[脱壳]手动脱壳ASProtect V2.X Registered

chenming

【PYG官方论坛】https://www.chinapyg.com
大家有空去看看

================


我是个菜鸟，想跟大家学习点技术。
QQ：381907802

第一次做动画，有什么错误的地方望高手指正。

今天和大家讨论一下

手动脱壳之ASProtect V2.X Registered -> Alexey Solodovnikov *

//////////////////////////
设置Ollydbg忽略除了“内存访问异常”之外的所有其他异常选项。
用插件去掉Ollydbg的调试器标志。

////////////////////////////////////////
OD载入后停在这里：
00401000 >  68 01B05600     PUSH csetup.0056B001  ===》壳的入口,F9运行
00401005    E8 01000000     CALL csetup.0040100B
0040100A    C3              RETN
0040100B    C3              RETN
0040100C    0D 6F2F026F     OR EAX,6F022F6F
00401011    5B              POP EBX

===============
Shift+F9按N次，注意右下角堆栈
00AFFAFF    C601 9E         MOV BYTE PTR DS:[ECX],9E
00AFFB02    BB 71FE8A67     MOV EBX,678AFE71
00AFFB07    64:8F06         POP DWORD PTR FS:[ESI]
00AFFB0A    0000            ADD BYTE PTR DS:[EAX],AL
00AFFB0C    83C4 04         ADD ESP,4
00AFFB0F    8D0C07          LEA ECX,DWORD PTR DS:[EDI+EAX]
00AFFB12    59              POP ECX

=====================

0012FF50   0012FF5C  指向下一个 SEH 记录的指针
0012FF54   00AFFA50  SE处理程序
0012FF58   00000002
0012FF5C   0012FF80  指向下一个 SEH 记录的指针
0012FF60   00AFFFE8  SE处理程序
0012FF64   0012FF78
0012FF68   00A80000
0012FF6C   00AFF62C
0012FF70   00000000
0012FF74   00B3D84C  ASCII "FECE69A1-E37D"  ====》硬盘特征指纹
0012FF78   0012FF98
0012FF7C   00ADE2D0
0012FF80   0012FFE0  指向下一个 SEH 记录的指针
0012FF84   00AFF854  SE处理程序
0012FF88   0012FF98

Shift+F9经过=23次异常后,堆栈出现硬盘特征指纹
=================
Shift+F9按5次，堆栈硬盘特征指纹消失，再按1次Shift+F9
00AFE8F9    C601 9E         MOV BYTE PTR DS:[ECX],9E
00AFE8FC    BB 71FE8A67     MOV EBX,678AFE71
00AFE901    64:8F06         POP DWORD PTR FS:[ESI]
00AFE904    0000            ADD BYTE PTR DS:[EAX],AL
00AFE906    83C4 04         ADD ESP,4
00AFE909    8D0C07          LEA ECX,DWORD PTR DS:[EDI+EAX]
00AFE90C    59              POP ECX
00AFE90D    A1 4848B000     MOV EAX,DWORD PTR DS:[B04848]
==================
向上找到这里：
00AFE8E3    C3              RETN
00AFE8E4    EB 01           JMP SHORT 00AFE8E7
00AFE8E6    9A C1D19D36 EB0>CALL FAR 01EB:369DD1C1                   ; 远调用
00AFE8ED    9A 83F1102B C96>CALL FAR 64C9:2B10F183                   ; 远调用
00AFE8F4    FF31            PUSH DWORD PTR DS:[ECX]
00AFE8F6    64:8921         MOV DWORD PTR FS:[ECX],ESP
00AFE8F9    C601 9E         MOV BYTE PTR DS:[ECX],9E

在00AFE8E3    C3              RETN按F2下断，Shift+F9断下，取消断点，F8单步

7C9237BF    64:8B25 0000000>MOV ESP,DWORD PTR FS:[0]
7C9237C6    64:8F05 0000000>POP DWORD PTR FS:[0]
7C9237CD    8BE5            MOV ESP,EBP
7C9237CF    5D              POP EBP
7C9237D0    C2 1400         RETN 14

Alt+M查看内存在00401000按F2下断，F9运行
004B02B8    55              PUSH EBP
004B02B9    8BEC            MOV EBP,ESP
004B02BB    83C4 E4         ADD ESP,-1C
004B02BE    53              PUSH EBX
004B02BF    56              PUSH ESI
004B02C0    33C0            XOR EAX,EAX
004B02C2    8945 E4         MOV DWORD PTR SS:[EBP-1C],EAX

004B02B8程序OEP脱壳之。是Borland Delphi 6.0 - 7.0
==================

脱壳之后如何修复请高手指教。

动画下载
http://free.ys168.com/?a3chenming

mojingtai

谢谢，学习学习:P

cjh9996

正在学习当中~!谢谢提供资料~

中原我最红

正在研究这个壳呢~感谢~

hdlm

修复
    好像要跟踪指针...
   

没办法  我也菜```

glts

试试这个~我不知道是否是少了文件

psjdh

学习学习学习

canaris321

非常感谢啊！！