希望那位老大可以做一个ASProtect 2.1x SKE 的脱壳教程

whwei18

ASProtect 2.1x SKE
这个壳现在很多都用他，但是文章小弟很菜看不动
真的希望那位老大做一个动画教程，真的很急

破解爱好者

我也需要！！！！

neorios

现在的壳是一个比一个的猛了，以前学的那点东西是 ‘收拾’ 不了它们了
学习中。。。。。

goldharp

【转载】学习ASProtect 2.1x SKE 脱壳

【目   标】：Security Officer for Windows 6.7.1.1
【工   具】:flyodbg1.1、LORDPE、ImportREC,WinHex
【任   务】:脱壳、修复
【操作平台】:Windows XP sp2
【作   者】: mirrormask
【相关链接】: google
【简要说明】:老婆经常偷玩游戏，近日又迷上英雄无敌，荒废学业。某天突发奇志，要金盆洗手，要我找一用户控制软件，功能要求是在她的用户界面下，只能进入学习资料文件夹。于是找到一名为Security Officer for Windows的冬冬，方便之处不能细数。可是只有30天试用期。想我也在看雪受诸位高手熏陶多时，向老婆夸下海口，要在30天内解除软件限制，使她的学习环境得到保证.找来高手文章，边学边练，12日后，神功初成，软柿子涅扁。
【详细过程】:
peid:ASProtect 2.1x SKE -> Alexey Solodovnikov
od,大概32次异常后下code段内存断点，shift-f9，断下
00529D3C   55             push ebp ；这里
00529D3D   8BEC             mov ebp,esp
00529D3F   83C4 F0           add esp,-10
00529D42   B8 4C975200       mov eax,wso.0052974C
00529D47   E8 88CFEDFF       call wso.00406CD4
做了一个只有32 个esto 的odscript脚本（别的指令不会）。简陋，但方便。
无stolen code，窃喜。
1、iat初步分析
粗跟一下，会看到call进入壳里了。
00406C10   E8 EB93DA00       call 011B0000 ;可能是其他数值
搜索命令 call 011B0000，发现从 40123c开始，类似
/*40123C*/ jmp dword ptr ds:[530***]
形式的语句，他们本应整齐排列，530***就应是iat位置。但被call 011B0000这类指令打断，api调用被加密。d 530000,发现从5301b4到5309a0处是iat表，但是iat表被加密，比如：
005301F0 *5C B4 FB 1B   AD 9C 80 7C   *C8 2D E7 47   11 03 81 7C \贷瓬

mianhua111

好笼统,看的有点糊涂啊

backboy

强 大力支持,谢谢!

59940640

好帖子!!!!!

niezhi88

好东西，下来看看。

lovebaby

不错啊！
加油！

野猫III

谢谢搜索！