ASProtect.SKE.2.11 stolen code解密

关于ASProtect.SKE.2.11 stolen code方面的文章已经很多了,今天我想再详细地说说它的细节,献给喜欢破解的兄弟们。

stolen code并不可怕!

ASProtect.SKE.2.11将入口处的一部分代码放到壳里了,看下面:
未加壳的入口点:
00401350 >    55            push    ebp
00401351      8BEC        mov     ebp, esp
00401353      6A FF         push    -1
00401355      68 F8504000   push    004050F8
0040135A      68 1C204000   push    0040201C                         
0040135F      64:A1 0000000>mov     eax, fs:[0]
00401365      50            push    eax
00401366      64:8925 00000>mov     fs:[0], esp
0040136D      83EC 58       sub     esp, 58
00401370      53            push    ebx
00401371      56            push    esi
00401372      57            push    edi
00401373      8965 E8       mov     [ebp-18], esp
00401376      FF15 60504000 call    [<&KERNEL32.GetVersion>]         ; 
加壳后的入口点:
00C70270    55              push    ebp
00C70271    EB 02           jmp     short 00C70275
00C70273    CD20 13EE83CD   vxdjump CD83EE13
00C70279    AB              stos    dword ptr es:[edi]
00C7027A    BD 0E954300     mov     ebp, 43950E
00C7027F    8D6C24 3B       lea     ebp, [esp+3B]
00C70283    F3:             prefix rep:
00C70284    EB 02           jmp     short 00C70288
00C70286    CD20 8D6DC56A   vxdcall 6AC56D8D
00C7028C    FF64FF 35       jmp     [edi+edi*8+35]

你可以看到它的很多地方经过变形已经面目全非,跳转不定。如果只是顺序乱的,就算有很多垃圾代码也是可以忍受的。但你看到的是不停地跳到壳里再跳回来的call:
00C702C9   /E9 040F0000      jmp     00C711D2
00C702CE   |E8 2DFD0500     call    00CD0000              //call
00C702D3   |8B45 FC          mov     eax, [ebp-4]
………
00C702FF    68 6307C700     push    0C70763
00C70304    E8 F7FC0500     call    00CD0000        //call
00C70309    8D4475 63        lea     eax, [ebp+esi*2+63]

看到call    00CD0000了吗?
在被偷的这些代码中有很多这样的call,它们与未被偷部分代码里的call不同:
未被偷部分代码里的call:
0040113D  |.  51            push    ecx
0040113E  |.  E8 BDEE8800   call    00C90000
00401143  |.  EF            out     dx, eax
这些call    00C90000是Advanced Import protection保护(对系统函数call的加密)
被偷部分代码里的call:
00C702FF    68 6307C700     push    0C70763
00C70304    E8 F7FC0500     call    00CD0000
00C70309    8D4475 63        lea     eax, [ebp+esi*2+63]    //call
这些call    00CD0000实际上是代码变形!!!!

