首页
社区
课程
招聘
一个ASPack的壳,手脱不行,脱壳机可以
发表于: 2012-11-26 10:58 8967

一个ASPack的壳,手脱不行,脱壳机可以

2012-11-26 10:58
8967
我的电脑是笔记本,XP SP3 这个程序用ESP定律、内存镜像等找到OEP(OEP为1408)后用LOADPE完整DUMP,然后用IMPREC修复后不能正常运行,但用脱壳机脱后可以正常运行,后来在另两台笔记本上和一台台式机上测试,问题同样,然后又将系统换成XP SP1进行测试,问题依旧,请各位大侠帮忙测试下看看是什么问题,谢谢了。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 48
活跃值: (167)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我刚才看了一下。。。你这个应该是手脱错了。。。。在xp上会出现这样的错误,但在win7下直接双击没反应。。。我下面说下我的步骤:
1.先用esp定律找到一个大的跳转,我好像不会插入图片,所以截图在附件里。。。
2.找到这个之后,你点右键分析->分析代码。。。
3.直接用OD自带的脱壳工具脱就行了。。。

求给币啊。。。我还没转正呢。。。
上传的附件:
2012-11-26 14:24
0
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢这位兄弟的回答,但我还是没弄明白我错在哪里。请详细指教。
程序的OEP是1408,在此脱壳,我也用过OD脱壳插件,也是同样的错误。
用插件脱壳后仍然是需要修复的吧,我用的是IMPORT REC,修复后仍然不行
2012-11-26 15:33
0
雪    币: 48
活跃值: (167)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
你脱壳的时候是不是找到那个大的跳转,也就是oep到达的地方直接就脱壳的?如果这样的话,你应该先右键分析代码,然后再脱壳。。。xp上我不知道。。。但我在win7上测试没问题。。。。
2012-11-26 15:53
0
雪    币: 48
活跃值: (167)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你那个是字节处理的错误。。你先按照我说的做。。。实在不行你换个修复工具。。或者网上找个修复这样问题的软件试试吧。。。
2012-11-26 15:56
0
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我也按照你说的去做了,但还是不行,修复工具也试了1.6 和1.7的都不行
字节处理的错误
能解释一下原因和帮忙找个解决办法吗?
这个软件是很早的软件,已经不能用,我只是用来学习的
另外确认一下这个OEP是1408吗?
2012-11-26 16:01
0
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
7
这个程序OEP你是找对了的,错误的原因在修复输入表上,你直接修复肯定是错的,要先找到输入表的起始位置,再填入大小,把所有的输入表全部找出来,如图:
这样修复后才能运行。加油。
上传的附件:
2012-11-26 16:01
0
雪    币: 48
活跃值: (167)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这个软件我记得黑鹰三人行老师的视频里有讲过,他好像也出现过类似的问题。。我找找看吧。。。
2012-11-26 16:02
0
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
兄弟,太感谢了,是这里的问题,我以为这个程序用的压缩壳太简单,于是没有去细分析,再次感谢你帮我找到原因。
2012-11-26 16:10
0
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
如果再能提供下查找这个IAT的步骤就更好了,我也再研究研究,一定要弄个明明白白
2012-11-26 16:28
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
我按你说的操作,转存出错.
2013-9-29 17:27
0
游客
登录 | 注册 方可回帖
返回
//