asprotect的入口点变形

最新推荐文章于 2021-01-04 14:59:43 发布
最新推荐文章于 2021-01-04 14:59:43 发布
阅读量112 收藏
点赞数
原文链接:http://www.cnblogs.com/shremie/archive/2012/07/12/2587302.html
版权

一个程序如果用普通的加壳程序处理之后,脱壳之后的程序应该和原来的程序是一模一样的,压缩壳普遍都是这种情况,但是对于某些加密壳来说有入口点保护的功能,会把你原本程序的入口点的代码改变,同时在其中加入一些垃圾代码,导致你脱壳后的入口点代码和未加壳程序入口点代码是不一样的,但是不影响程序的结果,相当于把你入口点的代码给变形了。某个vb程序用asprotect 加壳之后用脚本顺利到达入口点处,我们看下入口点的代码

01140253    68 26AE4500     push    45AE26                           ; OEP
01140258    66:9C           pushfw
0114025A    52              push    edx
0114025B    035424 18       add     edx, dword ptr [esp+18]
0114025F    C1DA E7         rcr     edx, 0E7
01140262    BA BE204600     mov     edx, 4620BE
01140267    035424 18       add     edx, dword ptr [esp+18]          ; 上面是垃圾操作
0114026B    8D5424 52       lea     edx, dword ptr [esp+52]          ; 这步是对edx的有效操作
0114026F    83EA 52         sub     edx, 52                          ; edx=esp+52-52=esp
01140272    8D52 14         lea     edx, dword ptr [edx+14]          ; edx=edx+14
01140275    57              push    edi
01140276    51              push    ecx
01140277    F3:             prefix rep:
01140278    EB 02           jmp     short 0114027C
0114027A    CD20 81DFCB0D   vxdjump DCBDF81
01140280    90              nop
01140281    70 68           jo      short 011402EB
01140283    26:09F7         or      edi, esi
01140286    42              inc     edx
01140287    53              push    ebx
01140288    03DF            add     ebx, edi
0114028A    EB 02           jmp     short 0114028E
0114028C    CD20 81CBDD83   vxdjump 83DDCB81
01140292  ^ E3 A6           jecxz   short 0114023A
01140294    3E:EB 02        jmp     short 01140299
01140297    CD20 8D5C35AB   vxdcall AB355C8D
0114029D    2BDE            sub     ebx, esi
0114029F    8D5C0C 28       lea     ebx, dword ptr [esp+ecx+28]
011402A3    2BD9            sub     ebx, ecx
011402A5    8D5C03 D8       lea     ebx, dword ptr [ebx+eax-28]
011402A9    2BD8            sub     ebx, eax
011402AB    8D5C3B FC       lea     ebx, dword ptr [ebx+edi-4]
011402AF    83C3 04         add     ebx, 4
011402B2    2BDF            sub     ebx, edi
011402B4    2E:EB 01        jmp     short 011402B8
011402B7  - 0F8D 5C0B042B   jge     2C180E19
011402BD    D968 77         fldcw   word ptr [eax+77]
011402C0    804D E6 8F      or      byte ptr [ebp-1A], 8F
011402C4    035B 33         add     ebx, dword ptr [ebx+33]
011402C7    7C 24           jl      short 011402ED
011402C9    0833            or      byte ptr [ebx], dh
011402CB    7C 24           jl      short 011402F1
011402CD    285F 57         sub     byte ptr [edi+57], bl
011402D0    33CF            xor     ecx, edi
011402D2    59              pop     ecx
011402D3    83C1 A0         add     ecx, -60
011402D6    81C1 E37FB299   add     ecx, 99B27FE3
011402DC    F7D9            neg     ecx
011402DE    87F9            xchg    ecx, edi
011402E0    C1C7 01         rol     edi, 1
011402E3    47              inc     edi
011402E4    2BD7            sub     edx, edi                         ; 这里edx变成了12FFC0的
011402E6    81E1 68CCB6D2   and     ecx, D2B6CC68
011402EC    59              pop     ecx
011402ED    C1CF BF         ror     edi, 0BF
011402F0    C1CF 5B         ror     edi, 5B
011402F3    5F              pop     edi                              ; edi
011402F4    55              push    ebp
011402F5    036C24 38       add     ebp, dword ptr [esp+38]
011402F9    83ED 4B         sub     ebp, 4B
011402FC    8DAC26 EC444300 lea     ebp, dword ptr [esi+4344EC]      ; EBP=ESI+4344EC
01140303    2BEE            sub     ebp, esi                         ; EBP=EBP-ESI=4344EC
01140305    892A            mov     dword ptr [edx], ebp             ; 这步相当于push  004344EC  edx啥时候等于12FFC0呢?
01140307    5D              pop     ebp
01140308    5A              pop     edx
01140309    66:9D           popfw
0114030B    E8 0C122CFF     call    xp.0040151C                      ; jmp 到 msvbvm60.ThunRTMain

