|
请教ASPack 2.12 -> Alexey Solodovnikov出错
1、入口点在0096350C,先入程序跳到0096350C处再用OD插件脱壳。 2、脱壳后必须修复IAT,否则就会出现无法定为XXXX动态连接库了。 |
|
菜鸟解密的困惑(求请指点迷津)
你是若买了书,应该有光盘附送的,那些光盘上应该有比较简单的CrackMe,一开始不要找难的软件来Crack,你先玩玩那些简单的CrackMe先。 |
|
PEMonitor源代码发布
支持,收下了。 |
|
以壳解壳,菜鸟也脱ASProtect 1.23RC4
最初由 SnowFox 发布 在命令行中输入:hr 0012ff68或者点击右键/断点/下硬件访问断点也行。 |
|
以壳解壳,菜鸟也脱ASProtect 1.23RC4
在论坛上有下载,搜索“AsprDbgr”关键字就能搜索到。 |
|
Unpacking forgot's PEQuake
支持:D :D :D |
|
|
|
为什么这个文件会显示两种不同的壳呢?
最初由 meilihua 发布 不用管他的加壳顺序,直接用OD进行手动脱壳,先遇到哪层壳就脱哪层壳。:D |
|
哪位老大写个脱PECompact 1.68 - 1.84的壳,要详细步骤,我是菜鸟
最初由 kimmal 发布 Kimmal,你是如何将文件Dump下来的?:) |
|
哪位老大写个脱PECompact 1.68 - 1.84的壳,要详细步骤,我是菜鸟
楼主给的程序有三重壳::o 顶层:PECompact 二层:ASPACK 三层:???不认识。:D 四层:程序:p 奇怪的是我找到了程序的OEP却没法将他Dump下来(OD和LordPE都没法Dump)(在98系统里,没在XP系统试过)。 在脱壳的时候看到程序的大小从00400000-->8XXXXXXX,也太大了一点吧。 |
|
发现一个新也不算新的招
呵呵~~~,现在的软件为了反跟踪,什么方法都想得出。。。:D |
|
这个早期Asprotect壳用od真难调试.
最初由 jingulong 发布 晕倒,在XP下真的过不了第一个异常。:( 今天不看了,要工作了,以后有时间再慢慢看。;) 反正在98系统下能脱这个壳,不管是98系统还是XP系统,只要能脱壳就是好系统。:D |
|
这个早期Asprotect壳用od真难调试.
最初由 David 发布 这个壳很好脱呀,用PEID查是ASProtect 1.0 -> Alexey Solodovnikov的壳,我在98系统下都能脱下这个壳:D (这个壳不测试OD)。OD设置除了Kernel32内存访问异常忽略其余全不忽略,用Shist+F9忽略异常运行,六次异常之后程序就正常启动。 0040D001 > 60 PUSHAD ;载入程序停在这。 0040D002 E8 01000000 CALL CHAP708.0040D008 0040D007 90 NOP 0040D008 5D POP EBP 0040D009 81ED BFAF4500 SUB EBP,45AFBF 0040D00F BB B8AF4500 MOV EBX,45AFB8 0040D014 03DD ADD EBX,EBP 0040D016 2B9D 91C34500 SUB EBX,DWORD PTR SS:[EBP+45C391] 0040D01C 83BD 8CC24500 0>CMP DWORD PTR SS:[EBP+45C28C],0 0040D023 899D F5BF4500 MOV DWORD PTR SS:[EBP+45BFF5],EBX 0040D029 0F85 CE100000 JNZ CHAP708.0040E0FD 0040D02F 8D85 94C24500 LEA EAX,DWORD PTR SS:[EBP+45C294] 0040D035 50 PUSH EAX 0040D036 FF95 D0C34500 CALL DWORD PTR SS:[EBP+45C3D0] 按Shift+F9运行程序,忽略异常五次之后停下,移动OD滚动条向下找到RET返回语句,在那一句设一个F2断点(INT3),Shift+F9运行程序: 004745B2 33C0 XOR EAX,EAX ;最后一次异常 004745B4 5A POP EDX 004745B5 59 POP ECX 004745B6 59 POP ECX 004745B7 64:8910 MOV DWORD PTR FS:[EAX],EDX 004745BA EB 0A JMP SHORT 004745C6 004745BC ^ E9 9B07FFFF JMP 00464D5C 004745C1 E8 320AFFFF CALL 00464FF8 004745C6 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 004745C9 0145 F8 ADD DWORD PTR SS:[EBP-8],EAX 004745CC 833D ECB74700 0>CMP DWORD PTR DS:[47B7EC],0 004745D3 0F9405 F0B74700 SETE BYTE PTR DS:[47B7F0] 004745DA EB 01 JMP SHORT 004745DD 004745DC ^ EB 8B JMP SHORT 00474569 004745DE 65:FC CLD ; 多余的前缀 004745E0 EB 01 JMP SHORT 004745E3 004745E2 E8 8B45F8EB CALL EC3F8B72 004745E7 02E9 ADD CH,CL 