ASProtect 2.1x SKE修复请教！

野猫III

软件名称：大头贴制作系统 V4.5
加入时间 ：2006-6-5 20:42:53
程序类别 ：共享
文件大小 23.2MB
应用平台 WIN9X/NT/XP/2003
下载地址：http://www.chinasoftware.cn/showsoft.asp?soft_id=33
软件介绍：你有没有想过自己DIY一张大头贴呢?大头贴制作系统就是本着简易操作的宗旨来开发的一套制作贴纸相的软件，用户只要简单的点一下鼠标就可以轻松制作出贴纸照片来.本软件不但能够打印出标准的大头贴,而且还支持将大头贴照片输出到屏幕保护程序以及将大头贴保存到硬盘,让你每时每刻都能看到自己亲手制作的大头贴!

脱壳过程：
一、PEiD查得ASProtect 2.1x SKE -> Alexey Solodovnikov [Overlay]壳。

二、OD载入，取消所有异常的忽略，重新载入程序。
00401000 >  68 01507D00     PUSH 大头贴制.007D5001  //载入后。
00401005    E8 01000000     CALL 大头贴制.0040100B
0040100A    C3              RETN
0040100B    C3              RETN
0040100C    60              PUSHAD
0040100D    AC              LODS BYTE PTR DS:[ESI]

按Shift+F9，35次程序运行。跟据大鸟们的经验，咱们重新载入，在35-1次停下来。
0118F569    0156 00         ADD DWORD PTR DS:[ESI],EDX   //停在这
0118F56C    EE              OUT DX,AL                                ; I/O 命令
0118F56D    B7 D8           MOV BH,0D8
0118F56F    855F E3         TEST DWORD PTR DS:[EDI-1D],EBX
0118F572    51              PUSH ECX
0118F573    F3:             PREFIX REP:                              ; 多余的前缀
0118F574    EB 02           JMP SHORT 0118F578

找开内存映射窗口(ALT+M),找到：
内存映射, 条目 23
地址=00401000
大小=00005000 (20480.)
属主=大头贴制 00400000
区段=
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
＋＋＋＋＋＋＋＋＋＋
设置内存访问断点后，Shift+F9一次程序来到这里.
00403A63    33C0            XOR EAX,EAX
00403A65    6A 00           PUSH 0
00403A67    394424 08       CMP DWORD PTR SS:[ESP+8],EAX
00403A6B    68 00100000     PUSH 1000
00403A70    0F94C0          SETE AL
00403A73    50              PUSH EAX
00403A74    FF15 54604000   CALL DWORD PTR DS:[406054]               ; kernel32.HeapCreate
接着一直按Shift+F9程序到这里：
00403E33    55              PUSH EBP    //OEP?
00403E34    8BEC            MOV EBP,ESP
00403E36    83EC 14         SUB ESP,14
00403E39    A1 488F4000     MOV EAX,DWORD PTR DS:[408F48]
00403E3E    8B15 4C8F4000   MOV EDX,DWORD PTR DS:[408F4C]
00403E44    53              PUSH EBX
00403E45    56              PUSH ESI
00403E46    8D0480          LEA EAX,DWORD PTR DS:[EAX+EAX*4]
00403E49    57              PUSH EDI
00403E4A    8D3C82          LEA EDI,DWORD PTR DS:[EDX+EAX*4]
00403E4D    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]

Dump下来EIP：3E33。查壳：什么也没发现，深度查得：
Microsoft Visual C++ 6.0

＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋
修复不了。程序出错，不知道这个壳脱得对不对，请多多指教。

004041ED    55              PUSH EBP
004041EE    8BEC            MOV EBP,ESP
004041F0    51              PUSH ECX
004041F1    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
004041F4    53              PUSH EBX
004041F5    56              PUSH ESI
004041F6    57              PUSH EDI
004041F7    8B71 10         MOV ESI,DWORD PTR DS:[ECX+10]

[ 本帖最后由 野猫III 于 2006-6-12 06:55 编辑 ]

风球

这种壳修复有点麻烦,等我有时间我也要去学习一下。易语言还要处理[Overlay]

期待有经验的高手来帮你解答，我了学习一下```哈```

飘云

E语言写的程序 加了壳，似乎是 纸老虎吧？

冷血书生

呵呵~~此程序的脱壳时间，可以用秒来计算~

风球

厉害,测试过完全正常?

记得以前玩过一下旧版的也是加这个壳的,用ECE来dump出易原体的方法,是可以完成脱壳,部分运行正常,但好像还有一些问题的,我就没搞了```

不知你们用得是什么方法呢? 秒脱  ,写篇脱文&破文给我们学习一下

hbqjxhw

3600秒脱，此壳的OEP好像是00403831。

不是猫兄说的
00403E33    55              PUSH EBP    //OEP?

应该选了保护原始入口。

野猫III

原帖由 hbqjxhw 于 2006-6-14 08:14 发表
3600秒脱，此壳的OEP好像是00403831。

不是猫兄说的
00403E33    55              PUSH EBP    //OEP?

应该选了保护原始入口。

呵呵，发个过程和做个演示来学习学习。。。

hbqjxhw

原帖由 冷血书生 于 2006-6-13 13:59 发表
呵呵~~此程序的脱壳时间，可以用秒来计算~

我还没搞出来，还是请冷兄作一个动画吧。

野猫III

原帖由 hbqjxhw 于 2006-6-14 20:09 发表

我还没搞出来，还是请冷兄作一个动画吧。

那算了。。。俺自己搞！虽然现在还不会。。。

zhimingcom

你们都是高手.一个比一个强