  

我们都知道VB程序的入口点是push  XXXXXX   call  YYYYYYYY,  这样的。

在0114030B处已经有了call  YYYYYYYY了,所以从01140253到01140309之间的代码就相当于执行了push XXXXXX代码的操作。

 

总结下,某些程序脱壳后的入口点的代码和程序加壳之前的入口点代码可能是不一样的,但是代码执行的最终结果是一样的。

 

 

 

顺便爆下某盗号的收信地址:http://14.102.255.51/wwwroot/user/t101/conn2.asp

转载于:https://www.cnblogs.com/shremie/archive/2012/07/12/2587302.html

aapow22288
关注
Asprotect脱壳的一总结
Inf的专栏
08-14 2088
Asprotect脱壳的一总结 作者:        (职位空缺)上次忘了留下联系电话,这次补上,欢迎各位垂询,小弟我在此静候佳音。热线电话:818-9481818。...你知道这是哪儿的电话号码。.......公厕电话......... @#$@#$ 熏倒 @#$@#$.... 写作日期:    2000-08-11 【声明】 我写文章以交流为主,希望大家在转载时能保持文章的完整性。 【前言
利用VMProtect sdk和ASProtect sdk加密delphi程序
独步清风
07-27 5959
0x01 普通的一些加密壳能够较为容易的被脱掉,而一些稍微难一壳,例如VMProtect等,刚入门的新手就不是那么好脱了,而这些壳也提供了一些sdk帮助我们加密需要加密的函数,使保护壳能够识别源码中需要加密保护的代码段。下面以我的一个delphi程序为例,介绍VMProtect sdk和EncryptPE的一些加密方法,其他vc,或者易语言写的程序也可以使用其进行加密。 0x02 VMPro
ASProtect.SKE.2.11 stolen code解密
weixin_34217711的博客
07-25 193
关于ASProtect.SKE.2.11 stolen code方面的文章已经很多了,今天我想再详细地说说它的细节,献给喜欢破解的兄弟们。 stolen code并不可怕! ASProtect.SKE.2.11将入口处的一部分代码放到壳里了,看下面: 未加壳的入口: 00401350 >    55            push    ebp 00401351     ...
VMProtect 与 ASProtect 在VC中的SDK编程
ckkyjtqlt的专栏
06-23 515
最近想用VMProtect和ASProtect 的SDK加密一个程序,结果搞了半天没搞成,网上没看到在VC中如何使用VMProtect的SDK加密,于是琢磨了一下,总算成功了,最后有一心得,与大家共享,免得还有人跟我一样走弯路。    其实VMProtect和ASProtect的SDK编程都差不多,都是在编程时在语句里面插入一个标记(Marker),然后在加壳时,加壳程序就会认出这些标记,并
VMProtect 与 ASProtect 在VC中的SDK编程 (转)
04-19 488
最近想用VMProtect和ASProtect 的SDK加密一个程序,结果搞了半天没搞成,网上没看到在VC中如何使用VMProtect的SDK加密,于是琢磨了一下,总算成功了,最后有一心得,与大家共享,免得还有人跟我一样走弯路。    其实VMProtect和ASProtect的SDK编程都差不多,都是在编程时在语句里面插入一个标记(Marker),然后在加壳时,加壳程序就会认出这些标记,并
转:用VMProtect和ASProtect 的SDK加密应用程序
weixin_30639719的博客
11-25 201
最近想用VMProtect和ASProtect 的SDK加密一个程序,结果搞了半天没搞成,网上没看到在VC中如何使用VMProtect的SDK加密,于是琢磨了一下,总算成功了,最后有一心得,与大家共享,免得还有人跟我一样走弯路。 其实VMProtect和ASProtect的SDK编程都差不多,都是在编程时在语句里面插入一个标记(Marker),然后在加壳时,加壳程序就会认出这些标记,并...
ASPROTECT 2.x 脱壳系列(一)
热门推荐
loveboom's Reverse Enginering
10-05 1万+
ASPROTECT 2.x 脱壳系列(一)【目    标】:DVD Fab Gold 2.9.4.2【工    具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F【任    务】:简单的脱壳【操作平台】:Windows XP sp2【作    者】: LOVEBOOM[DFCG][FCG][US]【相关链接】: 自己搜索下【简要说明】: 时间在不断的减少,人越靠近死亡的
