飘云阁【已解决】手动脱壳“ASProtect v1.23 RC1”

chenming 发表于 2009-1-22 23:27:26

【已解决】手动脱壳“ASProtect v1.23 RC1”

软件下载http://qiruan.com/3344520.asp?url=http://qaplus.s11.163sc.com/down1/xqsjv76_setup.exe&id=378

PEID v0.94检测时显示为“ASProtect v1.23 RC1”。

00401000 > 68 02804000 PUSH virus.00408002                   ; (00) 载入后停在这里,运行.
00401005 E8 01000000 CALL virus.0040100B
0040100A C3          RETN
0040100B C3          RETN

0113E5FE 0000          add byte ptr , al    ；; (01) OD停在这里，提示“内存访问”异常。用忽略异常3次
0113E600 E8 33C05A59 call 5A6EA638
0113E605 59          pop ecx
0113E606 64:8910       mov dword ptr fs:, edx
0113E609 EB 0F       jmp short 0113E61A
0113E60B^ E9 5848FCFF jmp 01102E68
0113E610 E8 73FBFFFF call 0113E188
0113E615 E8 AA4BFCFF call 011031C4

0113DA11 0000          add byte ptr , al ；(03) OD停在这里，提示“内存访问”异常。找到异常处理代码所在的地址为0113DA1E下软断点用忽略异常
0113DA13 E8 33C05A59 call 5A6E9A4B
0113DA18 59          pop ecx
0113DA19 64:8910       mov dword ptr fs:, edx
0113DA1C EB 2B       jmp short 0113DA49
0113DA1E^ E9 4554FCFF jmp 01102E68                ；（04）这里下软断点。在“03”处忽略异常并运行后来到这里。这时把该处的软断点取消掉，接下来单步运行(跳)。
0113DA23 8B45 F4       mov eax, dword ptr
0113DA26 50          push eax

01102E68 8B4424 04    mov eax, dword ptr ；（05) 跳到这里后，单步向下走。
01102E6C F740 04 0600000>test dword ptr , 6
01102E73 0F85 12010000 jnz 01102F8B
01102E79 8138 DEFAED0E cmp dword ptr , 0EEDFADE
01102E7F 8B50 18       mov edx, dword ptr
01102E82 8B48 14       mov ecx, dword ptr
01102E85 74 6E       je    short 01102EF5
01102E87 FC          cld
01102E88 E8 FBFCFFFF call 01102B88

0113E7B1 8B15 980A1401 mov edx, dword ptr ；（06）一直单步走到这里。
0113E7B7 8902          mov dword ptr , eax
0113E7B9 A1 980A1401 mov eax, dword ptr
0113E7BE 8B00          mov eax, dword ptr
0113E7C0 E8 3788FEFF call 01126FFC
0113E7C5 A1 980A1401 mov eax, dword ptr
0113E7CA 8B00          mov eax, dword ptr
0113E7CC 8B4C24 04    mov ecx, dword ptr
0113E7D0 8B1424       mov edx, dword ptr
0113E7D3 E8 188BFEFF call 011272F0
0113E7D8 84C0          test al, al
0113E7DA 75 0A       jnz short 0113E7E6
0113E7DC 68 4CE81301 push 113E84C                      ; ASCII "170",CR,LF
0113E7E1 E8 A270FDFF call 01115888
0113E7E6 A1 980A1401 mov eax, dword ptr
0113E7EB 8B00          mov eax, dword ptr
0113E7ED 33D2          xor edx, edx
0113E7EF E8 7486FEFF call 01126E68
0113E7F4 A1 980A1401 mov eax, dword ptr
0113E7F9 8B00          mov eax, dword ptr
0113E7FB B1 01       mov cl, 1
0113E7FD 33D2          xor edx, edx
0113E7FF E8 187BFEFF call 0112631C
0113E804 8B0424       mov eax, dword ptr
0113E807 E8 583DFCFF call 01102564
0113E80C A1 7C0A1401 mov eax, dword ptr
0113E811 C600 DE       mov byte ptr , 0DE
0113E814 803D F4081401 0>cmp byte ptr , 0
0113E81B 74 05       je    short 0113E822
0113E81D E8 E2E1FFFF call 0113CA04                   ；到这里我不会走了，F8单步
0113E822 8BC6          mov eax, esi
0113E824 E8 EB43FCFF call 01102C14
0113E829 A1 AC951401 mov eax, dword ptr
0113E82E E8 E143FCFF call 01102C14
0113E833 E8 ACAAFFFF call 011392E4
0113E838 E8 CF0CFFFF call 0112F50C
0113E83D 59          pop ecx
0113E83E 5A          pop edx
0113E83F 5E          pop esi
0113E840 5B          pop ebx
0113E841 C3          retn             ；到这里返回后
。。。。省略过程。。。。。。。。

