首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov 的脱壳
发表于: 2005-11-14 17:48 5569

ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov 的脱壳

混世魔王 活跃值
2
2005-11-14 17:48
5569
软件 ----- 超星数字图书馆3.8
查壳,为ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov
OD载入程序,
00B1C001 > 60               PUSHAD  \\入口
00B1C002   E9 FC050000      JMP ssreader.00B1C603
00B1C007   55               PUSH EBP
00B1C008   8930             MOV DWORD PTR DS:[EAX],ESI
00B1C00A   856D 17          TEST DWORD PTR SS:[EBP+17],EBP
00B1C00D   8E06             MOV ES,WORD PTR DS:[ESI]                 ; 修正的段位寄存器

F9运行。

0144FF94   8DC0             LEA EAX,EAX                              ; 非法使用寄存器
0144FF96   EB 01            JMP SHORT 0144FF99
0144FF98   68 648F0500      PUSH 58F64
0144FF9D   0000             ADD BYTE PTR DS:[EAX],AL

0145053D   8DC0             LEA EAX,EAX                              ; 非法使用寄存器
0145053F   EB 01            JMP SHORT 01450542
01450541   68 648F0500      PUSH 58F64
01450546   0000             ADD BYTE PTR DS:[EAX],AL
01450548   00EB             ADD BL,CH
0145054A   02E8             ADD CH,AL

继续Shift+F9 12次到最后一次SEH异常。
Alt+M 打开内存镜像

内存镜像
内存镜像,项目 14
内存镜像,项目 13
地址=00400000
大小=00001000 (4096.)
Owner=ssreader 00400000 (itself)
区段=
包含=PE header
类型=Imag 01001002
访问=R
初始访问=RWE
地址=00401000
大小=00392000 (3743744.)
Owner=ssreader 00400000
区段=
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
在Code段下 内存访问断点
Shift+F9运行
程序到
00401C30   EB 10            JMP SHORT ssreader.00401C42
00401C32   66:623A          BOUND DI,DWORD PTR DS:[EDX]
00401C35   43               INC EBX
00401C36   2B2B             SUB EBP,DWORD PTR DS:[EBX]
00401C38   48               DEC EAX
00401C39   4F               DEC EDI
00401C3A   4F               DEC EDI
00401C3B   4B               DEC EBX
00401C3C   90               NOP
迷惑,看前人的经验,应该是到出口点了,为什么我这里没有到。有没有高手帮忙看看,是不是我那里超做失误,或者是有2个壳,等其他原因.
F8下走,
00401C59   E8 96953600      CALL ssreader.0076B1F4
00401C5E   5A               POP EDX
00401C5F   E8 F4943600      CALL ssreader.0076B158
00401C64   E8 CB953600      CALL ssreader.0076B234
00401C69   6A 00            PUSH 0
00401C6B   E8 5CAE3600      CALL ssreader.0076CACC
00401C70   59               POP ECX
00401C71   68 34307900      PUSH ssreader.00793034
00401C76   6A 00            PUSH 0
00401C78   E8 1DFF3800      CALL ssreader.00791B9A
00401C7D   A3 93307900      MOV DWORD PTR DS:[793093],EAX
00401C82   6A 00            PUSH 0
00401C84   E9 43583700      JMP ssreader.007774CC //下跳了
00401C89 > E9 8AAE3600      JMP ssreader.0076CB18
00401C8E   33C0             XOR EAX,EAX
---
007774CC   55               PUSH EBP  // 不知道这里是不是程序出口点?
007774CD   8BEC             MOV EBP,ESP
007774CF   83C4 F4          ADD ESP,-0C
007774D2   53               PUSH EBX
007774D3   56               PUSH ESI
007774D4   57               PUSH EDI

随便问下, ASProtect 1.1b脱壳后修复程序,是怎么修复?

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (5)
shoooo
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
私信
2
这个是入口点了
00401C30   EB 10            JMP SHORT ssreader.00401C42
BCB的程序
入口有fb:C++HOOK
2005-11-14 20:50
0
混世魔王
雪    币: 245
活跃值: (41)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
3
ASProtect 1.1b脱壳后修复程序,是怎么修复?
2005-11-15 17:59
0
dahiwojia
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
用caspr110直接脱壳
2005-11-15 19:02
0
混世魔王
雪    币: 245
活跃值: (41)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
5
那个虾米给个caspr110 的下载地址?baidu 找了n久都是无效连接。
2005-11-26 03:47
0
loveboom
雪    币: 557
活跃值: (2338)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
私信
6
和我差不多,又一个认字认一边的:-(
在你脚下就有:
31aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6#2L8Y4m8S2j5$3E0W2M7W2)9J5k6h3S2@1L8b7`.`.
2005-11-26 04:01
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回