chenming 发表于 2007-3-5 03:18:43

[脱壳]手动脱壳ASProtect V2.X Registered

【PYG官方论坛】https://www.chinapyg.com
大家有空去看看

================


我是个菜鸟,想跟大家学习点技术。
QQ:381907802

第一次做动画,有什么错误的地方望高手指正。

今天和大家讨论一下

手动脱壳之ASProtect V2.X Registered -> Alexey Solodovnikov *

//////////////////////////
设置Ollydbg忽略除了“内存访问异常”之外的所有其他异常选项。
用插件去掉Ollydbg的调试器标志。

////////////////////////////////////////
OD载入后停在这里:
00401000 >68 01B05600   PUSH csetup.0056B001===》壳的入口,F9运行
00401005    E8 01000000   CALL csetup.0040100B
0040100A    C3            RETN
0040100B    C3            RETN
0040100C    0D 6F2F026F   OR EAX,6F022F6F
00401011    5B            POP EBX

===============
Shift+F9按N次,注意右下角堆栈
00AFFAFF    C601 9E         MOV BYTE PTR DS:,9E
00AFFB02    BB 71FE8A67   MOV EBX,678AFE71
00AFFB07    64:8F06         POP DWORD PTR FS:
00AFFB0A    0000            ADD BYTE PTR DS:,AL
00AFFB0C    83C4 04         ADD ESP,4
00AFFB0F    8D0C07          LEA ECX,DWORD PTR DS:
00AFFB12    59            POP ECX

=====================

0012FF50   0012FF5C指向下一个 SEH 记录的指针
0012FF54   00AFFA50SE处理程序
0012FF58   00000002
0012FF5C   0012FF80指向下一个 SEH 记录的指针
0012FF60   00AFFFE8SE处理程序
0012FF64   0012FF78
0012FF68   00A80000
0012FF6C   00AFF62C
0012FF70   00000000
0012FF74   00B3D84CASCII "FECE69A1-E37D"====》硬盘特征指纹
0012FF78   0012FF98
0012FF7C   00ADE2D0
0012FF80   0012FFE0指向下一个 SEH 记录的指针
0012FF84   00AFF854SE处理程序
0012FF88   0012FF98

Shift+F9经过=23次异常后,堆栈出现硬盘特征指纹
=================
Shift+F9按5次,堆栈硬盘特征指纹消失,再按1次Shift+F9
00AFE8F9    C601 9E         MOV BYTE PTR DS:,9E
00AFE8FC    BB 71FE8A67   MOV EBX,678AFE71
00AFE901    64:8F06         POP DWORD PTR FS:
00AFE904    0000            ADD BYTE PTR DS:,AL
00AFE906    83C4 04         ADD ESP,4
00AFE909    8D0C07          LEA ECX,DWORD PTR DS:
00AFE90C    59            POP ECX
00AFE90D    A1 4848B000   MOV EAX,DWORD PTR DS:
==================
向上找到这里:
00AFE8E3    C3            RETN
00AFE8E4    EB 01         JMP SHORT 00AFE8E7
00AFE8E6    9A C1D19D36 EB0>CALL FAR 01EB:369DD1C1                   ; 远调用
00AFE8ED    9A 83F1102B C96>CALL FAR 64C9:2B10F183                   ; 远调用
00AFE8F4    FF31            PUSH DWORD PTR DS:
00AFE8F6    64:8921         MOV DWORD PTR FS:,ESP
00AFE8F9    C601 9E         MOV BYTE PTR DS:,9E

在00AFE8E3    C3            RETN按F2下断,Shift+F9断下,取消断点,F8单步

7C9237BF    64:8B25 0000000>MOV ESP,DWORD PTR FS:
7C9237C6    64:8F05 0000000>POP DWORD PTR FS:
7C9237CD    8BE5            MOV ESP,EBP
7C9237CF    5D            POP EBP
7C9237D0    C2 1400         RETN 14

Alt+M查看内存在00401000按F2下断,F9运行
004B02B8    55            PUSH EBP
004B02B9    8BEC            MOV EBP,ESP
004B02BB    83C4 E4         ADD ESP,-1C
004B02BE    53            PUSH EBX
004B02BF    56            PUSH ESI
004B02C0    33C0            XOR EAX,EAX
004B02C2    8945 E4         MOV DWORD PTR SS:,EAX

004B02B8程序OEP脱壳之。是Borland Delphi 6.0 - 7.0
==================

脱壳之后如何修复请高手指教。

动画下载
http://free.ys168.com/?a3chenming

mojingtai 发表于 2007-3-5 05:32:25

谢谢,学习学习:P

cjh9996 发表于 2007-3-5 09:51:49

正在学习当中~!谢谢提供资料~

中原我最红 发表于 2007-3-5 11:36:18

正在研究这个壳呢~感谢~

hdlm 发表于 2007-3-5 12:07:18

修复
    好像要跟踪指针...
   

没办法我也菜```

glts 发表于 2007-3-5 12:15:26

试试这个~我不知道是否是少了文件

psjdh 发表于 2007-3-5 13:11:21

学习学习学习

canaris321 发表于 2007-3-16 11:04:59

非常感谢啊!!
页: [1]
查看完整版本: [脱壳]手动脱壳ASProtect V2.X Registered