脱Asprotect SKE 2.x

125243102

1. Emulate standard system functions（易）
2. Advanced Import protection（中）
3. Stolen OEP （脱Asprotect难点就在这，体力＋毅力＋技巧＋时间）
4. SDK （脱Asprotect难点就在这，体力＋毅力＋技巧＋时间）
5. 初始化表与库函数（Delphi程序）（易）

手动甚为麻烦
我们借助脚本来完成前面2步

需要注意的

1、脚本运行完成之后，如果在KERNEL32函数范围内有个别分散的函数没有修复。GetProcAddress
2、如果不在KERNEL32函数范围内并且集中有2个以上函数没有修复，那就是需要修复SDK，如GetHardwareID,CheckKeyAndDecrypt,GetRegistrationKeys,GetModeInformation,GetRegistrationInformation，这些都是ASP的API，我们需要手动修复，看学站长近期发表了一篇文章，甚为详细！

现在是第3步了，现在还没有很理想的手段完全可以修复Stolen OEP，我们现在介绍的方法是补区段

我们现在需要做的
1、利用脚本处理IAT，到达Stolen OEP'Start
2、脱壳抓取
3、分析Stolen区段(Stolen Code、VM、Route Check)

Stolen Code
01600521
016C0000

VM
ebx=013E84FC

Route Check
eax=015D0000

一般的补区段的顺序
VM(2个)
Route Check(1个)
Stolen Code(一般是>10个)

4、补区段
5、修复Route Check
6、部分程序还有自校验(如果不能运行的话)