ASProtect V2.X脱壳+处理附加数据+去自校验~

hmily

--------------------------------------------------------------------------
ASProtect V2.X脱壳+处理附加数据+去自校验
作者：Hmily
博客：Http://Blog.52Hmily.Cn
QQ群：39940458
-------------------------------------------------------------------
大家好，我是Hmily，今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.09.13脱壳教程,需要的工具有：
PEiD，OD，Volx大侠ASProtect脚本（http://www.unpack.cn/viewthread.php?tid=9487），ImportREC，Overlay 最终版，Resource Binder......（这些网上都能下到，就不提供了）
这个是我上次脱Q宠保姆VC版 2.23 SP7版 2007.09.06的记录：http://hi.baidu.com/52hmily/blog ... 7a120b28388a04.html
好，开始，先查下壳
普通扫描：ASProtect V2.X Registered -> Alexey Solodovnikov          * Sign.By.fly [Overlay] *注意是有附加数据的
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]

第一步：脱壳
先OD载入吧，运行脚本，就会自动脱壳了，脱完先修复，先查看OD运行记录，再打开ImportREC，然后对照着填OEP地址，点获取输入表，再点修复转存文件。

第二步：处理附加数据
好了，现在来处理附加数据，打开Overlay，点复制Overlay，这样就处理了附加数据

第三步：去自校验
现在还是运行不了，看来是有自校验，我们把脱好的程序再次载入OD，在命令出输入：bp CreateFileA，回车，按F9运行，到这就可以了，下面看清楚，点反汇编窗口中跟随，F2下端，F9运行到这里，取消断点，这里都是系统的领空，我们要到程序的领空去，按F8先跟到程序领空，好，这里已经到系统领空了，下面还是用F8跟，后面慢慢来，大家看好，
004638D8      .    A3 04DB4D00      mov        dword ptr [4DDB04], eax
004638DD      .    E8 61F5FFFF      call      00462E43
004638E2      .    E8 272BFFFF      call      0045640E
004638E7      .    85C0            test      eax, eax
004638E9      .    0F85 15010000 jnz        00463A04    ————跳转没实现
004638EF      .    52              push      edx
004638F0      .    57              push      edi
004638F1      .    C1D2 E7          rcl        edx, 0E7
004638F4      .    83EA 03          sub        edx, 3
004638F7      .    68 28214200      push      00422128
004638FC      .    81D2 EC7E7BD3 adc        edx, D37B7EEC
00463902      .    5A              pop        edx
00463903      .    FF32            push      dword ptr [edx]
00463905      .    335424 08        xor        edx, dword ptr [esp+8]
00463909      .    335424 28        xor        edx, dword ptr [esp+28]
如果这样下去你会发现程序就结束了，说明这里是关键的跳转，我们先看看，继续跟，出错了，好了，现在我们重新载入程序，直接跳到刚才那个地方004638E9，
004638E9      . /0F85 15010000 jnz        00463A04
没实现跳转，我们来让他实现，可以直接把JNZ改成JMP就可以了，保存
好，我们现在再看看能不能运行，晕,刚才突然点错了，我们继续，OK，可以啦，查下壳 VC8 -> Microsoft Corporation [Overlay] *，我们再用Resource Binder给它优化下，重建资源，
程序也会小点，好了，这样教程就结束了。

欢迎大家和我交流技术!

88


教程地址：http://exs.mail.qq.com/cgi-bin/d ... 5281125d325ea32d7ce

提取码：edac828d

Q宠保姆VC版 2.23 SP8版2007.09.13UNPack：http://exs.mail.qq.com/cgi-bin/d ... 4d0ac7ddece7271e0dc

提取码：ae5027bb

[ 本帖最后由 glts 于 2007-9-16 17:45 编辑 ]

glts

不错,希望看到更多的文章.

hmily

恩，我会继续努力。。。。。。。。。/:014

songdaosha

恩，我会继续努力。。。。。。。。。

wangwei.hebtu

我需要好好研究一下最后的去除自效验一段——

kunkun1987

楼上可以到黑吧去看看FOBNN的教程。讲得很详细关于去自校验

webkr

真的不错，开眼了/:014

jeffrry

真的不错，/:001 /:001 /:001

wangwei.hebtu

呵呵－我是菜鸟，只能按着葫芦花个瓢了－呵呵，在某论坛看到有人求助脱壳，正好练练...

程序也是保姆。不过是老版本的....2.23 SP2 2007.07.03版本

扫描一下显示为－ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *，VerA1.5扫描为Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]，呵呵－人家VolX的脚本就是脱壳机了－那么对于我这样的菜鸟来说就是宝贝呀！

先试试再说！OD载入程序－用脚本跑一遍看看，结果显示“没有偷窃代码”，这太好了！补区段我还不太会呢！跑完后自动生成了脱壳后文件，然后用ImportREC修复：OEP = 000370BF，修复好后的程序还是不能正常运行。没有附加数据－

看来有自校验：把修复好的程序用OD载入，然后输入命令：bp CreateFileA，下断完继续跟，最后找到校验的地方：

004626C1   .  A3 F43A4D00   mov dword ptr ds:[4D3AF4],eax
004626C6   .  E8 39F7FFFF   call de_QQPet.00461E04
004626CB   .  E8 6C34FFFF   call de_QQPet.00455B3C
004626D0   .  85C0          test eax,eax
004626D2      0F85 15010000 jnz de_QQPet.004627ED    －日的，这个跳转没有实现，jmp it
004626D8   .  53            push ebx
004626D9   .  56            push esi
004626DA   .  8D5B 4A       lea ebx,dword ptr ds:[ebx+4A]
004626DD   .  23DD          and ebx,ebp
004626DF   .  035C24 18     add ebx,dword ptr ss:[esp+18]
004626E3   .  BB BE494100   mov ebx,de_QQPet.004149BE

[ 本帖最后由 wangwei.hebtu 于 2007-9-27 21:00 编辑 ]

ζ

其实现在有些Volx大侠ASProtect脚本不能脱壳的版本和软件更有研究头