ASProtect V2.X脱壳+处理附加数据+去自校验!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ASProtect V2.X脱壳+处理附加数据+去自校验
作者：Hmily
博客：Http://Blog.52Hmily.Cn
QQ群：39940458
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

大家好，我是Hmily，今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.09.13脱壳教程,需要的工具有：
PEiD，OD，Volx大侠ASProtect脚本（http://www.unpack.cn/viewthread.php?tid=9487），ImportREC，Overlay 最终版，Resource Binder......（这些网上都能下到，就不提供了）

这个是我上次脱Q宠保姆VC版 2.23 SP7版 2007.09.06的记录：http://hi.baidu.com/52hmily/blog/item/53d0757f787a120b28388a04.html

好，开始，先查下壳
普通扫描：ASProtect V2.X Registered -> Alexey Solodovnikov           * Sign.By.fly [Overlay] *注意是有附加数据的

用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]

第一步：脱壳
先OD载入吧，运行脚本，就会自动脱壳了，脱完先修复，先查看OD运行记录，再打开ImportREC，然后对照着填OEP地址，点获取输入表，再点修复转存文件。

第二步：处理附加数据
好了，现在来处理附加数据，打开Overlay，点复制Overlay，这样就处理了附加数据

第三步：去自校验
现在还是运行不了，看来是有自校验，我们把脱好的程序再次载入OD，在命令出输入：bp CreateFileA，回车，按F9运行，到这就可以了，下面看清楚，点反汇编窗口中跟随，F2下端，F9运行到这里，取消断点，这里都是系统的领空，我们要到程序的领空去，按F8先跟到程序领空，好，这里已经到系统领空了，下面还是用F8跟，后面慢慢来，大家看好，
004638D8       .      A3 04DB4D00       mov         dword ptr [4DDB04], eax
004638DD       .      E8 61F5FFFF       call        00462E43
004638E2       .      E8 272BFFFF       call        0045640E
004638E7       .      85C0              test        eax, eax
004638E9       .      0F85 15010000 jnz         00463A04      ————跳转没实现
004638EF       .      52                push        edx
004638F0       .      57                push        edi
004638F1       .      C1D2 E7           rcl         edx, 0E7
004638F4       .      83EA 03           sub         edx, 3
004638F7       .      68 28214200       push        00422128
004638FC       .      81D2 EC7E7BD3 adc         edx, D37B7EEC
00463902       .      5A                pop         edx
00463903       .      FF32              push        dword ptr [edx]
00463905       .      335424 08         xor         edx, dword ptr [esp+8]
00463909       .      335424 28         xor         edx, dword ptr [esp+28]

如果这样下去你会发现程序就结束了，说明这里是关键的跳转，我们先看看，继续跟，出错了，好了，现在我们重新载入程序，直接跳到刚才那个地方004638E9，

004638E9       . /0F85 15010000 jnz         00463A04

没实现跳转，我们来让他实现，可以直接把JNZ改成JMP就可以了，保存

好，我们现在再看看能不能运行，晕,刚才突然点错了，我们继续，OK，可以啦，查下壳 VC8 -> Microsoft Corporation [Overlay] *，我们再用Resource Binder给它优化下，重建资源，
程序也会小点，好了，这样教程就结束了。

欢迎大家光临我的博客：Blog.52Hmily.Cn

88

教程地址：http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=9&fid=0cbdb835689494c2390e0293d53a95281125d325ea32d7ce

提取码：edac828d

Q宠保姆VC版 2.23 SP8版2007.09.13UNPack：http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=3&fid=0aae5f8d3c23dcb602a712b93d69d4d0ac7ddece7271e0dc

提取码：ae5027bb

来自：Blog.52Hmily.Cn