[求助]最近脱壳遇到一个奇怪现象，请求高人指点-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]最近脱壳遇到一个奇怪现象，请求高人指点 0.00雪花

发表于: 2011-12-31 09:51 1722

[旧帖] [求助]最近脱壳遇到一个奇怪现象，请求高人指点 0.00雪花

医学影像

2011-12-31 09:51

1722

最近下载一个学习软件，下载地址：http://115.com/file/dnrte5w0，我只上传了加壳文件，可运行，大小125KB。
PEID查壳为：ASPack 2.11 -> Alexey Solodovnikov [Overlay]，可是用自动脱壳机脱壳后程序是VB写的，但是不能运行，可能是脱壳机版本不对（用的是2。12版的）？还是自校验文件大小？还是其它？破解无从下手，请求高手指点，如何才能扒下他的皮？
首先感谢无聊的菜鸟，可我试了多次，还是不行啊？如果具体去修复、补附加数据、去效验。
经过一天的上网学习，终于搞清明白了，谢谢在座的各位朋友。尤其是无聊的菜鸟。再次感谢大家。
此贴到此结束。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (19)
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 2 楼 ASPack 2.11 -> Alexey Solodovnikov [Overlay] 这种脱比较简单，只是你没有把附加数据加上去所以就会这样子 “[Overlay]”=附加数据有用工具加上也可以手动加上 2011-12-31 10:23 0
supertyj 雪币： 1121 活跃值： (652) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 238 粉丝 2 关注私信	supertyj 1 3 楼可能有自校验吧，VB的程序脱完之后不好调试，所以只能先暂时猜测是自校验 2011-12-31 10:30 0
qhdvip 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qhdvip 4 楼谢谢大家，终于又学会一招 2011-12-31 10:57 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 5 楼有点意思哈求人脱破只给出个空壳壳真心求破就要给出完整的程序、、、、、、成心涮人 2011-12-31 13:50 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 6 楼 2011-12-31 17:18 0
qhdvip 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qhdvip 7 楼看一看，学习一下啊，真是高手如云。 2011-12-31 17:53 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 8 楼脱壳方法： Ctrl+G 45B43B，按下F4。 Ctrl+G 45B3B5，按下F4。连续F8两次，dump。破解方法：运行之后，在4434b3下断点，然后修改eax=1。即可任意注册码注册成功。每次运行都需要这样一次……永久的旧不看了。 2011-12-31 20:35 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 9 楼首先感谢楼上的朋友，可能是我的水平太差，试了两次还是没有把它脱下来。可能错在DUMP那步啊，是不是参数要修改啊？再接着学习啊。我把步骤复制下来，请看一下错在哪步？上传的附件： 81.JPG （124.36kb，75次下载） 82.JPG （133.18kb，79次下载） 83.JPG （103.24kb，74次下载） 84.JPG （136.54kb，76次下载） 2012-1-1 15:04 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 10 楼壳是脱净了啦没有调用的XXXXX.DLL 无法再调试所以删除了 2012-1-1 15:50 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 11 楼过程说的很明白啦 2012-1-1 15:53 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 12 楼我试了一下，可总是提示出错，说内存不能为READ，是不是在DUMP那步参数要修改成什么吗？不是说还是附加数据吗？ 2012-1-1 15:55 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 13 楼路过看看！！ 2012-1-1 16:55 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 14 楼用OD自己的重建输入表是不靠谱的。最好用ImportREC来修复，填下入口点3554,东西都回找全的。 2012-1-1 17:36 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 15 楼原来只会在OD里学会爆破，后来又学会简单一点的找出正解注册码，手动脱壳最近才开始学习，一知半解，什么修复还要学习啊，始终没有搞定。再查查资料再说吧，就是最后一步DUMP不是理解，在OD里用自带的OLLYDUMP始终不行，保存后就是不能运行，好像用ImportREG.exe这个，参照网上说法试了一下，还是不行，主要ImportREG.exe这个软件不熟悉。老大，请你发一个脱壳后程序给我试一下看能否进行下去。还有照你的说法两次F8后出来这行：00403554 68 db 68 ; CHAR 'h' 这是程序入口吗？我在教程中好像都是说：10002E9F 55 push ebp <------------------ OEP ，dump出来，然后重建输入表这个标志是入口啊？ 2012-1-1 21:28 0
bombless 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 87 粉丝 0 关注私信	bombless 16 楼大家都是用importREC么。。感觉手工重建输入表的工作量不会很大。 2012-1-2 00:29 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 17 楼感谢大家，已解决，此贴到此结束。 2012-1-2 20:30 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 18 楼 00403554 === OEP 2012-1-2 22:14 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 19 楼找到程序入口处不难，好多方法都能很快到达这里，00403554 === OEP关键是有自校验和附加强数据处理，对于我们新手比较难。 2012-1-3 15:46 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 20 楼附加数据有工具就可搞定的前二个是脱壳修复工具 XXX.DLL 附加数据插件（PEID）上传的附件：截图1325577915.png （3.54kb，16次下载）截图1325577946.png （2.96kb，16次下载）截图1325578104.png （2.22kb，15次下载） 2012-1-3 16:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

