手动脱掉ASProtect 1.23 RC1,小生进~~

yuiop114

这个是作业，在这里发出来，不知道有没有违规，如果违规了，小生麻烦你删了，我只想问问我这样脱壳正不正确。
如果不违规，就当分享。

00401000 > $  68 01804600   push    00468001  //OD载入
00401005   .  E8 01000000   call    0040100B  //忽略内存访问以外的所有异常
0040100A   .  C3            retn              //运行程序第27次跑飞
0040100B   ?  C3            retn              //因此重载后停留在第26次异常
0040100C   .  E7 CC         out     0CC, eax
------------------------------------------------------------------

009B2CD1    3100            xor     dword ptr [eax], eax //第26次异常停留在此处
009B2CD3    64:8F05 0000000>pop     dword ptr fs:[0]
009B2CDA    58              pop     eax
009B2CDB    833D 7C6D9B00 0>cmp     dword ptr [9B6D7C], 0
009B2CE2    74 14           je      short 009B2CF8
009B2CE4    6A 0C           push    0C
009B2CE6    B9 7C6D9B00     mov     ecx, 9B6D7C
009B2CEB    8D45 F8         lea     eax, dword ptr [ebp-8]
009B2CEE    BA 04000000     mov     edx, 4
009B2CF3    E8 54E1FFFF     call    009B0E4C
009B2CF8    FF75 FC         push    dword ptr [ebp-4]
009B2CFB    FF75 F8         push    dword ptr [ebp-8]
009B2CFE    8B45 F4         mov     eax, dword ptr [ebp-C]
009B2D01    8338 00         cmp     dword ptr [eax], 0
009B2D04    74 02           je      short 009B2D08
009B2D06    FF30            push    dword ptr [eax]
009B2D08    FF75 F0         push    dword ptr [ebp-10]
009B2D0B    FF75 EC         push    dword ptr [ebp-14]
009B2D0E    C3              retn               //在此下断点F2 运行shift+F9到此
009B2D0F    5F              pop     edi        //然后取消断点

------------------------------------------------------------------

打开内存镜像，找到地址为00401000处，下断点，F9运行后，直接到OEP.

在此处有个小插曲，到OEP处，代码显示怪怪的

0045159C   .  55            db      55       ;  CHAR 'U' //在此处分析代码
0045159D      8B            db      8B
0045159E      EC            db      EC
0045159F      83            db      83
004515A0      C4            db      C4
004515A1      F0            db      F0
004515A2      B8            db      B8
004515A3   .  BC 134500E8   mov     esp, E8004513
004515A8   .  8846 FB       mov     byte ptr [esi-5], al
004515AB   .  FFA1 E02F4500 jmp     dword ptr [ecx+452FE0]

即：
选择你要分析的代码，
右健---分析-----下次分析时将选择部分视为-----command

然后再:
右健---分析-----分析代码

正常显示了

0045159C   .  55            push    ebp      //在这里用loadpe dump这个进程
0045159D   .  8BEC          mov     ebp, esp
0045159F   .  83C4 F0       add     esp, -10
004515A2   .  B8 BC134500   mov     eax, 004513BC
004515A7   .  E8 8846FBFF   call    00405C34
004515AC   .  A1 E02F4500   mov     eax, dword ptr [452FE0]
004515B1   .  8B00          mov     eax, dword ptr [eax]
004515B3   .  E8 F8E5FFFF   call    0044FBB0
004515B8   .  A1 E02F4500   mov     eax, dword ptr [452FE0]
004515BD   .  8B00          mov     eax, dword ptr [eax]
004515BF   .  BA FC154500   mov     edx, 004515FC     ;  ASCII "www.52pojie.cn"
---------------------------------------------------------------------

再右键---demp debugged process
在modify处复制地址:5159C

打开IMPORT 在OEP处填上5159C,获取输入表后,显示无效函数,右键选择用追踪级别1修复,然后用ASPROTECT1.22插件全部修复,修复保存文件，

搞定!!!

wgz001

作业的关键是分析加密的IAT    插件修复就那个啥了   
还请手动分析IAT加密的过程   那样学到更多   个人想法而已

还有   以后请不要点将   俺们这些菜鸟觉得压力很大  

鬼手

“点将”，确实牛的淫啊
学习不了哈，纯路过，看看风景！
支持楼主，热爱学习！

zzage

LZ.学习一下IAT的手动处理吧，你会发现能学到很多东西的~

小生我怕怕

呵呵,哥们没有违规,但是主要是练习的目的是为了手动去查找IAT指针!

yuiop114

多谢谢版主大哥和管理员的指导，我才是真正的菜鸟，你们都说得我不好意思了。

现在就用手动处理IAT，学习~~

yuiop114

小弟太菜了，想问问各位大哥，如果是交作业，用ImportREC搜索IAT表的地址与大小算不算违规？
还是所有操作都只在OD里进行？

小生我怕怕

不算违反规则,但是最好的是使用手动去寻找出IAT加密所在,因为是加密壳都有这样的现象的!

柯梦南

不错的，学习了，我也去练习一下

fuma255

支持楼主，热爱学习！