【已解决】手动脱壳“ASProtect v1.23 RC1”

chenming · 发表于 2009-1-22 23:27:26

软件下载http://qiruan.com/3344520.asp?url=http://qaplus.s11.163sc.com/down1/xqsjv76_setup.exe&id=378

PEID v0.94检测时显示为“ASProtect v1.23 RC1”。

00401000 > 68 02804000    PUSH virus.00408002                   ; (00) 载入后停在这里,[F9]运行.
00401005 E8 01000000    CALL virus.0040100B
0040100A C3             RETN
0040100B C3             RETN

0113E5FE 0000          add    byte ptr [eax], al    ；; (01) OD停在这里，提示“内存访问”异常。用[Shift+F9]忽略异常3次
0113E600 E8 33C05A59    call 5A6EA638
0113E605 59             pop    ecx
0113E606 64:8910       mov    dword ptr fs:[eax], edx
0113E609 EB 0F          jmp    short 0113E61A
0113E60B  ^ E9 5848FCFF    jmp    01102E68
0113E610 E8 73FBFFFF    call 0113E188
0113E615 E8 AA4BFCFF    call 011031C4

0113DA11 0000          add    byte ptr [eax], al ；(03) OD停在这里，提示“内存访问”异常。找到异常处理代码所在的地址为0113DA1E下软断点用[Shift+F9]忽略异常
0113DA13 E8 33C05A59    call 5A6E9A4B
0113DA18 59             pop    ecx
0113DA19 64:8910       mov    dword ptr fs:[eax], edx
0113DA1C EB 2B          jmp    short 0113DA49
0113DA1E  ^ E9 4554FCFF    jmp    01102E68                ；（04）这里下软断点。在“03”处忽略异常并运行后来到这里。这时把该处的软断点取消掉，接下来[F8]单步运行(跳)。
0113DA23 8B45 F4       mov    eax, dword ptr [ebp-C]
0113DA26 50             push eax

01102E68 8B4424 04    mov    eax, dword ptr [esp+4] ；（05) 跳到这里后，[F8]单步向下走。
01102E6C F740 04 0600000>test dword ptr [eax+4], 6
01102E73 0F85 12010000 jnz    01102F8B
01102E79 8138 DEFAED0E cmp    dword ptr [eax], 0EEDFADE
01102E7F 8B50 18       mov    edx, dword ptr [eax+18]
01102E82 8B48 14       mov    ecx, dword ptr [eax+14]
01102E85 74 6E          je    short 01102EF5
01102E87 FC             cld
01102E88 E8 FBFCFFFF    call 01102B88

0113E7B1 8B15 980A1401 mov    edx, dword ptr [1140A98]    ；（06）一直[F8]单步走到这里。
0113E7B7 8902          mov    dword ptr [edx], eax
0113E7B9 A1 980A1401    mov    eax, dword ptr [1140A98]
0113E7BE 8B00          mov    eax, dword ptr [eax]
0113E7C0 E8 3788FEFF    call 01126FFC
0113E7C5 A1 980A1401    mov    eax, dword ptr [1140A98]
0113E7CA 8B00          mov    eax, dword ptr [eax]
0113E7CC 8B4C24 04    mov    ecx, dword ptr [esp+4]
0113E7D0 8B1424       mov    edx, dword ptr [esp]
0113E7D3 E8 188BFEFF    call 011272F0
0113E7D8 84C0          test al, al
0113E7DA 75 0A          jnz    short 0113E7E6
0113E7DC 68 4CE81301    push 113E84C                         ; ASCII "170",CR,LF
0113E7E1 E8 A270FDFF    call 01115888
0113E7E6 A1 980A1401    mov    eax, dword ptr [1140A98]
0113E7EB 8B00          mov    eax, dword ptr [eax]
0113E7ED 33D2          xor    edx, edx
0113E7EF E8 7486FEFF    call 01126E68
0113E7F4 A1 980A1401    mov    eax, dword ptr [1140A98]
0113E7F9 8B00          mov    eax, dword ptr [eax]
0113E7FB B1 01          mov    cl, 1
0113E7FD 33D2          xor    edx, edx
0113E7FF E8 187BFEFF    call 0112631C
0113E804 8B0424       mov    eax, dword ptr [esp]
0113E807 E8 583DFCFF    call 01102564
0113E80C A1 7C0A1401    mov    eax, dword ptr [1140A7C]
0113E811 C600 DE       mov    byte ptr [eax], 0DE
0113E814 803D F4081401 0>cmp    byte ptr [11408F4], 0
0113E81B 74 05          je    short 0113E822
0113E81D E8 E2E1FFFF    call 0113CA04                      ；到这里我不会走了，F8单步
0113E822 8BC6          mov    eax, esi
0113E824 E8 EB43FCFF    call 01102C14
0113E829 A1 AC951401    mov    eax, dword ptr [11495AC]
0113E82E E8 E143FCFF    call 01102C14
0113E833 E8 ACAAFFFF    call 011392E4
0113E838 E8 CF0CFFFF    call 0112F50C
0113E83D 59             pop    ecx
0113E83E 5A             pop    edx
0113E83F 5E             pop    esi
0113E840 5B             pop    ebx
0113E841 C3             retn                ；到这里返回后
。。。。省略过程。。。。。。。。