02370000 81EF 07D4F700 sub edi, 0F7D407 ；到这里后如何走，请高手帮我看一下。
02370006 E8 09000000 call 02370014
0237000B 5D          pop ebp
0237000C D2A3 A0591EFF shl byte ptr , cl
02370012 CC          int3
02370013 15 8BF95966 adc eax, 6659F98B
02370018 B8 934181C1 mov eax, C1814193
0237001D 41          inc ecx
0237001E 0100          add dword ptr , eax
02370020 000F          add byte ptr , cl
02370022 B7 C2       mov bh, 0C2
02370024 BE 11000000 mov esi, 11
02370029 0FB7C7       movzx eax, di
0237002C FF31          push dword ptr
0237002E 0F84 25000000 je    02370059
02370034 0F87 17000000 ja    02370051
0237003A E8 11000000 call 02370050
0237003F F5          cmc
02370040 8AFB          mov bh, bl
02370042 1871 56       sbb byte ptr , dh
02370045 D7          xlat byte ptr
02370046 C4AD E27330A9 les ebp, fword ptr
0237004C 2E:CF       iretd
0237004E 5C          pop esp
0237004F 65:5F       pop edi
02370051 68 E19BB92C push 2CB99BE1
02370056 B2 03       mov dl, 3
02370058 5F          pop edi
02370059 5B          pop ebx
0237005A 66:8BD6       mov dx, si
0237005D 81EB B3ED5318 sub ebx, 1853EDB3
02370063 81DA B7C81E20 sbb edx, 201EC8B7
02370069 81F3 70EF9A39 xor ebx, 399AEF70
0237006F 66:B8 5339    mov ax, 3953
02370073 81F3 E9428C5C xor ebx, 5C8C42E9
02370079 B0 13       mov al, 13
0237007B 53          push ebx
0237007C 81F7 FD65E54D xor edi, 4DE565FD
02370082 8F01          pop dword ptr
02370084 68 C00FA47D push 7DA40FC0
02370089 81E2 B557F049 and edx, 49F057B5
0237008F 81CF 97EE3E69 or    edi, 693EEE97
02370095 58          pop eax
02370096 83E9 01       sub ecx, 1
02370099 66:8BC2       mov ax, dx
0237009C E8 11000000 call 023700B2
023700A1 25 FAAB08A1 and eax, A108ABFA
023700A6 C687 B4DD5223 2>mov byte ptr , 20
023700AD D99E 7F4C9566 fstp dword ptr
023700B3 8BD0          mov edx, eax
023700B5 58          pop eax
023700B6 49          dec ecx
023700B7 49          dec ecx
023700B8 49          dec ecx
023700B9 E9 0E000000 jmp 023700CC
023700BE 4E          dec esi
023700BF 6F          outs dx, dword ptr es:
023700C0 7C 05       jl    short 023700C7
023700C2 5A          pop edx
023700C3 8B68 81       mov ebp, dword ptr
023700C6 26:67:14 BD adc al, 0BD
023700CA B2 03       mov dl, 3
023700CC 4E          dec esi
023700CD 0F85 22000000 jnz 023700F5
023700D3 0F80 09000000 jo    023700E2
023700D9 81F0 D6171B02 xor eax, 21B17D6
023700DF 80EC B0       sub ah, 0B0
023700E2 E9 25000000 jmp 0237010C
023700E7 AE          scas byte ptr es:
