-
-
[求助]关于ASProtect 1.23 RC1 -> Alexey Solodovnikov
-
发表于: 2007-4-7 14:07
-
软件名称:阿贝外挂(新石器8.0)
壳名称:ASProtect 1.23 RC1 -> Alexey Solodovnikov
下载地址:807K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0j5I4i4K6u0W2x3e0f1K6i4K6u0W2x3#2)9J5k6e0N6Q4x3V1k6K6j5h3y4Z5P5s2m8Q4x3V1k6K6j5h3y4Z5P5s2m8Q4x3V1u0Q4x3V1t1^5x3e0M7I4i4K6u0W2M7X3q4J5
我无聊玩一下
忽略所有异常除非法访问内存外
入口点:
00401000 > 68 01904800 push 00489001
00401005 E8 01000000 call 0040100B
F9运行
按shift+F9忽略异常25次
来到最后一次异常
00B32CD1 3100 xor dword ptr [eax], eax ;停在此
Memory map, 条目 22
地址=00401000
大小=00047000 (290816.)
属主=SachXP++ 00400000
区段=
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
向代码段断下内存断点,shift+F9,到OEP
00444D04 55 push ebp
00444D05 8BEC mov ebp, esp
00444D07 6A FF push -1
00444D09 68 D0F64400 push 0044F6D0
00444D0E 68 904E4400 push 00444E90 ; jmp 到 msvcrt._except_handler3
00444D13 64:A1 00000000 mov eax, dword ptr fs:[0]
00444D19 50 push eax
00444D1A 64:8925 0000000>mov dword ptr fs:[0], esp
00444D21 83EC 68 sub esp, 68
00444D24 53 push ebx
EAX 00444D04 SachXP++.00444D04
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFD8000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 00444D04 SachXP++.00444D04
00448000 77DC1558 ADVAPI32.CryptEncrypt
00448004 77DA7753 ADVAPI32.OpenProcessToken
00448008 77DCD11B ADVAPI32.LookupPrivilegeValueA
0044800C 77DCC534 ADVAPI32.AdjustTokenPrivileges
....................
0044878C 77C178A0 msvcrt.strlen
00448790 77C175F0 msvcrt.memset
00448794 77C10E13 msvcrt.fprintf
00448798 77C190CD msvcrt.strftime
0044879C 00000000
004487A0 7D610EB0 shell32.ShellExecuteA
004487A4 7D5F0C69 shell32.Shell_NotifyIconA
....................
004488FC 71A23B91 ws2_32.socket
00448900 71A2664D ws2_32.WSAStartup
00448904 71A24428 ws2_32.WSACleanup
00448908 71A22BC0 ws2_32.ntohl
0044890C 71A2428A ws2_32.send
....................
0044E7C8 00444616 jmp 到 mfc42.#4739
0044E7CC 00425B37 SachXP++.00425B37
0044E7D0 00425B37 SachXP++.00425B37
0044E7D4 00444604 jmp 到 mfc42.#952
0044E7D8 00426844 SachXP++.00426844
0044E7DC 0044E7E0 SachXP++.0044E7E0
这应该属于IAT吧?
Memory map, 条目 23
地址=00448000
大小=0000D000 (53248.)
属主=SachXP++ 00400000
区段=
类型=Imag 01001002
访问=R
初始访问=RWE
我用OD自带的DUMP下OEP
用ImportREC修改RAV=00048000 SIZE=0000D000
按GetImports,居然一个函数都没有。。。无语,有人可以帮我看看吗
我用全自动脱壳软件都可以啊,而且它显示的IAT地址跟我找到的一样啊,难道真的是人品问题,可以帮忙看一下吗,求知识中................
壳名称:ASProtect 1.23 RC1 -> Alexey Solodovnikov
下载地址:807K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0j5I4i4K6u0W2x3e0f1K6i4K6u0W2x3#2)9J5k6e0N6Q4x3V1k6K6j5h3y4Z5P5s2m8Q4x3V1k6K6j5h3y4Z5P5s2m8Q4x3V1u0Q4x3V1t1^5x3e0M7I4i4K6u0W2M7X3q4J5
我无聊玩一下
忽略所有异常除非法访问内存外
入口点:
00401000 > 68 01904800 push 00489001
00401005 E8 01000000 call 0040100B
F9运行
按shift+F9忽略异常25次
来到最后一次异常
00B32CD1 3100 xor dword ptr [eax], eax ;停在此
Memory map, 条目 22
地址=00401000
大小=00047000 (290816.)
属主=SachXP++ 00400000
区段=
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
向代码段断下内存断点,shift+F9,到OEP
00444D04 55 push ebp
00444D05 8BEC mov ebp, esp
00444D07 6A FF push -1
00444D09 68 D0F64400 push 0044F6D0
00444D0E 68 904E4400 push 00444E90 ; jmp 到 msvcrt._except_handler3
00444D13 64:A1 00000000 mov eax, dword ptr fs:[0]
00444D19 50 push eax
00444D1A 64:8925 0000000>mov dword ptr fs:[0], esp
00444D21 83EC 68 sub esp, 68
00444D24 53 push ebx
EAX 00444D04 SachXP++.00444D04
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFD8000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 00444D04 SachXP++.00444D04
00448000 77DC1558 ADVAPI32.CryptEncrypt
00448004 77DA7753 ADVAPI32.OpenProcessToken
00448008 77DCD11B ADVAPI32.LookupPrivilegeValueA
0044800C 77DCC534 ADVAPI32.AdjustTokenPrivileges
....................
0044878C 77C178A0 msvcrt.strlen
00448790 77C175F0 msvcrt.memset
00448794 77C10E13 msvcrt.fprintf
00448798 77C190CD msvcrt.strftime
0044879C 00000000
004487A0 7D610EB0 shell32.ShellExecuteA
004487A4 7D5F0C69 shell32.Shell_NotifyIconA
....................
004488FC 71A23B91 ws2_32.socket
00448900 71A2664D ws2_32.WSAStartup
00448904 71A24428 ws2_32.WSACleanup
00448908 71A22BC0 ws2_32.ntohl
0044890C 71A2428A ws2_32.send
....................
0044E7C8 00444616 jmp 到 mfc42.#4739
0044E7CC 00425B37 SachXP++.00425B37
0044E7D0 00425B37 SachXP++.00425B37
0044E7D4 00444604 jmp 到 mfc42.#952
0044E7D8 00426844 SachXP++.00426844
0044E7DC 0044E7E0 SachXP++.0044E7E0
这应该属于IAT吧?
Memory map, 条目 23
地址=00448000
大小=0000D000 (53248.)
属主=SachXP++ 00400000
区段=
类型=Imag 01001002
访问=R
初始访问=RWE
我用OD自带的DUMP下OEP
用ImportREC修改RAV=00048000 SIZE=0000D000
按GetImports,居然一个函数都没有。。。无语,有人可以帮我看看吗
我用全自动脱壳软件都可以啊,而且它显示的IAT地址跟我找到的一样啊,难道真的是人品问题,可以帮忙看一下吗,求知识中................
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
