脫殼ASProtect 2.1x SKE -> Alexey Solodovnikov
用腳本。截圖
1:查殼
2:od載入
3:用腳本
然后打開腳本文件Aspr2.XX_unpacker_v1.osc,運行,很快的,不管。 http://download.csdn.net/detail/kfyzk/1461400
4:提示
點確定
5:打開運行記錄
6:找到最下面
7:修復剛脫殼的文件
8:對脫殼后的文件查殼
運行無異常
09:脫殼完成。
===============================================================
開始,先查下殼
普通掃描:ASProtect V2.X Registered -> Alexey Solodovnikov
擴展掃描 * Sign.By.fly [Overlay] *注意是有附加數據
用插件VerA 0.15掃描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
第一步:脫殼
先OD載入吧,使用插件->odbgscript->運行腳本 -> 打開(Aspr2.XX_unpacker_v1.0SC.osc)
運行腳本過程有『偷竊代碼,請查看記錄窗口內的IAT數據』點擊確定,查看窗口記錄,找到如下項
消息=IAT 的地址 = 006AE1F4
IAT 的相對地址 = 002AE1F4
IAT 的大小 = 00000A74
斷點位於 01140079
OEP 的地址 = 0068B8FC
OEP 的相對地址 = 0028B8FC
運行ImportREC,附加脫殼的進程,把od窗口記錄里面的 “OEP 的相對地址” 0028B8FC數據填寫到oep,
“IAT 的大小”的數據00000A74填寫到“ImportREC的大小”,
“IAT 的相對地址”的數據002AE1F4填寫到RVA,點擊獲取輸入表->修復轉存文件->選擇dump的文件
好了,本來想處理附加數據,發現文件可以使用,就沒有處理
===================================
|
ImportREC能很好地支持
DLL的輸入表的重建。
首先,用
LordPE查看一下
dll文件輸入表的
RVA地址和大小
二、用在
Ollydbg載入
DLL文件
三、打開
ImportREC,點擊選項將
“使用來自磁盤的
PE部首
”默認的選項去除選中。這是因為
ImportREC需要獲得基址計算
RVA值,
DLL加載的地址不是默認基址時,從磁盤取默認基址計算會導致結果錯誤。
四、在
ImportREC下拉列表框中選擇
DLL裝載器的進程,此處為
loaddll.exe進程。單擊
“選取
DLL”按鈕,在
DLL進程列表中選擇重建的
DLL進程。
五、在
OEP處,填上
DLL入口的
RVA值
1240h,單擊
“IAT自動搜索
”按鈕獲取
IAT地址。如果失敗,必須手工判斷
DLL的
IAT位置和大小,其
RVA和
Size填寫
LordPE查看時的值。
單擊
“獲得輸入信息
”按鈕,讓其分析
IAT結構重建輸入表。勾選
“增加一個新的塊
”,單擊
“修復抓取文件
”按鈕,並選擇剛抓取的映像文件,它將創建一個
_.dll文件。
六、用
C32Asm打開
DLL文件把原來的輸入表填充為
0。
|