请问fly大哥,我仔细研究你的关于ASProtect 1.23RC4以壳解壳的技术之后,想试试,可遇上一个问题,我无法理解。请指点。
我有一个问题,我碰到一个软件,用PEiD v0.93测到是 ASProtect 1.23RC4壳,
用OD载入时的开始代码是:
04191000 68 01706404 PUSH 04647001
04191005 E8 01000000 CALL 0419100B
按照fly大哥的方法,从堆栈中断后来到:
代码:
00DA6C40 03C3 ADD EAX,EBX
00DA6C42 BB 2F060000 MOV EBX,62F
00DA6C47 0BDB OR EBX,EBX
00DA6C49 75 07 JNZ SHORT 00DA6C52
代码:
00DA6C52 E8 00000000 CALL 00DA6C57
00DA6C57 5D POP EBP
00DA6C58 81ED 49E14B00 SUB EBP,4BE149
00DA6C5E 8D85 EEE04B00 LEA EAX,DWORD PTR SS:[EBP+4BE0EE]
00DA6C64 8D8D 90E14B00 LEA ECX,DWORD PTR SS:[EBP+4BE190]
00DA6C6A 03CB ADD ECX,EBX
00DA6C6C 8941 01 MOV DWORD PTR DS:[ECX+1],EAX
00DA6C6F 8D85 32E14B00 LEA EAX,DWORD PTR SS:[EBP+4BE132]
00DA6C75 8D8D F6E04B00 LEA ECX,DWORD PTR SS:[EBP+4BE0F6]
00DA6C7B 8901 MOV DWORD PTR DS:[ECX],EAX
00DA6C7D B8 5E140000 MOV EAX,145E
00DA6C82 8D8D FBE04B00 LEA ECX,DWORD PTR SS:[EBP+4BE0FB]
00DA6C88 8901 MOV DWORD PTR DS:[ECX],EAX
00DA6C8A 8D8D 90E14B00 LEA ECX,DWORD PTR SS:[EBP+4BE190]
00DA6C90 8D85 90F34B00 LEA EAX,DWORD PTR SS:[EBP+4BF390]
00DA6C96 51 PUSH ECX
00DA6C97 50 PUSH EAX
00DA6C98 E8 76FFFFFF CALL 00DA6C13
00DA6C9D 61 POPAD
00DA6C9E 36:EB 01 JMP SHORT 00DA6CA2
请问 区域脱壳是不是这样:00DA0000,大小=0000C000
如果是这样的话,在计算插入段的voffset时,是不是用
00DA0000-04190000????
这样就计算不出来,这里的ImageBase是不是04190000,还是00400000。应该怎么处理。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法