ASProtect全保护脱壳
运行环境:Win10 x64 企业版
涉及工具:
OD
教程类型:
脱壳分析
视频是否带有论坛水印:
是,视频课件带有论坛标识;
是否讲解思路和原理:
是,演示操作与思路;
是否为悬赏杀手:
否
以下为图文内容:
大家好我是52hb的鹤醉晓.
今天逛某易论坛的时候见到了一款自写的保护软件
我试了一下,发现其实就是之前 大佬发过的一个脱壳视频里的一个东西我记得是雷轩
这个其实就是那个作者写的写的兼容升级版 可是我认为还是原来的样子 就是加了点混淆这里教大家怎么去破解
这里我用他现场加密一个软件 默认全保护开启~
那么本篇教程现在开始大佬绕道
吾爱汇编论坛 [www.52hb.com]
1.修复PE体异常
2.找到内存永久注入的LoadDll 部分
3.简单的绕过子程序开头的花指令
4.绕过异常
5.eip改变 dump文件
把地址移到区段开头搜索55 8B EC(push ebp+mov ebp,esp)
这样就可以了 作者并未对这段进行混淆变异虚拟然后我们f2下断f9运行
一直跑 跑Dll载入去
遇到这种jg循环就直接enter进入 f2断点运行 略过跑到这个位置就是dll载入的地方了
跑到第二个call f7步入一直f8第一个 dword f7进入第三个call f7步入
这里就是易语言体了然后从第四个call就开始壳dll的分析了这些都是花 那我们该怎么去解决呢?
我们直接搜索 6A00 (push 0x1)然后网上翻函数正题开始
现在我们就一直翻call 分析没有看到代码比较长的基本都不用进去看
看到这种头部加了花的就很可以了 进去看看 还是一样的办法 这个看起来比较奇怪 我们就看call参数吧
这个应该是调用dll然后这里确实是一个函数 一直f8返回
注意了 这里就是作者的异常退出 亦或者是反调试
看到没有 NtSetInformationThread NtTerminateProcess 都是关于到调试器异常和退出的常用api 我们这里就不要继续跑了 肯定有诈!
到这里我们搜不到6A00 (push 0x1)那我们就搜别的 有什么?如83C404 (add esp,0x4) 这个就是调用call后的平衡
关键了push 0x401000 看来是要解码了ok解码了 然后我们没必要继续跑了先看看oep有没有被虚拟之类的
55 8B EC 6A FF 68 ?? ?? ?? ?? 68
push ebp
mov ebp,esp
push 0x-1
push ??
push ??
以上是易语言VC6linker的一个入口结构体
看来有 然后我们eip改变 dump
ok脱壳成功 总结一下 难度不高 就是麻烦 用点小办法就好了
那么这节课就到这了这里也提醒一下写壳的小观众们
真的不要一直执着于抽代码 反调试 写点虚拟和antidump吧不然真没啥用
bye~
下载链接:
**** Hidden Message *****
谢谢分享 感谢分享 支持了 谢谢分享 感谢分享,学习一下 是不是这个?
感谢楼主分享 谢谢分享 支持了