ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay]这个壳如何脱,谁能做个过程来看看吗?
用PE普通方式,核心方式查是这个壳,
但用外部方式查是ASProtect v1.23 RC1
*用插件VEFA 0.65查是Version: [ Unknown! ], Signature: [ 7DCBD2DA ], E-Mail: [ PE_Kill@mail.ru ]这个鬼东西,什么也没有价值的东西。
软件载入是这个样子:
00401000 > 68 01709600 push 3D10DMB.00967001
00401005 E8 01000000 call 3D10DMB.0040100B
0040100A C3 retn
0040100B C3 retn
0040100C F4 hlt
0040100D B1 BE mov cl,0BE
0040100F 10CF adc bh,cl
00401011 FF80 070437D1 inc dword ptr ds:[eax+D1370407]
00401017 91 xchg eax,ecx
00401018 8A9C78 B08DB60A mov bl,byte ptr ds:[eax+edi*2+AB68DB0]
0040101F E5 6C in eax,6C
00401021 66:A4 movs byte ptr es:[edi],byte ptr ds:[esi]
00401023 15 BCAB3F59 adc eax,593FABBC
00401028 F0:0B9F 954C3D0>lock or ebx,dword ptr ds:[edi+53D4C95] ; 不允许锁定前缀
0040102F BC C28AD2FD mov esp,FDD28AC2
一开始用ESP定律后来到这里:
00967001 60 pushad
00967002 E8 03000000 call 3D10DMB.0096700A
00967007 - E9 EB045D45 jmp 45F374F7
0096700C 55 push ebp
0096700D C3 retn
0096700E E8 01000000 call 3D10DMB.00967014
00967013 EB 5D jmp short 3D10DMB.00967072
00967015 BB EDFFFFFF mov ebx,-13
0096701A 03DD add ebx,ebp
0096701C 81EB 00705600 sub ebx,3D10DMB.00567000
00967022 807D 4D 01 cmp byte ptr ss:[ebp+4D],1
00967026 75 0C jnz short 3D10DMB.00967034
脱一下后,当然程序是不能运行的。再用PE查是ASPack 2.12 -> Alexey Solodovnikov
谁能帮助我一下,看看什么版本的壳?它如何才能脱下?由于这个软件是一对一传播的,作者将个人信息做到软件里了,所以有高手可以远程来帮我一下QQ:348977841请求来个教程。。。。。。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法