004745E9 14 8B ADC AL,8B 004745EB 1D E0A74700 SBB EAX,47A7E0 004745F0 EB 01 JMP SHORT 004745F3 004745F2 ^ EB 89 JMP SHORT 0047457D 004745F4 04 1C ADD AL,1C 004745F6 EB 02 JMP SHORT 004745FA 004745F8 ^ EB E8 JMP SHORT 004745E2 004745FA 61 POPAD 004745FB EB 01 JMP SHORT 004745FE 004745FD E8 50EB02E9 CALL E94A3152 00474602 17 POP SS ; 修正的段位寄存器 00474603 E8 02000000 CALL 0047460A 00474608 - E9 1758803D JMP 3DC79E24 0047460D F0:B7 47 LOCK MOV BH,47 ; 锁定前缀是不允许的 00474610 0000 ADD BYTE PTR DS:[EAX],AL 00474612 74 23 JE SHORT 00474637 00474614 5B POP EBX 00474615 6A 10 PUSH 10 00474617 B8 BEA74700 MOV EAX,47A7BE 0047461C 83C0 0A ADD EAX,0A 0047461F 8B00 MOV EAX,DWORD PTR DS:[EAX] 00474621 50 PUSH EAX 00474622 B8 CEA74700 MOV EAX,47A7CE 00474627 83E8 0A SUB EAX,0A 0047462A 8B00 MOV EAX,DWORD PTR DS:[EAX] 0047462C 50 PUSH EAX 0047462D 6A 00 PUSH 0 0047462F B8 49674600 MOV EAX,466749 00474634 48 DEC EAX 00474635 53 PUSH EBX 00474636 50 PUSH EAX 00474637 C3 RETN ;在这里设一个F2断点,Shift+F9运行 00474637 C3 RETN ;中断在这里,返回程序OEP,取消断点。 现在看看堆践,保存的值正是返回到记事本的OEP的地址。 0065FE38 004010CC CHAP708.004010CC 0065FE3C BFF8B86C 返回到 KERNEL32.BFF8B86C 来自 KERNEL32.BFF74399 0065FE40 00000000 0065FE44 8163EF50 0065FE48 00550000 0065FE4C 70616843 返回到这里,记事本OEP,这里用OD插件脱壳和修复之后,运行正常。 004010CC 55 PUSH EBP 004010CD 8BEC MOV EBP,ESP 004010CF 83EC 44 SUB ESP,44 004010D2 56 PUSH ESI 004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] 004010D9 8BF0 MOV ESI,EAX 004010DB 8A00 MOV AL,BYTE PTR DS:[EAX] 004010DD 3C 22 CMP AL,22 004010DF 75 1B JNZ SHORT CHAP708.004010FC 004010E1 56 PUSH ESI 004010E2 FF15 F4644000 CALL DWORD PTR DS:[4064F4] 004010E8 8BF0 MOV ESI,EAX 004010EA 8A00 MOV AL,BYTE PTR DS:[EAX] 004010EC 84C0 TEST AL,AL 004010EE 74 04 JE SHORT CHAP708.004010F4 004010F0 3C 22 CMP AL,22 004010F2 ^ 75 ED JNZ SHORT CHAP708.004010E1 004010F4 803E 22 CMP BYTE PTR DS:[ESI],22 004010F7 75 15 JNZ SHORT CHAP708.0040110E 004010F9 46 INC ESI 004010FA EB 12 JMP SHORT CHAP708.0040110E 004010FC 3C 20 CMP AL,20 004010FE 7E 0E JLE SHORT CHAP708.0040110E 附脱壳程序。 附件:Unpack.rar |
|
ASProtect V1.3X 脱壳――Magic NetTrace V2.5.4
Fly前辈历害,收藏学习::D |
|
看一下这个是不是98有问题?
最初由 forgot 发布 应该不是,我又在我的另一架电脑上试过,可以正常运行,刚才可能是我第一架电脑给我玩的差不多崩溃了,所以第一次启动不成功,重新启动电脑就能启动了。:D |
|
看一下这个是不是98有问题?
现在软件可以正常启动了,原来是加壳软件,:p |
|
看一下这个是不是98有问题?
:o 顺便问一下,这个程序干什么用的?? |
|
看一下这个是不是98有问题?
在98系统中启动程序后只看到一个进度条显示完毕之后就没什么反应了,只能在进程中看到他的身影(等了N久(N>=3分钟)没反应我就将他结束任务了)。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值