02370000 81EF 07D4F700 sub    edi, 0F7D407    ；到这里后如何走，请高手帮我看一下。
02370006 E8 09000000    call 02370014
0237000B 5D             pop    ebp
0237000C D2A3 A0591EFF shl    byte ptr [ebx+FF1E59A0], cl
02370012 CC             int3
02370013 15 8BF95966    adc    eax, 6659F98B
02370018 B8 934181C1    mov    eax, C1814193
0237001D 41             inc    ecx
0237001E 0100          add    dword ptr [eax], eax
02370020 000F          add    byte ptr [edi], cl
02370022 B7 C2          mov    bh, 0C2
02370024 BE 11000000    mov    esi, 11
02370029 0FB7C7       movzx eax, di
0237002C FF31          push dword ptr [ecx]
0237002E 0F84 25000000 je    02370059
02370034 0F87 17000000 ja    02370051
0237003A E8 11000000    call 02370050
0237003F F5             cmc
02370040 8AFB          mov    bh, bl
02370042 1871 56       sbb    byte ptr [ecx+56], dh
02370045 D7             xlat byte ptr [ebx+al]
02370046 C4AD E27330A9 les    ebp, fword ptr [ebp+A93073E2]
0237004C 2E:CF          iretd
0237004E 5C             pop    esp
0237004F 65:5F          pop    edi
02370051 68 E19BB92C    push 2CB99BE1
02370056 B2 03          mov    dl, 3
02370058 5F             pop    edi
02370059 5B             pop    ebx
0237005A 66:8BD6       mov    dx, si
0237005D 81EB B3ED5318 sub    ebx, 1853EDB3
02370063 81DA B7C81E20 sbb    edx, 201EC8B7
02370069 81F3 70EF9A39 xor    ebx, 399AEF70
0237006F 66:B8 5339    mov    ax, 3953
02370073 81F3 E9428C5C xor    ebx, 5C8C42E9
02370079 B0 13          mov    al, 13
0237007B 53             push ebx
0237007C 81F7 FD65E54D xor    edi, 4DE565FD
02370082 8F01          pop    dword ptr [ecx]
02370084 68 C00FA47D    push 7DA40FC0
02370089 81E2 B557F049 and    edx, 49F057B5
0237008F 81CF 97EE3E69 or    edi, 693EEE97
02370095 58             pop    eax
02370096 83E9 01       sub    ecx, 1
02370099 66:8BC2       mov    ax, dx
0237009C E8 11000000    call 023700B2
023700A1 25 FAAB08A1    and    eax, A108ABFA
023700A6 C687 B4DD5223 2>mov    byte ptr [edi+2352DDB4], 20
023700AD D99E 7F4C9566 fstp dword ptr [esi+66954C7F]
023700B3 8BD0          mov    edx, eax
023700B5 58             pop    eax
023700B6 49             dec    ecx
023700B7 49             dec    ecx
023700B8 49             dec    ecx
023700B9 E9 0E000000    jmp    023700CC
023700BE 4E             dec    esi
023700BF 6F             outs dx, dword ptr es:[edi]
023700C0 7C 05          jl    short 023700C7
023700C2 5A             pop    edx
023700C3 8B68 81       mov    ebp, dword ptr [eax-7F]
023700C6 26:67:14 BD    adc    al, 0BD
023700CA B2 03          mov    dl, 3
023700CC 4E             dec    esi
023700CD 0F85 22000000 jnz    023700F5
023700D3 0F80 09000000 jo    023700E2
023700D9 81F0 D6171B02 xor    eax, 21B17D6
023700DF 80EC B0       sub    ah, 0B0
023700E2 E9 25000000    jmp    0237010C
