网站 › 『脱壳破解区』 › 神奇的ASProtect 2.1x SKE壳 [Aspr2.XX修复法和内存断点两点都无解]

卡若 发表于 2013-12-7 23:12

神奇的ASProtect 2.1x SKE壳 [Aspr2.XX修复法和内存断点两点都无解]

本帖最后由 卡若 于 2013-12-7 23:22 编辑

神奇的ASProtect 2.1x SKE壳dll文件
Aspr2.XX_unpacker_v1.13SC.osc修复法和内存断点两点都无解   
修复后打开OEP变成    【无法正常使用查测不出语言】
1001F340 > $0000          add byte ptr ds:,al
1001F342   .0000          add byte ptr ds:,al
1001F344   .0000          add byte ptr ds:,al
1001F346   .0000          add byte ptr ds:,al
1001F348   .0000          add byte ptr ds:,al
1001F34A   .0000          add byte ptr ds:,al
1001F34C   .0000          add byte ptr ds:,al
1001F34E   .0000          add byte ptr ds:,al
1001F350   .0000          add byte ptr ds:,al


DLL文件   ocr断点修复正常，修复后无效【PEID无法查，OD打开是在上面那断位置位】

00547A44   硬件断点 1 位于 00547A44
100024E9   条件暂停: eip > 01C51000
         IAT 的地址 = 1000F000
         IAT 的相对地址 = 0000F000
         IAT 的大小 = 00000160
00510042   断点位于 00510042
         重定位区段相对地址 = 00018000
         重定位区段大小 = 00000C40
         OEP 地址 = 100024E9
         OEP 相对地址 = 000024E9

781536564 发表于 2013-12-7 23:15

ASProtect 2.1x SKE得壳，怎么脱掉

1354669803 发表于 2013-12-7 23:17

这里非程序OEP吧

卡若 发表于 2013-12-7 23:21

1354669803 发表于 2013-12-7 23:17 static/image/common/back.gif
这里非程序OEP吧

DLL文件   ocr断点正常修复正常，修复后无效

00547A44   硬件断点 1 位于 00547A44
100024E9   条件暂停: eip > 01C51000
         IAT 的地址 = 1000F000
         IAT 的相对地址 = 0000F000
         IAT 的大小 = 00000160
00510042   断点位于 00510042
         重定位区段相对地址 = 00018000
         重定位区段大小 = 00000C40
         OEP 地址 = 100024E9
         OEP 相对地址 = 000024E9

mycc 发表于 2013-12-7 23:41

用 LOADPE指定 OEP为000024E9 试试

卡若 发表于 2013-12-8 00:01

mycc 发表于 2013-12-7 23:41 static/image/common/back.gif
用 LOADPE指定 OEP为000024E9 试试

打开后是
100024E9 >/$52            push edx
100024EA|.36:1BBB C08C7>sbb edi,dword ptr ss:
100024F1|.9F            lahf
100024F2\.CF            iretd
100024F3   .F2:         prefix repne:
100024F4   .CD B0         int 0xB0
100024F6   .4C            dec esp

还是老样子。。这程序应该是用VC++写的调用的是JAVA

yunming 发表于 2013-12-8 00:18

看看学习学习

mycc 发表于 2013-12-8 00:30

本帖最后由 mycc 于 2013-12-8 00:32 编辑

1001F347         call    10026898             --->oep

10026898          push    ebp
10026899          mov   ebp, esp
1002689B          sub   esp, 0x10
1002689E          mov   eax, dword ptr
100268A3          and   , 0x0
100268A7          and   , 0x0
100268AB          push    ebx
100268AC          push    edi
100268AD          mov   edi, 0xBB40E64E
100268B2          cmp   eax, edi
100268B4          mov   ebx, 0xFFFF0000
100268B9          je      short 100268C8
100268BB          test    ebx, eax
100268BD          je      short 100268C8
100268BF          not   eax
100268C1          mov   dword ptr , eax
100268C6          jmp   short 10026928
100268C8          push    esi
100268C9          lea   eax,
100268CC          push    eax                           ; /pFileTime
100268CD          call    dword ptr           ; \GetSystemTimeAsFileTime
100268D3          mov   esi,
100268D6          xor   esi,
100268D9          call    dword ptr           ; [GetCurrentProcessId
100268DF          xor   esi, eax
100268E1          call    dword ptr           ; [GetCurrentThreadId
100268E7          xor   esi, eax
100268E9          call    dword ptr           ; [GetTickCount

查看完整版本: 神奇的ASProtect 2.1x SKE壳 [Aspr2.XX修复法和内存断点两点都无解]