进入call    00CD0000:
00C7079E    E8 5DF80500     call    00CD0000
{
//第一层
00CD0000    F2:             prefix repne:
00CD0001    EB 01           jmp     short 00CD0004
00CD0003    9A 509C3344 242>call    far 2824:44339C50
00CD000A    334424 08       xor     eax, [esp+8]
00CD000E    83EC 20         sub     esp, 20
00CD0011    81F0 8C87B250   xor     eax, 50B2878C
。。。。
一路F7,基本是些pushad,pushfd的变形
00CD0151    C1C0 B5         rol     eax, 0B5
00CD0154    334424 08       xor     eax, [esp+8]
00CD0158    58              pop     eax
00CD0159    FFD0            call    eax          //
{
  //第二层
  一路F8来到一个循环:
  00A88A87    8B45 F8         mov     eax, [ebp-8]
00A88A8A    0FB600          movzx   eax, byte ptr [eax]
00A88A8D    8B5483 40       mov     edx, [ebx+eax*4+40]
00A88A91    8BC6            mov     eax, esi
00A88A93    FFD2            call    edx
00A88A95    3B45 FC         cmp     eax, [ebp-4]
00A88A98    75 1A           jnz     short 00A88AB4
00A88A9A    8B45 10         mov     eax, [ebp+10]
00A88A9D    50              push    eax
00A88A9E    8B45 14         mov     eax, [ebp+14]
00A88AA1    50              push    eax
00A88AA2    E8 19FAFFFF     call    00A884C0
00A88AA7    50              push    eax
00A88AA8    8BCE            mov     ecx, esi
00A88AAA    8B55 18         mov     edx, [ebp+18]
00A88AAD    8BC3            mov     eax, ebx
00A88AAF    E8 D4FDFFFF     call    00A88888
00A88AB4    4F              dec     edi
00A88AB5    0373 6C         add     esi, [ebx+6C]
00A88AB8    85FF            test    edi, edi
00A88ABA  ^ 77 CB           ja      short 00A88A87
在00A88AAF  call    00A88888上F4
00A88AAF    E8 D4FDFFFF     call    00A88888  //F7
{
  00A88888    55              push    ebp
00A88889    8BEC            mov     ebp, esp
…….
一路F8来到:
00A888CC    8A43 01         mov     al, [ebx+1]
00A888CF    8B55 F8         mov     edx, [ebp-8]
00A888D2    8B5482 40       mov     edx, [edx+eax*4+40]
00A888D6    8BC6            mov     eax, esi
00A888D8    FFD2            call    edx
***********************************************************
00A888D8处call    edx返回后有4种情况:
0:  call变形
1:  jmp变形
2:  jxx条件跳转变形
3:  cmp    x , y
  jxx     z  变形    
***********************************************************
下面分别介绍:
0情况:
对象004013AA   E8 160B0000   call    00401EC5这样的用户调用变形

00A888DA    2C 02           sub     al, 2
00A888DC    72 12           jb      short 00A888F0
00A888F0    8B45 F8         mov     eax, [ebp-8]
00A888F3    8B50 68         mov     edx, [eax+68]
00A888F6    8BC2            mov     eax, edx
00A888F8    03C7            add     eax, edi
00A888FA    83F8 FF         cmp     eax, -1
00A888FD    75 10           jnz     short 00A8890F
//////////
00A888FA  cmp     eax, -1处:
若eax  ==  -1:没有对call(call    00401EC5)里的call做进一步处理,
该call    00CD0000返回后到达call    00401EC5里的第一条指令。
若eax  !=  -1:该call里面还有处理了的call,该call    00CD0000返回后到达call    00401EC5里的第一条指令,不过第一条指令是在壳里。
1情况:
      Jmp变形很简单,到达:
      00A8890F    8B55 F8         mov     edx, [ebp-8]
00A88912    0342 18         add     eax, [edx+18]
00A88915    E9 B5000000     jmp     00A889CF
在00A88912处eax可得跳转地址
2情况:
      Jxx变形

00A88925    8B5482 40       mov     edx, [edx+eax*4+40]
00A88929    8BC6            mov     eax, esi
00A8892B    FFD2            call    edx
00A8892D    8BD8            mov     ebx, eax
00A8892F    8B4D 10         mov     ecx, [ebp+10]
00A88932    8BD3            mov     edx, ebx
00A88934    8B45 F8         mov     eax, [ebp-8]
00A88937    E8 D4FBFFFF     call    00A88510
00A8893C    84C0            test    al, al
00A8893E    74 17           je      short 00A88957

到达00A8892B处call    edx返回后是跳转类型:
eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73…..
在00A88937   call    00A88510进行比较
00A8893E处如果不跳的话可来到:
00A88949    0345 F4         add     eax, [ebp-C]
00A8894C    8B55 F8         mov     edx, [ebp-8]
00A8894F    0342 68         add     eax, [edx+68]
00A88952    EB 7B           jmp     short 00A889CF
00A8894F处eax就是原jxx跳后的地址。
跳的话可来到:
00A88957    8B45 F8         mov     eax, [ebp-8]
00A8895A    8B40 18         mov     eax, [eax+18]
00A8895D    03C7            add     eax, edi
00A8895F    8B55 F8         mov     edx, [ebp-8]
00A88962    0342 68         add     eax, [edx+68]
00A88965    EB 68           jmp     short 00A889CF
00A88962处eax就是原jxx不跳后的地址。
3情况:
      cmp    x , y
      jxx     z  变形

