asprotect的stolen code

最新推荐文章于 2015-11-21 20:45:00 发布
最新推荐文章于 2015-11-21 20:45:00 发布
阅读量133 收藏
点赞数
原文链接:http://www.cnblogs.com/shremie/archive/2012/07/17/2594018.html
版权

最近研究asprotect的壳,真是我的一块心病啊,这asprotect,真心不好搞。

01280253    68 26AE4500     push    45AE26                           ; 401524
01280258    66:9C           pushfw
0128025A    52              push    edx
0128025B    035424 18       add     edx, dword ptr [esp+18]
0128025F    C1DA E7         rcr     edx, 0E7
01280262    BA BE204600     mov     edx, 4620BE
01280267    035424 18       add     edx, dword ptr [esp+18]
0128026B    8D5424 52       lea     edx, dword ptr [esp+52]
0128026F    83EA 52         sub     edx, 52
01280272    8D52 14         lea     edx, dword ptr [edx+14]
01280275    57              push    edi
01280276    51              push    ecx
01280277    F3:             prefix rep:
01280278    EB 02           jmp     short 0128027C
0128027A    CD20 81DFCB0D   vxdjump DCBDF81
01280280    90              nop
01280281    70 68           jo      short 012802EB
01280283    26:09F7         or      edi, esi
01280286    42              inc     edx
01280287    53              push    ebx
01280288    03DF            add     ebx, edi
0128028A    EB 02           jmp     short 0128028E
0128028C    CD20 81CBDD83   vxdjump 83DDCB81
01280292  ^ E3 A6           jecxz   short 0128023A
01280294    3E:EB 02        jmp     short 01280299
01280297    CD20 8D5C35AB   vxdcall AB355C8D
0128029D    2BDE            sub     ebx, esi
0128029F    8D5C0C 28       lea     ebx, dword ptr [esp+ecx+28]
012802A3    2BD9            sub     ebx, ecx
012802A5    8D5C03 D8       lea     ebx, dword ptr [ebx+eax-28]
012802A9    2BD8            sub     ebx, eax                         ; mov ebx,esp
012802AB    8D5C3B FC       lea     ebx, dword ptr [ebx+edi-4]
012802AF    83C3 04         add     ebx, 4
012802B2    2BDF            sub     ebx, edi
012802B4    2E:EB 01        jmp     short 012802B8
012802B7  - 0F8D 5C0B042B   jge     2C2C0E19
012802BD    D968 77         fldcw   word ptr [eax+77]
012802C0    804D E6 8F      or      byte ptr [ebp-1A], 8F
012802C4    035B 33         add     ebx, dword ptr [ebx+33]
012802C7    7C 24           jl      short 012802ED
012802C9    0833            or      byte ptr [ebx], dh
012802CB    7C 24           jl      short 012802F1
012802CD    285F 57         sub     byte ptr [edi+57], bl
012802D0    33CF            xor     ecx, edi
012802D2    59              pop     ecx
012802D3    83C1 A0         add     ecx, -60
012802D6    81C1 E37FB299   add     ecx, 99B27FE3
012802DC    F7D9            neg     ecx
012802DE    87F9            xchg    ecx, edi
012802E0    C1C7 01         rol     edi, 1
012802E3    47              inc     edi
012802E4    2BD7            sub     edx, edi
012802E6    81E1 68CCB6D2   and     ecx, D2B6CC68
012802EC    59              pop     ecx
012802ED    C1CF BF         ror     edi, 0BF
012802F0    C1CF 5B         ror     edi, 5B
012802F3    5F              pop     edi
012802F4    55              push    ebp
012802F5    036C24 38       add     ebp, dword ptr [esp+38]
012802F9    83ED 4B         sub     ebp, 4B
012802FC    8DAC26 EC444300 lea     ebp, dword ptr [esi+4344EC]
01280303    2BEE            sub     ebp, esi
01280305    892A            mov     dword ptr [edx], ebp
01280307    5D              pop     ebp
01280308    5A              pop     edx
01280309    66:9D           popfw
0128030B    E8 0C1218FF     call    xp.0040151C                      ; jmp 到 msvbvm60.ThunRTMain

  用脚本就可以停在001280253,上面这段代码就是stolen code ,就是壳把程序入口点处的一段代码放到壳中执行。对于处理stolen code,如果偷的代码少的话,我们可以手动补一下,偷的多的话就需要新建区段了。我现在遇到的这个就可以手动补,怎么补,我们随便看下一个没有加壳的vb6.0的入口点是什么样子的,对照一下我们就应该知道怎么加了。

0040151C   $- FF25 30114000 jmp     dword ptr [<&msvbvm60.ThunRTMain>;  msvbvm60.ThunRTMain
00401522 > $  68 EC444300   push    004344EC              ;入口点
00401527   .  E8 F0FFFFFF   call    <jmp.&msvbvm60.ThunRTMain>

  

原来一个没加壳的vb程序入口点的代码是一句push 然后一个call 到ThunRTMain。现在单步下001280253的代码,执行完01280309处的popfw,栈顶是004344ec,这个就是我们需要补的第一句代码,push  004344ec,然后再执行0128030B处的代码我们发现流程转移到了一个跳转表中

