[以解决]ASPack 2.12 -> Alexey Solodovnikov 脱壳遇到问题望高手给解决下-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
titer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	titer 2 楼请大家帮我分析分析如果方便请把脱壳的主程序发我邮箱titer814@163.com 我好好研究下 2010-3-5 18:13 0
WXysj 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	WXysj 3 楼 OEP是对的,IAT不会修复,mark,等高人 2010-3-6 13:28 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 4 楼怀疑是自检注意第一个call 2010-3-6 15:36 0
WXysj 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	WXysj 5 楼还是修复有问题,下面是脱壳工具提示信息,工具脱完能使用 [ 34.40] Load file IT_Magager.exe... [ ok ] [ ---- ] Header info: ImageBase: 00400000, EP: 00E02001 [6793.38] Start debug session... [ ok ] [ ---- ] PID: 00000D2C [145.40] Wait EP... [ ok ] [ ---- ] Real ImageBase: 00400000 [ ---- ] Trace... [207.36] ASPack technology detected! [ ---- ] Find ASPack loader section... [ ok ] [121.99] Processing import... [ ok ] [ ---- ] Import RVA: 00645000 Size: 00000258 [ 34.71] Trace to OEP [ slow ]... [ ok ] [ ---- ] OEP: 00614010 [ ---- ] Processing relocations... [ ---- ] Relocs not found :( [ ---- ] Hot fix... [ ok ] [3851.14] ReBuild Resources... [ ok ] [ 57.54] ReBuild TLS... [ ok ] [ 13.82] Kill ASPack loader section... [ ok ] [279.88] Save dump (IT_Magager_u.exe)... [ ok ] [ ---- ] Enjoy! I am done... 2010-3-6 20:02 0
springsnow 雪币： 226 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	springsnow 6 楼用aspack的脱壳机可以很完美的脱掉，手动esp定律脱壳后，手动查找IAT未成功。汗一个。。。 2010-3-6 20:54 0
lzming 雪币： 198 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	lzming 7 楼我是菜鸟!只是发表一下我的观点!我也是在学习中! 个人感觉是不是两层壳? 以前我遇到一个程序北斗3.7的壳手动脱壳之后就是找不到IAT! 结果用看雪一个高人写的北斗脱壳机脱壳之后! 能运行!但是一查壳原来还有一层 WL的壳! 要么就是有附加数据???这个只是猜测! 我感觉上面的说法成立!! 不过我不知道软件加了什么壳之后在加ASPack 2.12 能正常运行! 2010-3-6 22:26 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 8 楼 ImportRec: oep:00614010 RVA:00645268 SIZE:1000 2010-3-6 23:42 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 9 楼我知道了多谢 2010-3-7 02:10 0
titer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	titer 10 楼谢谢各位这几天太忙没顾上登陆论坛我再去试试 2010-3-7 09:31 0
titer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	titer 11 楼谢谢请问 RVA 和 SIZE是怎么得到的 2010-3-7 09:38 0
tomken 雪币： 983 活跃值： (967) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 12 楼脱壳文件有14兆真大 Delphi 程序真庞大 2010-3-18 22:32 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 13 楼同问同问 2010-4-11 17:00 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 14 楼 RVA是不是看第一个DLL然后减去4 2010-4-13 14:27 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 15 楼 size怎么算我算出来的entry_importRVA是e06000size是5BC E06000指向的name是kernel32.dll FirstTunk是64526c 然后RVA就是64526c-4=645268 那么size呢为什么是1000呢不是5BC啊 2010-4-14 11:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
titer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	titer 2 楼请大家帮我分析分析如果方便请把脱壳的主程序发我邮箱titer814@163.com 我好好研究下 2010-3-5 18:13 0
WXysj 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	WXysj 3 楼 OEP是对的,IAT不会修复,mark,等高人 2010-3-6 13:28 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 4 楼怀疑是自检注意第一个call 2010-3-6 15:36 0
WXysj 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	WXysj 5 楼还是修复有问题,下面是脱壳工具提示信息,工具脱完能使用 [ 34.40] Load file IT_Magager.exe... [ ok ] [ ---- ] Header info: ImageBase: 00400000, EP: 00E02001 [6793.38] Start debug session... [ ok ] [ ---- ] PID: 00000D2C [145.40] Wait EP... [ ok ] [ ---- ] Real ImageBase: 00400000 [ ---- ] Trace... [207.36] ASPack technology detected! [ ---- ] Find ASPack loader section... [ ok ] [121.99] Processing import... [ ok ] [ ---- ] Import RVA: 00645000 Size: 00000258 [ 34.71] Trace to OEP [ slow ]... [ ok ] [ ---- ] OEP: 00614010 [ ---- ] Processing relocations... [ ---- ] Relocs not found :( [ ---- ] Hot fix... [ ok ] [3851.14] ReBuild Resources... [ ok ] [ 57.54] ReBuild TLS... [ ok ] [ 13.82] Kill ASPack loader section... [ ok ] [279.88] Save dump (IT_Magager_u.exe)... [ ok ] [ ---- ] Enjoy! I am done... 2010-3-6 20:02 0
springsnow 雪币： 226 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	springsnow 6 楼用aspack的脱壳机可以很完美的脱掉，手动esp定律脱壳后，手动查找IAT未成功。汗一个。。。 2010-3-6 20:54 0
lzming 雪币： 198 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	lzming 7 楼我是菜鸟!只是发表一下我的观点!我也是在学习中! 个人感觉是不是两层壳? 以前我遇到一个程序北斗3.7的壳手动脱壳之后就是找不到IAT! 结果用看雪一个高人写的北斗脱壳机脱壳之后! 能运行!但是一查壳原来还有一层 WL的壳! 要么就是有附加数据???这个只是猜测! 我感觉上面的说法成立!! 不过我不知道软件加了什么壳之后在加ASPack 2.12 能正常运行! 2010-3-6 22:26 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 8 楼 ImportRec: oep:00614010 RVA:00645268 SIZE:1000 2010-3-6 23:42 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 9 楼我知道了多谢 2010-3-7 02:10 0
titer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	titer 10 楼谢谢各位这几天太忙没顾上登陆论坛我再去试试 2010-3-7 09:31 0
titer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	titer 11 楼谢谢请问 RVA 和 SIZE是怎么得到的 2010-3-7 09:38 0
tomken 雪币： 983 活跃值： (967) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 12 楼脱壳文件有14兆真大 Delphi 程序真庞大 2010-3-18 22:32 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 13 楼同问同问 2010-4-11 17:00 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 14 楼 RVA是不是看第一个DLL然后减去4 2010-4-13 14:27 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 15 楼 size怎么算我算出来的entry_importRVA是e06000size是5BC E06000指向的name是kernel32.dll FirstTunk是64526c 然后RVA就是64526c-4=645268 那么size呢为什么是1000呢不是5BC啊 2010-4-14 11:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[以解决]ASPack 2.12 -> Alexey Solodovnikov 脱壳遇到问题 望高手给解决下

[以解决]ASPack 2.12 -> Alexey Solodovnikov 脱壳遇到问题望高手给解决下