023700E8 4F          dec edi
023700E9 DCE5          fsubr st(5), st
023700EB BA 6BC86186 mov edx, 8661C86B
023700F0 47          inc edi
023700F1^ 74 9D       je    short 02370090
023700F3 12E3          adc ah, bl
023700F5 80D6 55       adc dh, 55
023700F8^ E9 2FFFFFFF jmp 0237002C
023700FD 5B          pop ebx
023700FE F8          clc
023700FF D136          sal dword ptr , 1
02370101 37          aaa
02370102 A4          movs byte ptr es:, byte ptr [esi>
02370103 0D C2D31009 or    eax, 910D3C2
02370108 0E          push cs
02370109 2F          das
0237010A 3C C5       cmp al, 0C5
0237010C 1E          push ds
0237010D 34 6B       xor al, 6B
0237010F 17          pop ss
02370110 D5 9C       aad 9C
02370112 E4 3D       in    al, 3D
02370114 4C          dec esp
02370115 8C9E 5964E451 mov word ptr , ds
0237011B 8007 7B       add byte ptr , 7B
0237011E EF          out dx, eax
0237011F F9          stc
02370120 6E          outs dx, byte ptr es:
02370121 B5 E6       mov ch, 0E6
02370123 3A4CE3 7C    cmp cl, byte ptr
02370127 A6          cmps byte ptr , byte ptr es:[edi>
02370128 4E          dec esi
02370129 4E          dec esi
0237012A 8A5B 25       mov bl, byte ptr
0237012D 9D          popfd
0237012E 2F          das
0237012F 5E          pop esi
02370130 C7          ???                                  ; 未知命令
02370131 16          push ss
02370132^ 72 A2       jb    short 023700D6
02370134 70 3A       jo    short 02370170
02370136 17          pop ss
02370137 67:0B9C 2952 or    ebx, dword ptr
0237013C 193B          sbb dword ptr , edi
0237013E^ 7E 8A       jle short 023700CA
02370140 51          push ecx
02370141 B5 A4       mov ch, 0A4
02370143 A1 9BF53173 mov eax, dword ptr
02370148 4A          dec edx
02370149 F8          clc
0237014A 692D D6D610CB F>imul ebp, dword ptr , 45F2
02370154 0000          add byte ptr , al
02370156 0000          add byte ptr , al

[ 本帖最后由 chenming 于 2009-1-28 15:48 编辑 ]

小生我怕怕 发表于 2009-1-23 00:06:53

地址失效的!

chenming 发表于 2009-1-23 00:26:36

把地址复制到迅雷可以下载，请高手帮忙说一下思路最好发个教程，谢谢

E-Packer 发表于 2009-1-23 02:10:01

Microsoft Visual C++ 8.0

UnPackED.rar

小生我怕怕 发表于 2009-1-23 03:32:02

这个是2.3X的,用V大的脚本,直接就可以脱壳啦!

chenming 发表于 2009-1-23 17:24:29

谢谢各位大大，但我想学一下自己脱壳，在百度搜的破文不够详细，希望大大们就这个写篇教程

chenming 发表于 2009-1-28 15:49:40

谢谢各位大大的帮助

suyajun 发表于 2010-10-6 08:42:59

问题解决了吗

wolailai2008 发表于 2010-10-25 04:00:41

看看是哪个脚本

页: [1]

飘云阁's Archiver

【已解决】手动脱壳“ASProtect v1.23 RC1”