00A888DA    2C 02           sub     al, 2
00A888DC    72 12           jb      short 00A888F0
00A888DE    74 3D           je      short 00A8891D
00A888E0    FEC8            dec     al
00A888E2    0F84 82000000   je      00A8896A
00A8896A    8BCE            mov     ecx, esi
00A8896C    8B55 0C         mov     edx, [ebp+C]
00A8896F    8B45 F8         mov     eax, [ebp-8]
00A88972    E8 D5FDFFFF     call    00A8874C    //F7
{
  00A8874C    53              push    ebx
00A8874D    56              push    esi
00A8874E    57              push    edi
……F8
00A88768    33C0            xor     eax, eax
00A8876A    8A46 07         mov     al, [esi+7]
00A8876D    8B5483 40       mov     edx, [ebx+eax*4+40]
00A88771    8BC7            mov     eax, edi
00A88773    FFD2            call    edx
如果x为内存操作数([00401235]),该call求出00401235,否则为0
00A88775    894424 04       mov     [esp+4], eax
00A88779    33C0            xor     eax, eax
00A8877B    8A46 05         mov     al, [esi+5]
00A8877E    8B5483 40       mov     edx, [ebx+eax*4+40]
00A88782    8BC7            mov     eax, edi
00A88784    FFD2            call    edx
如果x为寄存器,该call求出哪个寄存器(EXX),否则为大于8的值
(0=eax,1=ecx,2=edx,3=ebx,4=esp,5=ebp,6=esi,7=edi)
00A88786    8BD0            mov     edx, eax
00A88788    80EA 08         sub     dl, 8
00A8878B    0F92C2          setb    dl
00A8878E    80FA 01         cmp     dl, 1
00A88791    75 11           jnz     short 00A887A4
若x不是寄存器跳00A887A4(该地址接下来处理y)
00A88793    8BC8            mov     ecx, eax
00A88795    8B1424          mov     edx, [esp]
00A88798    8BC3            mov     eax, ebx
00A8879A    E8 75020000     call    00A88A14         
该call把x  EXX中值取出
00A8879F    8BE8            mov     ebp, eax
00A887A1    EB 01           jmp     short 00A887A4
00A887A4    33C0            xor     eax, eax
00A887A6    8A46 08         mov     al, [esi+8]
00A887A9    8B5483 40       mov     edx, [ebx+eax*4+40]
00A887AD    8BC7            mov     eax, edi
00A887AF    FFD2            call    edx
如果y为内存操作数([00401235]),该call求出00401235,如果y为直接操作数(3D),该call求出3D,否则为0
00A887B1    894424 08       mov     [esp+8], eax
00A887B5    33C0            xor     eax, eax
00A887B7    8A46 06         mov     al, [esi+6]
00A887BA    8B5483 40       mov     edx, [ebx+eax*4+40]
00A887BE    8BC7            mov     eax, edi
00A887C0    FFD2            call    edx
如果y为寄存器,该call求出哪个寄存器(EXX),否则为大于8的值
00A887C2    8BD0            mov     edx, eax
00A887C4    80EA 08         sub     dl, 8
00A887C7    0F92C2          setb    dl
00A887CA    80FA 01         cmp     dl, 1
00A887CD    75 13           jnz     short 00A887E2 //
00A887CF    8BC8            mov     ecx, eax
00A887D1    8B1424          mov     edx, [esp]
