• Aston 1.8
  • 标 题:30秒内找到ASPROTECT1.23的入口的方法 (5千字)
  • 作 者:123112
  • 时 间:2003-08-08 12:45:32
  • 链 接:http://bbs.pediy.com


aston1.8为例此程序是asprotec1.23加壳。
工具 trw2000+supbmp

运行Thwizard.exe后,设断 bpx exitprocess do "dd esp"拦下来后 


堆栈值为0040D40A,ok!bpm 0040d40a (其实你u 这个地址的会发现上面的call 就是调exitprocess)。

从新运行thwizard.exe,又停下来。d esp后向下翻一屏后看到:

==================================
016F:006AFDCC 00012600 00C1538C 00BF51D6 00C02207 .&..孲?諵?."? 
016F:006AFDDC 00BF0000 00BD0000 00C03374 00400000 ..?..?t3?..@. 
016F:006AFDEC 00000000 00000000 01003499 00401000 ........?....@. 
016F:006AFDFC 006AFE10 00C02708 00C02A08 00C03450 .㳠..'?.*?P4? 
016F:006AFE0C 00BFA9B8 0043142B 00000000 004317DD 俯?+.C.....?C. 
016F:006AFE1C 00000000 8194150C 006AFF78 006AFE3C ......攣xj.<㳠. 
016F:006AFE2C 005A0000 8194156C 8194152C 00401000 ..Z.l.攣,.攣..@. 
016F:006AFE3C BFF8B86C 00000000 8194150C 005A0000 l给?.....攣..Z. 
016F:006AFE4C 69776854 6472617A 45584500 00000000 Thwizard.EXE.... 
==================================
注意zthwizard.exe上面006afe39处的00401000,是不是很有想法!!!ok!我们bpm 006afe39这个时候清除
掉以前的断点后按一次f5就来到了这里。(此法在对付1.22壳时是bpm 006afdf8 )
====================
0167:00C150EE E800000000       CALL     00C150F3
0167:00C150F3 5D               POP      EBP
0167:00C150F4 81EDBD6F4900     SUB      EBP,00496FBD
0167:00C150FA 8D8DD16F4900     LEA      ECX,[EBP+00496FD1]
0167:00C15100 03CB             ADD      ECX,EBX
0167:00C15102 894101           MOV      [ECX+01],EAX<-注意通过这里后00c15112的变化。
0167:00C15105 EB00             JMP      SHORT 00C15107
0167:00C15107 55               PUSH     EBP            \
0167:00C15108 8BEC             MOV      EBP,ESP         \入口处被抽掉的字节。
0167:00C1510A 83C4F4           ADD      ESP,BYTE -0C    /
0167:00C1510D B81C334100       MOV      EAX,0041331C   /
0167:00C15112 6890909090       PUSH     DWORD 90909090
0167:00C15117 C3               RET     
?br> 0167:00C150EE E800000000       CALL     00C150F3
0167:00C150F3 5D               POP      EBP
0167:00C150F4 81EDBD6F4900     SUB      EBP,00496FBD
0167:00C150FA 8D8DD16F4900     LEA      ECX,[EBP+00496FD1]
0167:00C15100 03CB             ADD      ECX,EBX
0167:00C15102 894101           MOV      [ECX+01],EAX
0167:00C15105 EB00             JMP      SHORT 00C15107
0167:00C15107 55               PUSH     EBP
0167:00C15108 8BEC             MOV      EBP,ESP
0167:00C1510A 83C4F4           ADD      ESP,BYTE -0C
0167:00C1510D B81C334100       MOV      EAX,0041331C
0167:00C15112 68FF334100       PUSH     DWORD 004133FF<-入口地址别忘记在其地址上加上被抽掉的代码。
0167:00C15117 C3               RET     
  
至于输入表的修复,看雪第二版写的很详细了。唯一不同的是输入表间被非0的字节添充了,改之就可以用ImportREC OK了!
此方法公布后我猜不会有俄国间谍把情报汇报回国吧???