吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 9877|回复: 154

[原创逆向视频] ASProtect全保护脱壳

  [复制链接]
鹤醉晓. 发表于 2023-1-15 14:48 | 显示全部楼层 |阅读模式

运行环境:
Win10 x64 企业版
涉及工具:
OD
教程类型:
脱壳分析
视频是否带有论坛水印:
是,视频课件带有论坛标识;
是否讲解思路和原理:
是,演示操作与思路;
是否为悬赏杀手:


以下为图文内容:
大家好  我是52hb的鹤醉晓.
今天逛某易论坛的时候见到了一款自写的保护软件 [ASProtect]
我试了一下,发现其实就是之前 [Boot] 大佬发过的一个脱壳视频里的一个东西  我记得是雷轩
这个其实就是那个作者写的  写的兼容升级版 可是我认为还是原来的样子 就是加了点混淆  这里教大家怎么去破解
这里我用他现场加密一个软件 默认全保护开启~
那么本篇教程现在开始  大佬绕道

吾爱汇编论坛 [www.52hb.com]

1.修复PE体异常
2.找到内存永久注入的LoadDll 部分
3.简单的绕过子程序开头的花指令
4.绕过异常
5.eip改变 dump文件

把地址移到区段开头  搜索55 8B EC  (push ebp+mov ebp,esp)
这样就可以了 作者并未对这段进行混淆变异虚拟  然后我们f2下断  f9运行
一直跑 跑Dll载入去
遇到这种jg循环就直接enter进入 f2断点运行 略过  跑到这个位置就是dll载入的地方了
跑到第二个call f7步入  一直f8  第一个 dword [eax+0x50]  f7进入  第三个call f7步入
这里就是易语言体了  然后从第四个call就开始壳dll的分析了  这些都是花 那我们该怎么去解决呢?
我们直接搜索 6A00 (push 0x1)  然后网上翻函数正题开始
现在我们就一直翻call 分析  没有看到代码比较长的基本都不用进去看

看到这种头部加了花的就很可以了 进去看看 还是一样的办法 这个看起来比较奇怪 我们就看call参数吧
这个应该是调用dll  然后这里确实是一个函数 一直f8返回
注意了 这里就是作者的异常退出 亦或者是反调试

看到没有 NtSetInformationThread NtTerminateProcess 都是关于到调试器异常和退出的常用api 我们这里就不要继续跑了 肯定有诈!

到这里我们搜不到6A00 (push 0x1)  那我们就搜别的 有什么?  如83C404 (add esp,0x4) 这个就是调用call后的平衡


关键了  push 0x401000 看来是要解码了  ok解码了   然后我们没必要继续跑了  先看看oep有没有被虚拟之类的

55 8B EC 6A FF 68 ?? ?? ?? ?? 68
push ebp
mov ebp,esp
push 0x-1
push ??
push ??

以上是易语言VC6linker的一个入口结构体
看来有 然后我们eip改变 dump
ok脱壳成功 总结一下 难度不高 就是麻烦 用点小办法就好了

那么这节课就到这了  这里也提醒一下写壳的小观众们
真的不要一直执着于抽代码 反调试   写点虚拟和antidump吧  不然真没啥用
bye~

fakename.png


下载链接:
游客,如果您要查看本帖隐藏内容请回复




评分

参与人数 40威望 +1 HB +47 THX +15 收起 理由
居然要中文 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
入凡尘 + 1 + 1
韦韦超 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
言听计从 + 1
白开水配米饭 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
lies + 1
苗舜尧 + 1
无哩头 + 2
longge188 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
消逝的过去 + 1
限量版无心 + 1
嗜血狂魔 + 1 + 1
jjyjjy003159 + 2 + 1
非同一般 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
小肥杨 + 1
张八戒 + 1
ACZR + 2
24567 + 2
wwr21 + 1
sjtkxy + 1 + 1
bnjzzheng + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
attackmyth + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
Yus + 1
极速菜 + 1
兔子芭比 + 1
和尚头 + 1
安安的噹 + 1 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
我们分到了土地 + 1
禽大师 + 1
八四编程 + 1
创客者V2.0 + 1
鼎香楼 + 1 感谢分享
mudboy + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
brswbx201610 + 1
DDK4282 + 1 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
天域 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
zxjzzh + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
Shark恒 + 1 + 10 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
三斤回锅肉 + 2 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
192939 发表于 2023-1-15 16:21 来自手机端 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
弃天帝520 发表于 2023-1-15 14:50 来自手机端 | 显示全部楼层

感谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
宦苍秋 发表于 2023-1-15 14:56 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
pjm123456 发表于 2023-1-15 15:04 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
2311818459 发表于 2023-1-15 15:09 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
2311818459 发表于 2023-1-15 15:11 | 显示全部楼层

fakename.png 是不是这个?
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
khuntoria 发表于 2023-1-15 15:31 | 显示全部楼层

感谢楼主分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
woaini 发表于 2023-1-15 15:55 | 显示全部楼层

谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
愤怒的亚索 发表于 2023-1-15 16:12 | 显示全部楼层

支持了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
赞帖
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表