实践ASProtect 2.1x SKE脱壳（街头篮球客户端）

125243102

工具:OllyICE,Lord-PE,ImportREC.
声明：这个脱文几乎就是loveboom的《ASPROTECT
2.x
脱壳系列之一》的翻版。
好，现在切入正题，我尽可能说的详细一些。有些地方，我还是一知半解，所以可能解释有误，还望高手斧正。
首先，因为街头篮球使用的HackShield系统。HackSield系统的反调试功能很强。
所以，如果让其加载了Hackshield的系统，那么客户端主程序FreeStyle.exe在OD下就跑不起来了.
我没有能力去搞掉hackShield系统，所以我把HackShield的目录改名，让其无法加载HackShield.
然后，可以用OD加载Freestyle.exe，忽略所有异常。看看能不能跑起来。
我这里能够跑起来，运行后加载HackShield的时候，程序会告知无法加载，等待你点一下确定，然后就退出了。
最后提醒一点:如果加载了HackShield用OD调试,好像会引起死机.
不过，这时候程序已经完全从壳里面解了出来.所以脱壳的目的是可以达到的.
用OD加载Freestyle.exe.
会停在这里:
///////////////////////////////////////////////////////////////////////
00401000
>/$ 68 01F06E00   push   006EF001
00401005 |. E8
01000000   call   0040100B
0040100A \. C3
    retn
0040100B   $ C3
    retn
0040100C
  E4       db
  E4
0040100D   24   
  db   24     
        ; CHAR
'$'
0040100E   2A     
db   2A      
      ; CHAR
'*'
...后面全是乱七八糟的数据,不用管.
/////////////////////////////////////////////////////////////////////////////////
!!!:记住隐藏OD.(用HideOD插件)
脱壳的第一步,就是找到OEP.
帮助找到OEP的方法很多,比如ESP定律,2次内存映射断点等等.
这里可以使用这个方法.
先忽略除非法访问内存异常外的所有异常.然后按F9(运行程序).应该会有异常出现按shift+F9忽略.注意记住你忽略了多少次异常后程序开始运行.(可以设置忽略所有异常,清空LOG,然后然程序跑,跑起来后,看LOG数一数异常纪录的个数就能知道有几次异常)(我这是22次，如果没数错~)
然后重新加载.忽略除非法访问内存异常外的所有异常,最后一次异常发生时,给代码段下断点(方法:ALT+M,然后找到freestyle的代码段,选中后按一下F2),然后shift+F9忽略异常.
这时就停在了OEP了：
///////////////////////////////////////////////////////////////////////////
00626777
. 55       push   ebp
            
; FreeStyl.0046637E
00626778   . 8BEC   
mov   ebp, esp
0062677A   . 6A FF
  push   -1
0062677C   . 68
18B16500   push   0065B118
00626781   . 68
B0B46200   push   0062B4B0     
      ; SE 处理程序安装
00626786
. 64:A1 0000000>mov   eax, fs:[0]
0062678C   .
50       push   eax
0062678D
. 64:8925 00000>mov   fs:[0], esp
00626794   .
83EC 58   sub   esp, 58
00626797
. 53       push
ebx
00626798   . 56     
push   esi
00626799   . 57   
  push   edi
0062679A   . 8965 E8
  mov   [ebp-18], esp
0062679D   . FF15
B0206500 call   [6520B0]      
    ;
kernel32.GetVersion
////////////////////////////////////////////////////////////////////////////
记下OEP备以后用:这里是00626777.
好了OEP就找到了.
然后就是IAT了.
看到上面的call
[6520B0]
;kernel32.GetVersion那么就去去006520B0，向上看找找以一大堆00结尾在哪里，在向下看同样找找零结尾在哪里.发现IAT从00652000开始到0065247C结束,而且没有加密.
判断加密的方法,我是去看代码段最后面的一些整齐排列jmp
[xxxxxxx]看看有没有被一定数量的相同call xxxxxxxx(xxxxxxxx一般是同一个数)隔开.如果没有,8成是没加密.因为call
xxxxxxx就是壳的解密函数.
这个程序没有。而且IAT地址看起来都没有问题：
//////////////////////////////////////////////////////////////////////////////
这个就是IAT:
00652000
1B C4 DC 77 83 78 DA 77 F0 6B DA 77 00 00 00 00 能w儀趙餶趙....
00652010 26 D9 18
6D 00 00 00 00 24 49 37 00 00 00 00 00 &?m....$I7.....
00652020 98 6E EF
77 8A 5A EF 77 D6 E8 EF 77 00 60 EF 77 榥飛奪飛骤飛.`飛
00652030 52 D4 EF 77 90 5B
EF 77 97 5D EF 77 49 5E EF 77 R燥w怺飛梋飛I^飛
00652040 7C 8B F0 77 1D 8E F0 77 B3
BF F0 77 2D 6C EF 77 |嬸w庰w晨饂-l飛
00652050 60 B2 F1 77 B8 85 EF 77 33 8C EF 77
FB 5E EF 77 `柴w竻飛3岋w鸮飛
00652060 49 92 EF 77 00 00 00 00 B3 22 30 76 A6 3A 30
76 I掞w....?0v?0v
00652070 66 55 30 76 F3 29 30 76 82 5B 30 76 F8 6F 30 76
fU0v?0v俒0v鴒0v
00652080 8E 4D 30 76 2B 47 30 76 00 00 00 00 53 30 82 7C
嶮0v+G0v....S0倈
00652090 A9 26 82 7C FB 2C 82 7C 7C 36 81 7C 3D 04 93 7C
?倈?倈|6亅=搢
006520A0 D4 05 93 7C 0D E0 80 7C 16 1E 80 7C A2 CA 81 7C

潇沐毅

私服万能登陆服务器
对于登陆平台来说，只要是网上存在的[url=http://www.52wpe.net]私服[/url]，一般情况下都是可以在私服的万用登陆平台上找到的，不论你实在网吧或者是自己的电脑上用万用登陆平台的话都能找到，也就是说用起来非常的方便，有些玩家在每次上网游戏的时候都要选择服务器，操作起来非常的麻烦，也非常的不人性化。
但是万能登陆平台就能避免这个麻烦，不仅能找到所有的服务器，还有一个特别有用的功能就是可以删除掉一些根本就没有用的服务器地址，这样就给玩家省去了很多的麻烦，这个个普通的搜索引擎有点类似，就是只需要输入一个服务器名称的关键字，系统就可以帮你一一列出可能的服务器，非常的方便玩家在游戏的时候进行查找服务器。
这个万能的登陆器还有一个很大的有点就是不限制与游戏的版本，不论是你知不知道这个游戏的具体版本，通过这个万能的登陆器都可以进行游戏。这个工具还有一个很实用的作用就是可以通过该工具实现对所有服务器的了解，可以找到任何服务器的运行的情况。这个对新手来说特别的有用。对于新手还有一点就是所谓的模糊查找功能，有些服务器的名字会很长，不便于记忆，这时候玩家只需要记住服务器的一个字就可以通过该工具来实现全局的搜索。这个工具独特的一点就是可以通过该工具来了解一些最新的[url=http://www.52wpe.net]私服资讯[/url]

来源：http://www.yx131.com

280923757

看不懂 拿分走人

augustsl

...不懂..广告还真多

メＫ-Οヤ▓

广告真多~~