-
-
[求助]脱 ASProtect2.x 加密 DLL 的IAT如何修复?
-
发表于:
2005-6-2 10:52
4384
-
[求助]脱 ASProtect2.x 加密 DLL 的IAT如何修复?
用 PEID 查看信息为:ASProtect 2.0x Registered -> Alexey Solodovnikov,具体版本不知。
壳的最后一次异常:
03859BF7 0156 00 add dword ptr ds:[esi],edx
03859BFA CF iretd
03859BFB 67:3D D20AFDA7 cmp eax,A7FD0AD2
03859C01 66:67:64:8F06 0000 pop word ptr fs:[0]
03859C08 83C4 04 add esp,4
03859C0B C1CE B9 ror esi,0B9
03859C0E BE 6AEF4600 mov esi,46EF6A ; ASCII "7F4D734F464250460357515A034244424A4D0D0B141311120A"
03859C13 5E pop esi
最后一次异常时堆栈:
0012F2A4 0012F2F0 指针到下一个 SEH 记录
0012F2A8 03859B4A SE 句柄
0012F2AC 038804A4
0012F2B0 DB306801
0012F2B4 382EA327
0012F2B8 0012F2D4 ASCII "<)"
0012F2BC 03849889 返回到 03849889 来自 038497B0
脱壳后发现有部分 API 被壳 Hook 了,Hook 代码:
1CE01976 8BC0 mov eax,eax
1CE01978 $ E8 87E6CAE6 call 03AB0004
1CE0181E 8BC0 mov eax,eax
1CE01820 $ E8 DBE7C5E6 call 03A60000
有什么办法可以避开吗?如何修复这些 API?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课