首页
论坛
课程
招聘
ASProtect 1.23RC4 以壳解壳+暗桩修复+解除自校验――ArtCursors V4.02B
2004-6-16 01:06 19444

ASProtect 1.23RC4 以壳解壳+暗桩修复+解除自校验――ArtCursors V4.02B

fly 活跃值
85
2004-6-16 01:06
19444
ASProtect 1.23RC4 以壳解壳+暗桩修复+解除自校验+破解――ArtCursors V3.99B3
        
      
        
下载页面:  http://www.onlinedown.net/soft/27328.htm
软件大小:  993KB
软件语言:  英文
软件类别:  国外软件/共享版/图标工具
运行环境:  Win9x/Me/NT/2000/XP
加入时间:  2004-6-10 20:18:29
下载次数:  707
软件评级:  ****
软件介绍:  Aha-soft继ArtIcons后,又一套极佳的鼠标光标编辑工具,支持标准的16x16、32x32..及自订尺寸图示,除可观看、绘制、抓取、收集、和管理等功能外,亦有渐层着色功能及齐全的编辑工具。支持格式包括:ico、ani、cur、wmf、emf、bmp、jpg、jpeg、gif、png,它并从图像ICO、JPG等文件中导入。
      
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
      
【调试环境】:WinXP、Ollydbg、PEiD、LordPE、ImportREC
      
―――――――――――――――――――――――――――――――――
【脱壳过程】:
                 
               
      
有兄弟让看看这个东东,抽空看了一下,发现和以前版本的没有太多区别。
还看了一下其同门软件ArtIcons Pro V4.06b,脱壳方法和这个一样。
―――――――――――――――――――――――――――――――――
一、以壳解壳:Stolen Code + OEP
      
      
设置Ollydbg忽略除了“内存访问异常”之外的所有其它异常选项。老规矩:用IsDebug 1.4插件去掉Ollydbg的调试器标志。
      
00401000     68 01C05900         push ARTCUR.0059C001//进入OD后停在这
00401005     E8 01000000         call ARTCUR.0040100B
0040100A     C3                  retn

      
Shift+F9 运行,来到ASProtect壳最后一次典型异常处。
      
00B539EC     3100                xor dword ptr ds:[eax],eax//最后1次异常
00B539EE     64:8F05 00000000    pop dword ptr fs:[0]
00B539F5     58                  pop eax
00B539F6     833D B07EB500 00    cmp dword ptr ds:[B57EB0],0
00B539FD     74 14               je short 00B53A13
00B539FF     6A 0C               push 0C
00B53A01     B9 B07EB500         mov ecx,0B57EB0
00B53A06     8D45 F8             lea eax,dword ptr ss:[ebp-8]
00B53A09     BA 04000000         mov edx,4
00B53A0E     E8 2DD1FFFF         call 00B50B40
00B53A13     FF75 FC             push dword ptr ss:[ebp-4]
00B53A16     FF75 F8             push dword ptr ss:[ebp-8]
00B53A19     8B45 F4             mov eax,dword ptr ss:[ebp-C]
00B53A1C     8338 00             cmp dword ptr ds:[eax],0
00B53A1F     74 02               je short 00B53A23
00B53A21     FF30                push dword ptr ds:[eax]
00B53A23     FF75 F0             push dword ptr ss:[ebp-10]
00B53A26     FF75 EC             push dword ptr ss:[ebp-14]
00B53A29     C3                  retn//此处下断,Shift+F9,断在这!

      
此时ESP=0012FF5C,看看堆栈:
0012FF5C    00B67190
0012FF60    00400000  ASCII "MZP"
0012FF64    32C336F0
0012FF68    0012FFA4 //注意这里 ★

      
下命令:HR 0012FF68  F9运行,中断
      
00B672D3     03C3                add eax,ebx
00B672D5     BB AC060000         mov ebx,6AC//注意这个值 ★ 这里就可以按“以壳解壳”的方法来脱壳了
00B672DA     0BDB                or ebx,ebx
00B672DC     75 07               jnz short 00B672E5

      
00B672E5     E8 00000000         call 00B672EA
00B672EA     5D                  pop ebp
00B672EB     81ED 4DE14B00       sub ebp,4BE14D
00B672F1     8D85 F2E04B00       lea eax,dword ptr ss:[ebp+4BE0F2]
00B672F7     8D8D 94E14B00       lea ecx,dword ptr ss:[ebp+4BE194]
00B672FD     03CB                add ecx,ebx
00B672FF     8941 01             mov dword ptr ds:[ecx+1],eax
00B67302     8D85 36E14B00       lea eax,dword ptr ss:[ebp+4BE136]
00B67308     8D8D FAE04B00       lea ecx,dword ptr ss:[ebp+4BE0FA]
00B6730E     8901                mov dword ptr ds:[ecx],eax
00B67310     B8 5E140000         mov eax,145E
00B67315     8D8D FFE04B00       lea ecx,dword ptr ss:[ebp+4BE0FF]
00B6731B     8901                mov dword ptr ds:[ecx],eax
00B6731D     8D8D 94E14B00       lea ecx,dword ptr ss:[ebp+4BE194]
00B67323     8D85 94F34B00       lea eax,dword ptr ss:[ebp+4BF394]
00B67329     51                  push ecx
00B6732A     50                  push eax
00B6732B     E8 76FFFFFF         call 00B672A6
00B67330     61                  popad
00B67331     F3:                 prefix rep:
00B67332     EB 02               jmp short 00B67336

