0237012E    2F              das
0237012F    5E              pop     esi
02370130    C7              ???                                      ; 未知命令
02370131    16              push    ss
02370132  ^ 72 A2           jb      short 023700D6
02370134    70 3A           jo      short 02370170
02370136    17              pop     ss
02370137    67:0B9C 2952    or      ebx, dword ptr [si+5229]
0237013C    193B            sbb     dword ptr [ebx], edi
0237013E  ^ 7E 8A           jle     short 023700CA
02370140    51              push    ecx
02370141    B5 A4           mov     ch, 0A4
02370143    A1 9BF53173     mov     eax, dword ptr [7331F59B]
02370148    4A              dec     edx
02370149    F8              clc
0237014A    692D D6D610CB F>imul    ebp, dword ptr [CB10D6D6], 45F2
02370154    0000            add     byte ptr [eax], al
02370156    0000            add     byte ptr [eax], al

[ 本帖最后由 chenming 于 2009-1-28 15:48 编辑 ]

小生我怕怕

地址失效的!

chenming

把地址复制到迅雷可以下载，请高手帮忙说一下思路最好发个教程，谢谢

E-Packer

Microsoft Visual C++ 8.0

UnPackED.rar

小生我怕怕

这个是2.3X的,用V大的脚本,直接就可以脱壳啦!

chenming

谢谢各位大大，但我想学一下自己脱壳，在百度搜的破文不够详细，希望大大们就这个写篇教程

chenming

谢谢各位大大的帮助

suyajun

问题解决了吗

wolailai2008

看看是哪个脚本