00A887D4    8BC3            mov     eax, ebx
00A887D6    E8 39020000     call    00A88A14
该call把y  EXX中值取出
00A887DB    894424 0C       mov     [esp+C], eax
00A887DF   /EB 01           jmp     short 00A887E2
00A887E2    036C24 04       add     ebp, [esp+4]
00A887E2    036C24 04       add     ebp, [esp+4]
00A887E6    8B4424 08       mov     eax, [esp+8]
00A887EA    034424 0C       add     eax, [esp+C]
00A887EE    894424 10       mov     [esp+10], eax
00A887F2    EB 01           jmp     short 00A887F5
00A887F5    33C0            xor     eax, eax
00A887F7    8A46 09         mov     al, [esi+9]
00A887FA    8B5483 40       mov     edx, [ebx+eax*4+40]
00A887FE    8BC7            mov     eax, edi
00A88800    FFD2            call    edx 
*******************************************
该call很有意思,返回后有5种情况:
若eax=0:  cmp   dword ptr [x], y
若eax=1:  cmp   x,[ y]
若eax=2:  cmp   byte ptr [x], y
若eax=3:  cmp    x,byte ptr [ y]
若eax=4:  cmp   x, y
*******************************************
……
00A88862    8B5424 10       mov     edx, [esp+10]
00A88866    8BC5            mov     eax, ebp
00A88868    E8 CBFEFFFF     call    00A88738
该call把比较x,y,得到标志位
00A8886D    83C4 14         add     esp, 14
00A88870    5D              pop     ebp
00A88871    5F              pop     edi
00A88872    5E              pop     esi
00A88873    5B              pop     ebx
00A88874    C3              retn
}
      00A8897D    33C0            xor     eax, eax
00A8897F    8A43 04         mov     al, [ebx+4]
00A88982    8B55 F8         mov     edx, [ebp-8]
00A88985    8B5482 40       mov     edx, [edx+eax*4+40]
00A88989    8BC6            mov     eax, esi
00A8898B    FFD2            call    edx
该call返回后是跳转类型:
eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73…..
00A8898D    8BD8            mov     ebx, eax
00A8898F    8B4D 10         mov     ecx, [ebp+10]
00A88992    8BD3            mov     edx, ebx
00A88994    8B45 F8         mov     eax, [ebp-8]
00A88997    E8 74FBFFFF     call    00A88510
在00A88937   call    00A88510进行比较
00A8899C    84C0            test    al, al
00A8899E    74 17           je      short 00A889B7
00A8893E处如果不跳的话可来到:
00A88949    0345 F4         add     eax, [ebp-C]
00A8894C    8B55 F8         mov     edx, [ebp-8]
00A8894F    0342 68         add     eax, [edx+68]
00A88952    EB 7B           jmp     short 00A889CF
00A8894F处eax就是原jxx跳后的地址。
跳的话可来到:
00A88957    8B45 F8         mov     eax, [ebp-8]
00A8895A    8B40 18         mov     eax, [eax+18]
00A8895D    03C7            add     eax, edi
00A8895F    8B55 F8         mov     edx, [ebp-8]
00A88962    0342 68         add     eax, [edx+68]
00A88965    EB 68           jmp     short 00A889CF
00A88962处eax就是原jxx不跳后的地址。
  }//第二层返回
}//第一层返回

