优美短文

脱壳脚本_手脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov

脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov

用脚本。截图

1:查壳
1.jpg

2:od载入
2.jpg

3:用脚本
3.jpg
然后打开脚本文件Aspr2.XX_unpacker_v1.osc,运行,很快的,不管。 http://download.csdn.net/detail/kfyzk/1461400

4:提示
4.jpg点确定

5:打开运行记录
5.jpg

6:找到最下面
6.jpg

7:修复刚脱壳的文件
7.jpg

8:对脱壳后的文件查壳
QQ截图20141016194149.jpg
运行无异常

09:脱壳完成。

===============================================================

开始,先查下壳 
普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov 
扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
第一步:脱壳 
先OD载入吧,使用插件->odbgscript->运行脚本 -> 打开(Aspr2.XX_unpacker_v1.0SC.osc)
运行脚本过程有『偷窃代码,请查看记录窗口内的IAT数据』点击确定,查看窗口记录,找到如下项

消息=IAT 的地址 = 006AE1F4
IAT 的相对地址 = 002AE1F4
IAT 的大小 = 00000A74
断点位于 01140079
OEP 的地址 = 0068B8FC
OEP 的相对地址 = 0028B8FC
运行ImportREC,附加脱壳的进程,把od窗口记录里面的 “OEP 的相对地址” 0028B8FC数据填写到oep,
“IAT 的大小”的数据00000A74填写到“ImportREC的大小”,
“IAT 的相对地址”的数据002AE1F4填写到RVA,点击获取输入表->修复转存文件->选择dump的文件
好了,本来想处理附加数据,发现文件可以使用,就没有处理

 

 

===================================

ImportREC能很好地支持DLL的输入表的重建。
首先,用LordPE查看一下dll文件输入表的RVA地址和大小
二、用在Ollydbg载入DLL文件
三、打开ImportREC,点击选项将使用来自磁盘的PE部首默认的选项去除选中。这是因为ImportREC需要获得基址计算RVA值,DLL加载的地址不是默认基址时,从磁盘取默认基址计算会导致结果错误。
四、在ImportREC下拉列表框中选择DLL装载器的进程,此处为loaddll.exe进程。单击选取DLL”按钮,在DLL进程列表中选择重建的DLL进程。
五、在OEP处,填上DLL入口的RVA1240h,单击“IAT自动搜索按钮获取IAT地址。如果失败,必须手工判断DLLIAT位置和大小,其RVASize填写LordPE查看时的值。
单击获得输入信息按钮,让其分析IAT结构重建输入表。勾选增加一个新的块,单击修复抓取文件按钮,并选择刚抓取的映像文件,它将创建一个_.dll文件。
六、用C32Asm打开DLL文件把原来的输入表填充为0
posted @ 2016-07-07 13:29  一根PHP  阅读(2653)  评论(0编辑  收藏  举报