脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov
用脚本。截图
1:查壳
2:od载入
3:用脚本
然后打开脚本文件Aspr2.XX_unpacker_v1.osc,运行,很快的,不管。 http://download.csdn.net/detail/kfyzk/1461400
4:提示
点确定
5:打开运行记录
6:找到最下面
7:修复刚脱壳的文件
8:对脱壳后的文件查壳
运行无异常
09:脱壳完成。
===============================================================
开始,先查下壳
普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov
扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
第一步:脱壳
先OD载入吧,使用插件->odbgscript->运行脚本 -> 打开(Aspr2.XX_unpacker_v1.0SC.osc)
运行脚本过程有『偷窃代码,请查看记录窗口内的IAT数据』点击确定,查看窗口记录,找到如下项
消息=IAT 的地址 = 006AE1F4
IAT 的相对地址 = 002AE1F4
IAT 的大小 = 00000A74
断点位于 01140079
OEP 的地址 = 0068B8FC
OEP 的相对地址 = 0028B8FC
运行ImportREC,附加脱壳的进程,把od窗口记录里面的 “OEP 的相对地址” 0028B8FC数据填写到oep,
“IAT 的大小”的数据00000A74填写到“ImportREC的大小”,
“IAT 的相对地址”的数据002AE1F4填写到RVA,点击获取输入表->修复转存文件->选择dump的文件
好了,本来想处理附加数据,发现文件可以使用,就没有处理
===================================
|
ImportREC能很好地支持
DLL的输入表的重建。
首先,用
LordPE查看一下
dll文件输入表的
RVA地址和大小
二、用在
Ollydbg载入
DLL文件
三、打开
ImportREC,点击选项将
“使用来自磁盘的
PE部首
”默认的选项去除选中。这是因为
ImportREC需要获得基址计算
RVA值,
DLL加载的地址不是默认基址时,从磁盘取默认基址计算会导致结果错误。
四、在
ImportREC下拉列表框中选择
DLL装载器的进程,此处为
loaddll.exe进程。单击
“选取
DLL”按钮,在
DLL进程列表中选择重建的
DLL进程。
五、在
OEP处,填上
DLL入口的
RVA值
1240h,单击
“IAT自动搜索
”按钮获取
IAT地址。如果失败,必须手工判断
DLL的
IAT位置和大小,其
RVA和
Size填写
LordPE查看时的值。
单击
“获得输入信息
”按钮,让其分析
IAT结构重建输入表。勾选
“增加一个新的块
”,单击
“修复抓取文件
”按钮,并选择刚抓取的映像文件,它将创建一个
_.dll文件。
六、用
C32Asm打开
DLL文件把原来的输入表填充为
0。
|