加壳与脱壳知识(持续更新)
qq_18811919的博客
01-04 1614
加壳与脱壳知识 1.壳的种类有几种 壳分为压缩壳/加密壳/虚拟壳 (1.1压缩壳) 压缩壳调用压缩引引擎主要目的是对文件进行压缩减小文件大小 (1.2)加密壳 加密壳主要是保护软件防止被各种反跟踪技术来调试程序 (1.3)虚拟壳 虚拟技术应用到壳的领域,设计了一套虚拟机引擎,将原始的汇编代码转译成虚拟机指令,要理解原始的汇编代码,就必须对其虚拟机引擎进行研究,而这极大地增加了破解和逆向的难度及成本。 2.常见的壳 (2.1)压缩壳 UPX、ASPack、PECompact (2.2)加密壳 ASProte
绕过猛壳Asprotect注册著名木马查杀软件 (BY 冷家锋)
pach的专栏
06-26 2858
菜鸟也注册猛壳杀软                                --------绕过猛壳Asprotect注册著名木马查杀软件作者:冷家锋 刘婷婷 郑重申明: 1.本文已于2006年11期《黑客防线》发表,如引用请注明出处, 2.本文只是一个软爱好者对共享软件的测试,因本文引起的一切法律纠纷与本文作者无关! 3.请支持共享软件4.我不知道如何在csdn贴图 操作系统:Window
asprotect 32 加密壳
02-29
ASProtect是软件保护系统。它是用来实现应用程序保护功能的系统。四大猛壳之一!可以用于对windows可执行程序进行加壳保护,防破解!
ASProtect_yesmybi.7z
01-27
描述中的关键在于“免杀壳”,这意味着ASProtect被用作一个防检测的外壳,使得程序在运行时可以避免被安全软件识别为恶意软件。2018年2月18日的测试日期提醒我们,免杀技术是不断演进的,因为反病毒软件会不断更新...
ASProtect2.11
05-01
ASProtect2.11汉化破解版
asprotect 32 v2.78 加壳加密软件保护
01-07
ASProtect是软件保护系统。它是特别针对软件开发人员而设计的用来实现应用程序保护功能的系统。
ASProtect1.22-1.23 自动脱壳机
10-19
自动脱 ASProtect1.22-1.23 壳
三菱伺服电机编码器ID修改器:全系列兼容的工业自动化调试工具 参考
最新发布
05-24
内容概要:本文介绍了一款适用于三菱伺服电机J2/J2S/J3/J4系列的编码器ID修改器。该工具作为一款独立系统,配备有硬件驱动程序和应用软件,支持读写ID、实时读取绝对位置以及调零等功能。文中详细描述了产品的功能特、使用教程和代码片段,旨在帮助用户更好地理解和使用这一工具。三菱伺服电机以其稳定性和可靠性广泛应用于工业自动化和机器人技术领域,因此这款修改器为电机调试和维护提供了极大便利。 适合人群:从事工业自动化、机器人技术和机电一体化领域的工程师和技术人员。 使用场景及目标:① 在电机调试、更换电机或其他需要修改电机ID的场合下使用;② 实现对编码器绝对位置的实时监控;③ 提供精准的位置控制,确保电机运动轨迹的准确性。 其他说明:附带详细的使用教程,适合从初学者到经验丰富的工程师快速上手。同时展示了简单的代码片段,便于用户理解具体的操作流程。
赛灵思FPGA与CMV2000的匹配指南及图纸资料详解
05-24
内容概要:本文深入探讨了赛灵思FPGA与CMV2000音频视频处理芯片之间的匹配技术。首先介绍了CMV2000的功能特性及其在通信领域的应用,随后从硬件架构、接口和功能需求三个方面详细分析了两者匹配的关键。接着讨论了用于设计和验证的技术手段,如设计软件、仿真和测试方法。最后通过具体案例展示了这种匹配技术的实际应用效果,强调了其在提高系统稳定性和数据处理能力方面的重要作用。 适合人群:从事FPGA设计、音频视频处理以及相关通信设备开发的专业技术人员。 使用场景及目标:帮助工程师理解和掌握赛灵思FPGA与CMV2000的匹配方法,以便于在实际项目中优化系统性能并提升可靠性。 其他说明:文中提到的技术细节对于希望深入了解FPGA与特定芯片集成的应用开发者非常有价值。
单片机的总线与系统扩展.pptx
05-24
单片机的总线与系统扩展.pptx
PLM产品生命周期管理解析.pdf
05-24
PLM产品生命周期管理解析.pdf
单片机课程设计任务书模板.doc
05-24
单片机课程设计任务书模板.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值