0040151C   .- FF25 30114000 jmp     dword ptr [401130]               ;  msvbvm60.ThunRTMain   ;00128030B会跳转到这里!!!
00401522      0000          add     byte ptr [eax], al
00401524    - E9 D70A0C00   jmp     004C2000
00401529      68 BC9E9D7A   push    7A9D9EBC
0040152E      48            dec     eax
0040152F      0000          add     byte ptr [eax], al

  所以我们第二句要补的代码就是call  0040151c , 我们在00401522地址处的汇编代码改为push 004344EC,下一句代码改为call  0040151C,然后dump出来,入口点要设置为00401522,就可以了。我这个样本不用修复IAT中的asprotect SDK。关于修复asprotect sdk那又是一个问题了。我现在不是很懂。

 

这样样本是一个盗qq的,运行的时候会显示出一张美女图片用以掩人耳目。

转载于:https://www.cnblogs.com/shremie/archive/2012/07/17/2594018.html

aapow22288
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Packer(Hook IAT + stolen Codes)
09-28
加壳器 包括技术:Hook IAT, stolen codes,动态加载 编程语言:汇编。
asprotect 32 加密壳
02-29
ASProtect是软件保护系统。它是用来实现应用程序保护功能的系统。四大猛壳之一!可以用于对windows可执行程序进行加壳保护,防破解!
ASProtect.SKE.2.11 stolen code解密
weixin_34217711的博客
07-25 138
关于ASProtect.SKE.2.11 stolecode方面的文章已经很多了,今天我想再详细地说说它的细节,献给喜欢破解的兄弟们。 stolecode并不可怕! ASProtect.SKE.2.11将入口处的一部分代码放到壳里了,看下面: 未加壳的入口点: 00401350 &gt;    55            push    ebp 00401351     ...
Stolen Code的一些想法
weixin_30315435的博客
12-16 98
偷取过程中会偷入口处和中间任意处;执行被偷取的代码时还会加入花指令。偷的过程:在对Code段解密后把被偷的地方不放回去,而不是从被偷的地方直接复制到申请内存中再清00的过程。 识别被偷: 偷入口,执行到原始Code段时不是明显的某种语言的入口标志;偷中间,执行到原始Code段后在某处又跳转到申请的内存中执行一些代码又回来Code段。 针对偷入口,识别各种语言入口标志,把偷的复制回来;...
手脱ACProtect V1.4X(有Stolen Code)
weixin_30654419的博客
11-16 186
1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序进行修改。先来看下被偷取的代码 0040A41E >/$ 55 push ebp 0040A41F |. 8BEC mov eb...
手脱ACProtect V1.4X(有Stolen Code)之补区段
weixin_30469895的博客
11-17 173
首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > 60 pushad ; //程序入口点 0041F001 E8 01000000 call NgaMy.0041F007 0041F006 E8 83042406 call 0665F...
手脱ASProtect v1.2(无Stolen Code)
weixin_30918633的博客
11-21 98
1.载入PEID ASProtect v1.2 2.载入OD 00401000 > 68 01C04200 push 跑跑赛道.0042C001 ; //入口处 00401005 C3 retn 00401006 AA stos byte ptr es:...
手脱ASProtect v1.23 RC1(无Stolen Code)
weixin_30851867的博客
11-21 156
1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 00401000 > 68 01C04200 push 跑跑排行.0042C001 ; //入口处 00401005 E8 01000000 call 跑跑排行.0040100B 0040100...
手脱ASProtect v1.23 RC1(有Stolen Code)
weixin_30613433的博客
11-21 141
1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 04.27 按shift+f9键36次后来到典型异常 ASProtect 1.31 05.18 按shift+f9键40次后来到典型异常 ASProtect 1.31 06.1...
ASProtect2.11
05-01
ASProtect2.11汉化破解版
ASProtect_yesmybi.7z
01-27
标题中的"ASProtect_yesmybi.7z"表明这是一个使用7-Zip压缩格式的文件,其中包含一个名为"ASProtect_yesmybi.exe"的可执行文件。ASProtect通常指的是一个软件保护工具,它用于给exe程序添加反调试、反逆向工程的保护...
ASProtect1.22-1.23 自动脱壳机
10-19
自动脱 ASProtect1.22-1.23 壳
手脱ASProtect1.23 RC4
02-23
1.OEP比较好找,断到最后一次异常后开始单步跟踪,最终一个跨段转移就到了入口,但是是被STOLEN之后的入口了,STOLEN CODE在转移之前就已经被执行。 2.ASPR1.23RC4对KERNEL32.DLL里的API做了IAT HOOK,所以需要将其...
手脱ACProtect V2.0(无Stolen Code)
weixin_30256901的博客
11-15 114
1.载入PEID ACProtect V2.0 -> risco 2.载入OD 00401000 > 68 00A04000 push ACP_Feed.0040A000 ; //入口点 00401005 68 0B104000 push ACP_Feed.0040100B 0040100A ...
基于Springboot和Vue的社区团购系统设计源码 社区团购系统设计代码(98分期末优秀大作业)
08-03
社区团购系统设计源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
数理方法习题 前五章.pdf
最新发布
08-03
数理方法习题 前五章
asprotect安装
01-05
asprotect是一种软件保护工具,它可以帮助开发者保护他们的软件免受破解和盗版。要安装asprotect,首先需要从官方网站或授权销售商处获取正版软件安装包。安装过程非常简单,只需要双击安装包,按照提示逐步进行安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值