      
程序代码已经解开,可以用LordPE纠正ImageSize后完全DUMP这个进程了!
接着 区域脱壳:00B60000,大小=0000C000,也就是脱出上面的部分壳处理代码段。
      
      
顺手看看Stolen Code的处理:
      
00B67362     FF53 0E             call dword ptr ds:[ebx+E]//这个CALL里面处理 Stolen Code  ★
       
00B67399     896C24 04           mov dword ptr ss:[esp+4],ebp
00B673A1     8D6424 04           lea esp,dword ptr ss:[esp+4]//push ebp ★
00B673A5     8BEC                mov ebp,esp ★
00B673A7     81EC 0C000000       sub esp,0C//ADD ESP,-0C  ★
       
00B674DE     8BC3                mov eax,ebx  ; ARTCUR.00544CC3
00B674E3     83C0 51             add eax,51//mov eax,00544D14 ★

      
Ctrl+F9 几次,返回005451BC
      
005451AC     55                  push ebp
005451AD     8BEC                mov ebp,esp
005451AF     83C4 F4             add esp,-0C
005451B2     B8 144D5400         mov eax,00544D14//Stolen Code
005451B7     E8 7018ECFF         call ARTCUR.00406A2C
005451BC     FF15 14BC5400       call dword ptr ds:[54BC14]; ARTCUR.00544BC0
005451C2     E8 4DEAEBFF         call ARTCUR.00403C14

      
这个Delphi程序的Stolen Code不多,但是为何还要使用“以壳解壳”的方法?
因为这个东东的入壳暗桩不少,使用“以壳解壳”的方法可以使修复工作变得简单点啦。
      
现在我们来“组装”一下dumped.exe。呵呵,用LordPE打开dumped.exe,从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段,修改其Voffset=00760000,只保留LordPE的“验证PE”选项,重建PE。Dump完成!
      
      
―――――――――――――――――――――――――――――――――
二、用AsprDbgr搞定输入表
      
      
AsprDbgr可谓是ASProtect 1.23壳输入表杀手!难怪ASProtect要不断的升级呀。
      
AsprDbgr v1.0beta (:P) Made by me... Manko.
       
  iEP=401000 (E:\试炼场\脱壳学习\ASProtect\ArtCursors 4.02 Beta\ARTCUR.EXE
       
  GST returns to: B42667
    Trick aspr GST... (EAX=12121212h)
  GV returns to: B51A61
    IAT Start: 54E1A4
          End: 54E994
       Length: 7F0
      IATentry 54E1F8 = B517A4 resolved as GetProcAddress
      IATentry 54E1FC = B51C64 resolved as GetModuleHandleA
      IATentry 54E210 = B51CD8 resolved as GetCommandLineA
      IATentry 54E2B0 = B51C64 resolved as GetModuleHandleA
      IATentry 54E340 = B51CC8 resolved as LockResource
      IATentry 54E38C = B51C8C resolved as GetVersion
      IATentry 54E3A8 = B517A4 resolved as GetProcAddress
      IATentry 54E3B0 = B51C64 resolved as GetModuleHandleA
      IATentry 54E3E4 = B51CC0 resolved as GetCurrentProcessId
      IATentry 54E3F0 = B51CF0 resolved as FreeResource
    SymbolInitialize seems to have frozen.
    Any invalid IAT entries was NOT erased...
  Dip-Table at adress: B57AB4
    0 4FEE78 0 0 4FEECC 0 0 544BC0 544CBC 544CDC 0 4FEEF4 4FEEE4 0
  Last SEH passed. Searching for signatures. Singlestepping to OEP!
    Call + OEP-jump-setup at: B68015 ( Code: E8000000 5D81ED )
    Mutated, stolen bytes at: B68060 ( Code: 61F3EB02 CD20EB01 )
    Erase of stolen bytes at: B67FC4 ( Code: 9CFCBF03 80B600B9 )
      Repz ... found. Skipping erase of stolen bytes. ;)
  Dip from pre-OEP: 40692C (Reached from: B67FD5)
  Sugested tempOEP at: 5451B7

      
      
运行ImportREC,选择这个进程。填入:RVA=0014E1A4,Size=000007F0,点“Get Import”,剪切掉几个无效的指针,把OEP改为00760000,FixDump!
      