023700E7 AE             scas byte ptr es:[edi]
023700E8 4F             dec    edi
023700E9 DCE5          fsubr st(5), st
023700EB BA 6BC86186    mov    edx, 8661C86B
023700F0 47             inc    edi
023700F1  ^ 74 9D          je    short 02370090
023700F3 12E3          adc    ah, bl
023700F5 80D6 55       adc    dh, 55
023700F8  ^ E9 2FFFFFFF    jmp    0237002C
023700FD 5B             pop    ebx
023700FE F8             clc
023700FF D136          sal    dword ptr [esi], 1
02370101 37             aaa
02370102 A4             movs byte ptr es:[edi], byte ptr [esi>
02370103 0D C2D31009    or    eax, 910D3C2
02370108 0E             push cs
02370109 2F             das
0237010A 3C C5          cmp    al, 0C5
0237010C 1E             push ds
0237010D 34 6B          xor    al, 6B
0237010F 17             pop    ss
02370110 D5 9C          aad    9C
02370112 E4 3D          in    al, 3D
02370114 4C             dec    esp
02370115 8C9E 5964E451 mov    word ptr [esi+51E46459], ds
0237011B 8007 7B       add    byte ptr [edi], 7B
0237011E EF             out    dx, eax
0237011F F9             stc
02370120 6E             outs dx, byte ptr es:[edi]
02370121 B5 E6          mov    ch, 0E6
02370123 3A4CE3 7C    cmp    cl, byte ptr [ebx+7C]
02370127 A6             cmps byte ptr [esi], byte ptr es:[edi>
02370128 4E             dec    esi
02370129 4E             dec    esi
0237012A 8A5B 25       mov    bl, byte ptr [ebx+25]
0237012D 9D             popfd
0237012E 2F             das
0237012F 5E             pop    esi
02370130 C7             ???                                     ; 未知命令
02370131 16             push ss
02370132  ^ 72 A2          jb    short 023700D6
02370134 70 3A          jo    short 02370170
02370136 17             pop    ss
02370137 67:0B9C 2952 or    ebx, dword ptr [si+5229]
0237013C 193B          sbb    dword ptr [ebx], edi
0237013E  ^ 7E 8A          jle    short 023700CA
02370140 51             push ecx
02370141 B5 A4          mov    ch, 0A4
02370143 A1 9BF53173    mov    eax, dword ptr [7331F59B]
02370148 4A             dec    edx
02370149 F8             clc
0237014A 692D D6D610CB F>imul ebp, dword ptr [CB10D6D6], 45F2
02370154 0000          add    byte ptr [eax], al
02370156 0000          add    byte ptr [eax], al

[ 本帖最后由 chenming 于 2009-1-28 15:48 编辑 ]

小生我怕怕 · 发表于 2009-1-23 00:06:53

地址失效的!

chenming · 发表于 2009-1-23 00:26:36

把地址复制到迅雷可以下载，请高手帮忙说一下思路最好发个教程，谢谢

E-Packer · 发表于 2009-1-23 02:10:01

Microsoft Visual C++ 8.0

UnPackED.rar

小生我怕怕 · 发表于 2009-1-23 03:32:02

这个是2.3X的,用V大的脚本,直接就可以脱壳啦!

chenming · 发表于 2009-1-23 17:24:29

谢谢各位大大，但我想学一下自己脱壳，在百度搜的破文不够详细，希望大大们就这个写篇教程

chenming · 发表于 2009-1-28 15:49:40

谢谢各位大大的帮助

suyajun · 发表于 2010-10-6 08:42:59

问题解决了吗

wolailai2008 · 发表于 2010-10-25 04:00:41

看看是哪个脚本

		自动登录	找回密码
密码			加入我们

【已解决】手动脱壳“ASProtect v1.23 RC1”

相关帖子

本帖子中包含更多资源