医学影像

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 2 楼 ASPack 2.11 -> Alexey Solodovnikov [Overlay] 这种脱比较简单，只是你没有把附加数据加上去所以就会这样子 “[Overlay]”=附加数据有用工具加上也可以手动加上 2011-12-31 10:23 0
supertyj 雪币： 1121 活跃值： (652) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 238 粉丝 2 关注私信	supertyj 1 3 楼可能有自校验吧，VB的程序脱完之后不好调试，所以只能先暂时猜测是自校验 2011-12-31 10:30 0
qhdvip 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qhdvip 4 楼谢谢大家，终于又学会一招 2011-12-31 10:57 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 5 楼有点意思哈求人脱破只给出个空壳壳真心求破就要给出完整的程序、、、、、、成心涮人 2011-12-31 13:50 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 6 楼 2011-12-31 17:18 0
qhdvip 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qhdvip 7 楼看一看，学习一下啊，真是高手如云。 2011-12-31 17:53 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 8 楼脱壳方法： Ctrl+G 45B43B，按下F4。 Ctrl+G 45B3B5，按下F4。连续F8两次，dump。破解方法：运行之后，在4434b3下断点，然后修改eax=1。即可任意注册码注册成功。每次运行都需要这样一次……永久的旧不看了。 2011-12-31 20:35 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 9 楼首先感谢楼上的朋友，可能是我的水平太差，试了两次还是没有把它脱下来。可能错在DUMP那步啊，是不是参数要修改啊？再接着学习啊。我把步骤复制下来，请看一下错在哪步？上传的附件： 81.JPG （124.36kb，75次下载） 82.JPG （133.18kb，79次下载） 83.JPG （103.24kb，74次下载） 84.JPG （136.54kb，76次下载） 2012-1-1 15:04 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 10 楼壳是脱净了啦没有调用的XXXXX.DLL 无法再调试所以删除了 2012-1-1 15:50 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 11 楼过程说的很明白啦 2012-1-1 15:53 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 12 楼我试了一下，可总是提示出错，说内存不能为READ，是不是在DUMP那步参数要修改成什么吗？不是说还是附加数据吗？ 2012-1-1 15:55 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 13 楼路过看看！！ 2012-1-1 16:55 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 14 楼用OD自己的重建输入表是不靠谱的。最好用ImportREC来修复，填下入口点3554,东西都回找全的。 2012-1-1 17:36 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 15 楼原来只会在OD里学会爆破，后来又学会简单一点的找出正解注册码，手动脱壳最近才开始学习，一知半解，什么修复还要学习啊，始终没有搞定。再查查资料再说吧，就是最后一步DUMP不是理解，在OD里用自带的OLLYDUMP始终不行，保存后就是不能运行，好像用ImportREG.exe这个，参照网上说法试了一下，还是不行，主要ImportREG.exe这个软件不熟悉。老大，请你发一个脱壳后程序给我试一下看能否进行下去。还有照你的说法两次F8后出来这行：00403554 68 db 68 ; CHAR 'h' 这是程序入口吗？我在教程中好像都是说：10002E9F 55 push ebp <------------------ OEP ，dump出来，然后重建输入表这个标志是入口啊？ 2012-1-1 21:28 0
bombless 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 87 粉丝 0 关注私信	bombless 16 楼大家都是用importREC么。。感觉手工重建输入表的工作量不会很大。 2012-1-2 00:29 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 17 楼感谢大家，已解决，此贴到此结束。 2012-1-2 20:30 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 18 楼 00403554 === OEP 2012-1-2 22:14 0
医学影像雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	医学影像 19 楼找到程序入口处不难，好多方法都能很快到达这里，00403554 === OEP关键是有自校验和附加强数据处理，对于我们新手比较难。 2012-1-3 15:46 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 20 楼附加数据有工具就可搞定的前二个是脱壳修复工具 XXX.DLL 附加数据插件（PEID）上传的附件：截图1325577915.png （3.54kb，16次下载）截图1325577946.png （2.96kb，16次下载）截图1325578104.png （2.22kb，15次下载） 2012-1-3 16:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复