具体修复方法相信大家看了后比我清楚,不多说了。。。。。。

ASProtect.SKE.2.11到此已基本脱壳成功!
我的脱壳经历:
1.  找OEP
2.  还原IAT
3.  到达OEP后修复Advanced Import protection
4.  到达OEP后修复stolen code里的call变形
5.  DUMP
这其中还有一个要提的是:我脱的那个软件就是个贱!加壳时使用了次数限制,为此花了我两三个小时来解决它。大家遇到时小心。。。。。。

ASProtect.SKE.2.11 stolen code解密

时间: 2024-11-07 01:10:53

ASProtect.SKE.2.11 stolen code解密的相关文章

Android:Fatal signal 11 (SIGSEGV), code 1, fault addr

游戏出现死机,错误为: Fatal signal 11 (SIGSEGV), code 1, fault addr 0xfffffffc in tid 9811 (GLThread 205) 或者 signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0xfffffffc 解决方案: 1.继续往下查看日志,知道类似下面这条: #00 pc 0085ed5e  /data/app/cn.kvu.doudizhu-1/lib/arm/libcoc

11.Java 加解密技术系列之 总结

Java 加解密技术系列之 总结 序 背景 分类 常用算法 原理 关于代码 结束语 序 上一篇文章中简单的介绍了第二种非对称加密算法 — — DH,这种算法也经常被叫做密钥交换协议,它主要是针对密钥的保护.同时,由于水平的限制,打算这个系列就到此为止了,这篇文章就算是一个总结吧,回顾一下这几个月来都写了些什么. 背景 其 实,在开始写这个系列之前,我对于 Java 的加解密也并不是那么了解.之所以要写这些文章,还主要是由于工作的原因.记得几个月以前,当时项目要做一个数字证书,证书的生成.存储.传

脱壳基础知识入门

现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳.越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那 么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的.除了密码学的应用,越来越多的软件加壳了,因此要求解密者 必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛.壳发展到今天,强度越来越高了,将许多人挡在门外,使得大家望壳兴叹.另外,论坛现在两极 分化比较严重,高手讨论的脱壳技术新手看不懂,很多人想学脱壳,但

Fatal signal 11 (SIGSEGV) at 0xdeadbaad (code=1) 错误 解决方案(android-ndk)

在android里做ndk编程的时候,碰到个随机性错误 错误信息如下: 05-06 15:59:44.411: A/libc(3347): Fatal signal 11 (SIGSEGV) at 0xdeadbaad (code=1)05-06 15:59:44.911: I/DEBUG(3344): *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***05-06 15:59:44.911: I/DEBUG(3344):

转:用VMProtect和ASProtect 的SDK加密应用程序

最近想用VMProtect和ASProtect 的SDK加密一个程序,结果搞了半天没搞成,网上没看到在VC中如何使用VMProtect的SDK加密,于是琢磨了一下,总算成功了,最后有一点点心得,与大家共享,免得还有人跟我一样走弯路. 其实VMProtect和ASProtect的SDK编程都差不多,都是在编程时在语句里面插入一个标记(Marker),然后在加壳时,加壳程序就会认出这些标记,并在有标记的地方进行保护. 我觉得这就是最基本的所谓加壳程序SDK编程吧. 1. VMProtect 新版的V

RSA加密解密及RSA加签验签

RSA安全性应用场景说明 在刚接触RSA的时候,会混淆RSA加密解密和RSA加签验签的概念.简单来说加密解密是公钥加密私钥解密,持有公钥(多人持有)可以对数据加密,但是只有持有私钥(一人持有)才可以解密并查看数据:加签验签是私钥加签公钥验签,持有私钥(一人持有)可以加签,持有公钥(多人持有)可以验签. 在金融行业在设计到数据交互传输的时候,需要考虑数据的安全性问题.下文通过介绍RSA的加密和加签两个特性,说明RSA加密技术在保障数据传输过程中的安全性以及实现数据的防篡改和防否机制的应用场景及代码

Linux2.6.11版本:classic RCU的实现

转载自:http://www.wowotech.net/kernel_synchronization/linux2-6-11-RCU.html 一.前言 无论你愿意或者不愿意,linux kernel的版本总是不断的向前推进,做为一个热衷于专研内核的工程师,最大的痛苦莫过于此:当你熟悉了一个版本的内核之后,内核已经推进到一个新的版本,你曾经熟悉的内容可能会变得陌生(这里主要说的是该模块的内部实现,实际上,内核中的每一个子系统都是会尽量保持接口API的不变).怎么应对这种变化呢?一方面,具体的实现

20 Best Code Review Tools for Developers

20 Best Code Review Tools for Developers Apr 02, 2015by vikas in TOOLS A programmer always faces the pressure of deadlines and with many delays the software which is designed is quite unstable and the whole product is unstable. The cause of this inst

Transport Block Size, Throughput and Code rate-----http://www.simpletechpost.com/2012/12/transport-block-size-code-rate-protocol.html

Transport Block Size, Throughput and Code rate Since the size of transport block is not fixed, often a question comes to mind as to how transport block size is calculated in LTE.BackGroundIf we only consider "Uplink direction" and we assume that