首页
社区
课程
招聘
使用IMportRe修复后,仍然有5个未解决的指针,下一步如何修复呢?
发表于: 2005-10-19 13:51 5210

使用IMportRe修复后,仍然有5个未解决的指针,下一步如何修复呢?

2005-10-19 13:51
5210
壳是ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov



如图,我已经Trace Level 1(Disasm)”自动检测修复了,但是仍然有无效的指针,fix后无法运行

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我确定OEP是正确的,使用脚本脱壳的结果跟我手工脱壳的结果是一样的,OEP为0041CCDA
2005-10-19 13:52
0
雪    币: 671
活跃值: (723)
能力值: ( LV9,RANK:1060 )
在线值:
发帖
回帖
粉丝
3
不能自动修复,那就只能手动修复了

跟进程序看一下

也有可能那些指针根本没用。
2005-10-19 13:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
如何手工修复呢,我是初学者,搜索到的脱壳教程都没介绍手工修复,给个提示好吗,谢谢
2005-10-19 13:58
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
用ASPr插件也不能修复?
2005-10-19 14:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
在你的函数(当然是不能识别的)上点右键,分解16进制,看看能不能看到这样的东西:
77E54B68    push 77E631C8    // ~= kernel32.dll/0263/OpenConsoleW
77E54B6D    call 77E5A2D8    // ~= kernel32.dll/01CB/GetTickCount
最上边,也就是最近的就是这个函数名。
然后复制OpenConsoleW这个名,双击这个函数(刚才右键)的那个,剩下的应该就是填写了。

我的方法不一定很准确,也是看教程和动画学来的。不过有时候很管用。但愿对你有帮助
2005-10-19 14:33
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
楼上的方法可行
不过对加密强度大的话有乱序此发无效!
2005-10-19 14:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我也是初学,其实这个手工修复的确很复杂,对新人来讲还是需要有人知道,真希望有人看到以后做一篇详细的资料,最好是语音动画,这对新人有很大的促进作用。我说的不知道对不对,仅代表个人看法
2005-10-19 14:50
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
ASProtect 1.22 - 1.23 Beta 21

用插件应该能修复没问题吧。
2005-10-19 14:56
0
雪    币: 671
活跃值: (723)
能力值: ( LV9,RANK:1060 )
在线值:
发帖
回帖
粉丝
10
我不浪漫的方法可行

有时也会存在一些无效指针,直接Cut了。

如果出现 read error,这个基本上可以安全Cut了。
2005-10-19 15:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
非常感谢大家的回帖,我的OD里怎么找不到 ASPR插件呢??
2005-10-19 16:40
0
雪    币: 233
活跃值: (130)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
12
可以右键假的指针, 然后选反汇编, 也许可以看到些有用的
2005-10-19 17:11
0
雪    币: 236
活跃值: (100)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
13
最初由 msvcp60 发布
非常感谢大家的回帖,我的OD里怎么找不到 ASPR插件呢??


不是OD的插件,是PEID的
2005-10-19 18:28
0
游客
登录 | 注册 方可回帖
返回
//