【脫文標(biāo)題】 手動脫殼入門第十九篇ASProtect 1.1
【脫文作者】 weiyi75[Dfcg]

【作者郵箱】 weiyi75@sohu.com
【作者主頁】 Dfcg官方大本營
【使用工具】 Peid,Ollydbg,Loadpe,ImportREC1.42
【脫殼平臺】 Win2000/XP
【軟件名稱】 chap709.exe
【下載地址】 本地下載
chap709.rar
【軟件簡介】 ASProtect 1.1b Registered 加密Win98的記事本。
【軟件大小】 58.2K
【加殼方式】 ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov
【脫殼聲明】 我是一只小菜鳥，偶得一點心得，愿與大家分享：
--------------------------------------------------------------------------------
【脫殼內(nèi)容】
首先Peid查殼，為ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov,ASProtect 1.1b Registered 很少弄過，與現(xiàn)在的Asprotect1.2X SEH不同，不過也很容易。SEH異常全部是由13個精心設(shè)計的非法指令SEH組成的，這樣就無法用模擬跟蹤找Oep了。二哥脫殼沒有什么耐心，喜歡快。先大概了解了一下程序開始脫殼。
OD載入程序，除了錯誤或有特權(quán)的指令外異常全部忽略,1.1b不檢測OD，根本無需隱藏。
0040D001 > 60 pushad//外殼入口,F9運行。
0040D002 E9 95050000 jmp chap709.0040D59C
0040D007 F710not dword ptr ds:[eax]
0040D009 0F0F??? ; 未知命令
0040D00B 0F9F6C90 FC setg byte ptr ds:[eax edx*4-4]
0040D010 57 push edi
0040D011 C5540F CA lds edx, fword ptr ds:[edi ecx-36]
0040D015 4B dec ebx
0040D016 C5540F 12 lds edx, fword ptr ds:[edi ecx 12]
0040D01A EC in al, dx
0040D01B 3AAC90 CD540F92 cmp ch, byte ptr ds:[eax edx*4 920F54CD]
0040D022 CC int3
.............................................................
第一次異常
0092FF94 8DC0lea eax, eax ; 非法使用寄存器
0092FF96 EB 01 jmp short 0092FF99
0092FF98 68 648F0500 push 58F64
0092FF9D 0000add byte ptr ds:[eax], al
0092FF9F 00EBadd bl, ch
0092FFA1 02E8add ch, al
0092FFA3 0158 68add dword ptr ds:[eax 68], ebx
0092FFA6 98 cwde
0092FFA7 E5 92 in eax, 92
0092FFA9 0068 D0add byte ptr ds:[eax-30], ch
0092FFAC FF92 00687CF5call dword ptr ds:[edx F57C6800]
0092FFB2 92 xchg eax, edx
0092FFB3 0068 14add byte ptr ds:[eax 14], ch
...................................................................
繼續(xù)Shift F9 12次達(dá)第十三次也是最后一次異常。
0093053D 8DC0lea eax, eax ; 非法使用寄存器
0093053F EB 01 jmp short 00930542
00930541 68 648F0500 push 58F64
00930546 0000add byte ptr ds:[eax], al
00930548 00EBadd bl, ch
0093054A 02E8add ch, al
0093054C 0158 33add dword ptr ds:[eax 33], ebx
0093054F C05A 59 59rcr byte ptr ds:[edx 59], 59
00930553 64:8910mov dword ptr fs:[eax], edx
00930556 68 78059300 push 930578
0093055B 8D45 F0lea eax, dword ptr ss:[ebp-10]
0093055E E8 2D2CFFFF call 00923190
00930563 8D45 F8lea eax, dword ptr ss:[ebp-8]
.............................................................
ALT M 打開內(nèi)存鏡像。
內(nèi)存鏡像，項目 21
地址=00401000
大小=00004000 (16384.)
Owner=chap709 00400000
區(qū)段=
包含=code//對這里下內(nèi)存訪問斷點,Shift F9運行。
類型=Imag 01001002
訪問=R
初始訪問=RWE
004010CC 55 push ebp //到達(dá)Oep,用Loadpe脫殼吧。
004010CD 8BECmov ebp, esp
004010CF 83EC 44sub esp, 44
004010D2 56 push esi
004010D3 FF15 E4634000call dword ptr ds:[4063E4]
004010D9 8BF0mov esi, eax
004010DB 8A00mov al, byte ptr ds:[eax]
004010DD 3C 22 cmp al, 22
004010DF 75 1B jnz short chap709.004010FC//往下看看IAT被加密了不少。
004010E1 56 push esi
004010E2 FF15 F4644000call dword ptr ds:[4064F4]
004010E8 8BF0mov esi, eax
004010EA 8A00mov al, byte ptr ds:[eax]
004010EC 84C0test al, al
004010EE 74 04 je short chap709.004010F4
004010F0 3C 22 cmp al, 22
004010F2 ^ 75 ED jnz short chap709.004010E1
004010F4 803E 22cmp byte ptr ds:[esi], 22
004010F7 75 15 jnz short chap709.0040110E
004010F9 46 inc esi
004010FA EB 12 jmp short chap709.0040110E
...........................................................
IAT修復(fù)
運行ImportREC，OEP填入10CC，自動搜索，獲得輸入信息，有111個指針沒有修復(fù)，先用跟蹤等級1修復(fù)98個，剩下的13個用等級3全部修復(fù)，正常運行。
火眼金精區(qū)段減肥，去除垃圾區(qū)段，重建PE。
這個需要一點PE知識，沒有也不要緊，跟著一起學(xué)，積累經(jīng)驗。
備份好脫殼程序，區(qū)段減肥有時過量會導(dǎo)致程序無法運行。
這次區(qū)段減肥只是例子，大家要學(xué)會舉一反三。
我們用OD同時載入未加密的Win98計事本，和脫殼程序。
Win98 記事本
本地下載
Notepad.rar
Alt M打開內(nèi)存鏡像同步分析。
原程序內(nèi)存鏡像
地址 大小 OwnerSection Contains類型訪問初始訪問 映射為
003E000000002000 Map RR
0040000000001000NOTEPADPE header ImagRRWE
0040100000004000NOTEPAD .textcode ImagRRWE
0040500000001000NOTEPAD .datadata ImagRRWE
0040600000001000NOTEPAD .idata imports ImagRRWE
0040700000005000NOTEPAD .rsrcresources ImagRRWE
0040C00000001000NOTEPAD .reloc relocationsImagRRWE
Contains
.text//代碼段，我們反編譯程序經(jīng)常看到。
.data //數(shù)據(jù)快，程序初始化用。
.idata //輸入表，現(xiàn)在加密殼搞破壞的對象,壞的輸入表

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。