汉化破解:ASPack 2.12 -> Alexey Solodovnikov -- Dump
来源:互联网 发布:优化sql效率 编辑:程序博客网 时间:2024/04/30 16:23
AngelQQ Dump
软件 :Q宠天使
作者 :QQPetAngel@Gmail.com
下载地址 :http://angel.tt86.com/?qqdrsign=05bf1
http://bbs.tt86.com/thread.php?fid=58
我在看雪发了帖子:http://bbs.pediy.com/showthread.php?t=142826
软件加了两层壳,第一层是ASPack,第二次就是UPX压缩壳
脱壳前:ASPack 2.12 -> Alexey Solodovnikov
脱壳后:Microsoft Visual Basic 5.0 / 6.0
005BE001 > 60 PUSHAD
005BE002 E8 03000000 CALL QQ.005BE
005BE007 - E9 EB045D45 JMP 45B8E
005BE
005BE00D C3 RETN
005BE008 /EB 04 JMP SHORT QQ.005BE00E
005BE
;堆栈 [0012FFA0]=005BE007 (QQ.005BE007) EBP=0012FFF0
005BE00B 45 INC EBP ; QQ.005BE007
005BE
005BE00D C3 RETN ;返回到 005BE008
005BE00E E8 01000000 CALL QQ.005BE014 ;关键 F7
005BE013 EB 5D JMP SHORT QQ.005BE072
005BE2AD 8B95 7D040000 MOV EDX,DWORD PTR SS:[EBP+47D]
005BE2B3 8B06 MOV EAX,DWORD PTR DS:[ESI]
005BE2B5
005BE2B7 75 03 JNZ SHORT QQ.005BE2BC
005BE2B9 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10]
005BE2BC
005BE2BE
005BE
005BE
005BE379 ^\E9 2FFFFFFF JMP QQ.005BE2AD
005BE37E 8906 MOV DWORD PTR DS:[ESI],EAX
005BE380 8946
005BE383 8946 10 MOV DWORD PTR DS:[ESI+10],EAX
005BE
005BE394 8BB5 7D040000 MOV ESI,DWORD PTR SS:[EBP+47D]
005BE
005BADAE ^\EB
005BADB0 294424 48 SUB DWORD PTR SS:[ESP+48],EAX
005BADB4
005BADC6 ^\EB 87 JMP SHORT QQ.005BAD
005BADC8 8B5424 74 MOV EDX,DWORD PTR SS:[ESP+74]
005BADCC
005BB51B ^\
005BB521
005BB529 77 15 JA SHORT QQ.005BB540
005BB52B 3B
005BB5FD ^\EB D8 JMP SHORT QQ.005BB5D7
005BB5FF FF96 5CC71B00 CALL DWORD PTR DS:[ESI+1BC
005BB605 8BAE
;F2,F4断点这里,就可以找到程序入口
005BB60B 8DBE
005BB611 BB 00100000 MOV EBX,1000
005BB616 50 PUSH EAX
005BB617 54 PUSH ESP
005BB618
005BB
005BB61B 57 PUSH EDI
005BB
005BB61E 8D87 E7010000 LEA EAX,DWORD PTR DS:[EDI+1E7]
005BB624 8020
005BB627 8060 28
005BB62B 58 POP EAX
005BB
005BB62D 54 PUSH ESP
005BB62E 50 PUSH EAX
005BB
005BB630 57 PUSH EDI
005BB631 FFD5 CALL EBP
005BB633 58 POP EAX
005BB634 61 POPAD
005BB635 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
005BB639
005BB63B
005BB63D ^ 75 FA JNZ SHORT TM0611.005BB639
005BB
005BB642 - E9 59DCE4FF JMP TM
; ASCII "VB5!6&vb6chs.dll" 入口点停在此处可以脱了
; (点右键后选"用ollyDUMP脱壳调试进程",再点击DUMP脱壳)
; JMP 到 msvbvm60.ThunRTMain VB,main函数
004092AA 0000 ADD BYTE PTR DS:[EAX],AL
004092AD 0000 ADD BYTE PTR DS:[EAX],AL
004092AF 0030 ADD BYTE PTR DS:[EAX],DH
004092B1 0000 ADD BYTE PTR DS:[EAX],AL
004092B3 0048 00 ADD BYTE PTR DS:[EAX],CL
004092B6 0000 ADD BYTE PTR DS:[EAX],AL
程序能正常运行,但是修改软件资源的时候,报下面的错误,应该是UPX0,UPX1内容还在里面,脱壳只是把程序入口点修正确.
注:用 LoadPE 修正映像大小后完全 DUMP.用 ImportREC 修正dump.exe一样无效。
---------------------------
upx.exe - 应用程序错误
---------------------------
"0x004813dc" 指令引用的 "0x2ae9b96c" 内存。该内存不能为 "read"。
要终止程序,请单击“确定”。
要调试程序,请单击“取消”。
---------------------------
确定 取消
---------------------------
病毒信息 :001aa84a.exe Artemis!6DF3F680BB6 ;猜测应该是upx.exe本身作为资源被杀软查杀
OEP 000092A0
RVA 00001000
size 00000444
- 汉化破解:ASPack 2.12 -> Alexey Solodovnikov -- Dump
- ASPack 2.12 -> Alexey Solodovnikov
- 手脱 ASPack 2.12 -> Alexey Solodovnikov
- 手动脱ASPack 2.12 -> Alexey Solodovnikov
- ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay] 手动脱壳
- 不脱壳破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加壳程序
- 【图】脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov
- 手脱 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov
- 手动脱ASPack 2.12
- 脱壳-ASPack 2.12
- 手动脱ASPack 2.12教程
- PowerDesigner 12.5 破解 汉化
- Rational Rose2003 破解汉化
- PowerDesigner 12.5 汉化、破解
- LoadRunner8.1+汉化+破解
- LoadRunner11 安装&破解&汉化
- 汉化破解:{smartassembly}使用指南
- LoadRunner11 安装&破解&汉化
- 网络安全:gh0st支持win7,windows 2008屏幕(3)
- 网络安全:gh0st最新免杀手记20111023
- 读书札记:【转】往往只有优秀的人才拥有有效的人脉
- 黑马程序员java学习—IO其他流
- 网络安全:漏洞测试主要平台 BackTrack4+Metasploit+ruby
- 汉化破解:ASPack 2.12 -> Alexey Solodovnikov -- Dump
- 软件制作:QQPenguin辅助工具
- (学习笔记1)Win8+VS 2012安装Cocos2d-x模板
- 读书札记:EA
- 软件制作:Reflector 辅助工具
- 网络安全:动态恢复与异或加密
- OpenLayers中的球面墨卡托投影
- 项目管理:可视化表单界面设计器
- 情感日记:曾经的自己走远了