首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]ASProtect 1.23RC4 ,以壳解壳
发表于: 2005-4-26 09:37 3953

[求助]ASProtect 1.23RC4 ,以壳解壳

winndy 活跃值
17
2005-4-26 09:37
3953
看了精华上fly和小虾的文章,写得真好~~
...自己对着学,学脱ICONXP,
不知道是哪一步出了问题
用AsprDbgr v1.0beta修复IAT时,报告说应用程序初始化失败!
不知怎么回事.

然后我完全按照下面这篇上的notepad(本地下载)学,

"
标 题:以壳解壳,菜鸟也脱ASProtect 1.23RC4
发信人:小虾
时 间:2004-07-12,01:12
"
用AsprDbgr v1.0beta修复IAT时,还是报错!
是不是我用lordPE脱壳时的设置不对呢?
----------------------------------------------------

程序到这里的时候我用LordPE脱壳,先FullDump(先要CorrectSize,弹出的对话框,新旧Size都一样,不知道这一步的目的是什么?),然后Region dump,
区域:00EB0000,大小:0000C000.

00EB70F0     E8 00000000          call 00EB70F5
00EB70F5     5D                   pop ebp
00EB70F6     81ED 4DE14B00        sub ebp,4BE14D
00EB70FC     8D85 F2E04B00        lea eax,dword ptr ss:[ebp+4BE0F2]
00EB7102     8D8D 94E14B00        lea ecx,dword ptr ss:[ebp+4BE194]
00EB7108     03CB                 add ecx,ebx
00EB710A     8941 01              mov dword ptr ds:[ecx+1],eax
00EB710D     8D85 36E14B00        lea eax,dword ptr ss:[ebp+4BE136]
00EB7113     8D8D FAE04B00        lea ecx,dword ptr ss:[ebp+4BE0FA]
00EB7119     8901                 mov dword ptr ds:[ecx],eax
00EB711B     B8 5E140000          mov eax,145E
00EB7120     8D8D FFE04B00        lea ecx,dword ptr ss:[ebp+4BE0FF]
00EB7126     8901                 mov dword ptr ds:[ecx],eax
00EB7128     8D8D 94E14B00        lea ecx,dword ptr ss:[ebp+4BE194]
00EB712E     8D85 94F34B00        lea eax,dword ptr ss:[ebp+4BF394]
00EB7134     51                   push ecx
00EB7135     50                   push eax
00EB7136     E8 76FFFFFF          call 00EB70B1
00EB713B     61                   popad
00EB713C     EB 02                jmp short 00EB7140

再编辑dump.exe,从磁盘载入区段,修改区段的VOffset=00EB0000-00400000=00AB0000,
重建PE的设置只选了"验证PE",

用AsprDbgr v1.0beta修复IAT时,为什么报错呢?

把压缩了的notepad以及我脱壳的程序都传上来.

附件:NoTePAD.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
winndy
雪    币: 440
活跃值: (922)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
2
我犯了一个愚蠢的错误,没有仔细看教程...
用AsprDbgr v1.0beta打开的应该是未脱壳的文件,我打开dump后的文件,
所以报错...

修复后,Iconxp不能处理异常,然后就退出了....

跟踪脱壳后的文件,
010AE502     FF50 34              call dword ptr ds:[eax+34]

在该处异常,此时的状态:
EAX 0215C986
ECX 84F30DA8
EDX 0012FFC8
EBX 8054B938
ESP 0012FFE0
EBP FFFFFFFF
ESI 7C930738 ntdll.7C930738
EDI 7C816D4F kernel32.7C816D4F
EIP 010AE502 dumped2_.010AE502
C 0  ES 0023 32bit 0(FFFFFFFF)
P 1  CS 001B 32bit 0(FFFFFFFF)
A 0  SS 0023 32bit 0(FFFFFFFF)
Z 0  DS 0023 32bit 0(FFFFFFFF)
S 1  FS 003B 32bit 7FFDF000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_SUCCESS (00000000)
EFL 00000286 (NO,NB,NE,A,S,PE,L,LE)
ST0 empty -UNORM BCE0 01050104 00000000
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 1.0000000000000000000
ST7 empty 1.0000000000000000000
               3 2 1 0      E S P U O Z D I
FST 0000  Cond 0 0 0 0  Err 0 0 0 0 0 0 0 0  (GT)
FCW 1372  Prec NEAR,64  Mask    1 1 0 0 1 0

跟踪未脱壳文件,到这里:
010AE84A     FF50 34              call dword ptr ds:[eax+34]

状态为:
----------------------------------
EAX 010AE81D ASCII " ?$"
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFD8000
ESP 0012FFC0
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 010AE84A
C 0  ES 0023 32bit 0(FFFFFFFF)
P 0  CS 001B 32bit 0(FFFFFFFF)
A 0  SS 0023 32bit 0(FFFFFFFF)
Z 0  DS 0023 32bit 0(FFFFFFFF)
S 0  FS 003B 32bit 7FFDF000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_SUCCESS (00000000)
EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)
ST0 empty -UNORM BCE0 01050104 00000000
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 1.0000000000000000000
ST7 empty 96.000000000000000000
               3 2 1 0      E S P U O Z D I
FST 0020  Cond 0 0 0 0  Err 0 0 1 0 0 0 0 0  (GT)
FCW 1372  Prec NEAR,64  Mask    1 1 0 0 1 0
------------------------------------------------

不知为什么会这样?
请大家指教!!
2005-4-26 13:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回