ASProtect 2.1x SKE 脱壳

jisheng

[转帖]学习ASProtect 2.1x SKE 脱壳

【目   标】：Security Officer for Windows 6.7.1.1
【工   具】:flyodbg1.1、LORDPE、ImportREC,WinHex
【任   务】:脱壳、修复
【操作平台】:Windows XP sp2
【作   者】: mirrormask
【相关链接】: google
【简要说明】:老婆经常偷玩游戏，近日又迷上英雄无敌，荒废学业。某天突发奇志，要金盆洗手，要我找一用户控制软件，功能要求是在她的用户界面下，只能进入学习资料文件夹。于是找到一名为Security Officer for Windows的冬冬，方便之处不能细数。可是只有30天试用期。想我也在看雪受诸位高手熏陶多时，向老婆夸下海口，要在30天内解除软件限制，使她的学习环境得到保证.找来高手文章，边学边练，12日后，神功初成，软柿子涅扁。
CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------

【详细过程】:
peid:ASProtect 2.1x SKE -> Alexey Solodovnikov
od,大概32次异常后下code段内存断点，shift-f9，断下
00529D3C   55             push ebp ；这里
00529D3D   8BEC             mov ebp,esp
00529D3F   83C4 F0           add esp,-10
00529D42   B8 4C975200       mov eax,wso.0052974C
00529D47   E8 88CFEDFF       call wso.00406CD4
做了一个只有32 个esto 的odscript脚本（别的指令不会）。简陋，但方便。
无stolen code，窃喜。
1、iat初步分析
粗跟一下，会看到call进入壳里了。
00406C10   E8 EB93DA00       call 011B0000 ;可能是其他数值
搜索命令 call 011B0000，发现从 40123c开始，类似
/*40123C*/ jmp dword ptr ds:[530***]
形式的语句，他们本应整齐排列，530***就应是iat位置。但被call 011B0000这类指令打断，api调用被加密。d 530000,发现从5301b4到5309a0处是iat表，但是iat表被加密，比如：
005301F0 *5C B4 FB 1B   AD 9C 80 7C   *C8 2D E7 47   11 03 81 7C \贷瓬

renaihaore

好帖子

aa9518

到了，厉害。。。

夜之魂

ASProtect 2.1x SKE  
一直是我心中的痛！搞不定啊

Iceman

得找时间，实践下

ihhvqu

楼主真是高人呀，我可搞不定。。

hyd009

精华贴啊----------