ASProtect V2.X脱壳+处理附加数据+去自校验!
来源:互联网 发布:mac出现文件夹问号黑屏 编辑:程序博客网 时间:2024/05/21 09:09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ASProtect V2.X脱壳+处理附加数据+去自校验
作者:Hmily
博客:Http://Blog.52Hmily.Cn
QQ群:39940458
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
大家好,我是Hmily,今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.09.13脱壳教程,需要的工具有:
PEiD,OD,Volx大侠ASProtect脚本(http://www.unpack.cn/viewthread.php?tid=9487),ImportREC,Overlay 最终版,Resource Binder......(这些网上都能下到,就不提供了)
这个是我上次脱Q宠保姆VC版 2.23 SP7版 2007.09.06的记录:http://hi.baidu.com/52hmily/blog/item/53d0757f787a120b28388a04.html
好,开始,先查下壳
普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov * Sign.By.fly [Overlay] *注意是有附加数据的
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]
第一步:脱壳
先OD载入吧,运行脚本,就会自动脱壳了,脱完先修复,先查看OD运行记录,再打开ImportREC,然后对照着填OEP地址,点获取输入表,再点修复转存文件。
第二步:处理附加数据
好了,现在来处理附加数据,打开Overlay,点复制Overlay,这样就处理了附加数据
第三步:去自校验
现在还是运行不了,看来是有自校验,我们把脱好的程序再次载入OD,在命令出输入:bp CreateFileA,回车,按F9运行,到这就可以了,下面看清楚,点反汇编窗口中跟随,F2下端,F9运行到这里,取消断点,这里都是系统的领空,我们要到程序的领空去,按F8先跟到程序领空,好,这里已经到系统领空了,下面还是用F8跟,后面慢慢来,大家看好,
004638D8 . A3 04DB4D00 mov dword ptr [4DDB04], eax
004638DD . E8 61F5FFFF call 00462E43
004638E2 . E8 272BFFFF call 0045640E
004638E7 . 85C0 test eax, eax
004638E9 . 0F85 15010000 jnz 00463A04 ————跳转没实现
004638EF . 52 push edx
004638F0 . 57 push edi
004638F1 . C1D2 E7 rcl edx, 0E7
004638F4 . 83EA 03 sub edx, 3
004638F7 . 68 28214200 push 00422128
004638FC . 81D2 EC7E7BD3 adc edx, D37B7EEC
00463902 . 5A pop edx
00463903 . FF32 push dword ptr [edx]
00463905 . 335424 08 xor edx, dword ptr [esp+8]
00463909 . 335424 28 xor edx, dword ptr [esp+28]
如果这样下去你会发现程序就结束了,说明这里是关键的跳转,我们先看看,继续跟,出错了,好了,现在我们重新载入程序,直接跳到刚才那个地方004638E9,
004638E9 . /0F85 15010000 jnz 00463A04
没实现跳转,我们来让他实现,可以直接把JNZ改成JMP就可以了,保存
好,我们现在再看看能不能运行,晕,刚才突然点错了,我们继续,OK,可以啦,查下壳 VC8 -> Microsoft Corporation [Overlay] *,我们再用Resource Binder给它优化下,重建资源,
程序也会小点,好了,这样教程就结束了。
欢迎大家光临我的博客:Blog.52Hmily.Cn
88
教程地址:http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=9&fid=0cbdb835689494c2390e0293d53a95281125d325ea32d7ce
提取码:edac828d
Q宠保姆VC版 2.23 SP8版2007.09.13UNPack:http://exs.mail.qq.com/cgi-bin/downloadfilepart?svrid=3&fid=0aae5f8d3c23dcb602a712b93d69d4d0ac7ddece7271e0dc
提取码:ae5027bb
来自:Blog.52Hmily.Cn
- ASProtect V2.X脱壳+处理附加数据+去自校验!
- 脱壳ASProtect 2.1x SKE
- ASPROTECT 2.x 脱壳系列(三)
- ASPROTECT 2.x 脱壳系列(二)
- ASPROTECT 2.x 脱壳系列(一)
- 手动脱壳“ASProtect 1.2x - 1.3x”(1/2)
- 手动脱壳“ASProtect 1.2x - 1.3x”(2/2)
- 手动脱壳“ASProtect 1.2x - 1.3x”(1/2)
- 手动脱壳“ASProtect 1.2x - 1.3x”(2/2)
- 手动脱壳“ASProtect 1.2x - 1.3x”(1/2)
- 手动脱壳“ASProtect 1.2x - 1.3x”(2/2)
- 【图】脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov
- ASPROTECT 2.0 脱壳示例
- asprotect脱壳经验谈
- ASProtect 1.23 手动脱壳
- 去自校验
- 手动去自校验!!
- ASPROTECT 1.23RC4 脱壳分析
- Winform中不规则窗体制作的解决方案(续)
- 虚析构函数(√)、纯虚析构函数(√)、虚构造函数(X)
- Links 学习笔记(1)
- Winform中不规则窗体制作的解决方案(再续)
- 用户控件事件处理
- ASProtect V2.X脱壳+处理附加数据+去自校验!
- 【轉載】showModalDialog()、showModelessDialog()方法使用详解
- 广告代码全集
- 强制退出WinForm程序之Application.Exit和Environment.Eixt
- 『转』手机开发平台指南、教程和资料介绍
- 服务器的ARP欺骗攻击的防范
- 解决网站防挂IFRAME木马方案(治标不治本^_^)
- PHP中的CHECKBOX
- 生死不离