      
―――――――――――――――――――――――――――――――――
三、暗桩消除
      
      
载入dumped_.exe,修改其入口代码为:
00B60000     BB AC060000         mov ebx,6AC
00B60005     E9 DB720000         jmp UnPacked.00B672E5//跳至“以壳解壳”代码段

      
F9运行,中断在内存异常处:
00B6896B     00A4E1 14006B65     add byte ptr ds:[ecx+656B0014],ah//异常

      
看看堆栈提示:
0012FDFC    00539780  返回到 dumped_.00539780

      
当然:Ctrl+G:00539780
      
00539776     8B35 24C25400       mov esi,dword ptr ds:[54C224]; dumped_.0054B4C4
0053977C     8B36                mov esi,dword ptr ds:[esi]
0053977E     FFD6                call esi//入壳 ★
00539780     E9 17000000         jmp dumped_.0053979C

      
下面也是一样:
0053979C     8B35 A8C15400       mov esi,dword ptr ds:[54C1A8]; dumped_.0054B4C8
005397A2     8B36                mov esi,dword ptr ds:[esi]
005397A4     FFD6                call esi//入壳 ★

      
0054B4C4和0054B4C8处的地址入壳了,随便从程序中个ret的地址替换这2处就行了。
其实在看到硬盘指纹的时候,这2个地址没有被壳替换,是4FEF04,索性直接原样修改,保存之。
      
0054B4C4  A4 1B B5 00 D8 1B B5 00 1E 00 00 00 1E 00 00 00  ................
0054B4C4  04 EF 4F 00 04 EF 4F 00 1E 00 00 00 1E 00 00 00  ..O...O.........

      
      
00539776和0053979C之间的代码需要key才能正确解压,没有key就没办法啦。
      
        
―――――――――――――――――――――――――――――――――
四、自校验解除
      
      
自校验失败的话就会爆发“窗口炸弹”了。草原猎豹 兄弟尝过“窗口炸弹”的滋味,呵呵。
下断:BP FileTimeToLocalFileTime 跟踪一段就会发现目标了。
      
00461A79     E8 2274FAFF         call dumped_.00408EA0//取得校验参数
00461A7E     85C0                test eax,eax
00461A80     75 08               jnz short dumped_.00461A8A
00461A82     8B9D ACFEFFFF       mov ebx,dword ptr ss:[ebp-154]//脱壳前[ebp-154]=0009D400
00461A88     EB 03               jmp short dumped_.00461A8D

      
索性把00461A82处修改为固定值吧,这样省点事啦。
00461A82     BB 00D40900         mov ebx,9D400//脱壳前的值
00461A87     90                  nop//补个NOP
00461A88     EB 03               jmp short dumped_.00461A8D

      
也可以修改下面3个校验的地方:
      
004FEFBE     3D A0BB0D00         cmp eax,0DBBA0//校验 ① ★
004FEFC3     0F9CC3              setl bl//改为:mov bl,01
       
004FF014     8BD8                mov ebx,eax
004FF016     81FB 40420F00       cmp ebx,0F4240//校验 ② ★
004FF01C     7E 34               jle short dumped_.004FF052//改为:jmp 004FF052
       
004FEF3B     3D 804F1200         cmp eax,124F80//校验 ③ ★
004FEF40     7E 30               jle short dumped_.004FEF72//改为:jmp 004FEF72

      
OK,炸弹被拆除引线了,不会疯狂开窗口耗尽系统资源了。
没有key只能这样了,脱壳基本完成!
      
      
―――――――――――――――――――――――――――――――――
五、破解:去除NAG
      
      
现在时间限制没有了,但启动和退出时的NAG比较烦人。
感谢[FCG]的DarkNess0ut老大帮忙破解!修改以下几个地方:
      
1、
00539754     837D F0 00          cmp dword ptr ss:[ebp-10],0
00539758     75 05               jnz short UnPacked.0053975F//改为:JMP
0053975A     E8 29BCFCFF         call UnPacked.00505388
0053975F     A1 14C05400         mov eax,dword ptr ds:[54C014]
00539764     8038 00             cmp byte ptr ds:[eax],0
00539767     74 0D               je short UnPacked.00539776//改为:JMP

      
2、
00505645     8038 00             cmp byte ptr ds:[eax],0
00505648     74 04               je short UnPacked.0050564E
0050564A     33D2                xor edx,edx
0050564C     EB 02               jmp short UnPacked.00505650
0050564E     B2 01               mov dl,1
改为:
00505645     8038 00             cmp byte ptr ds:[eax],0
00505648     EB 00               jmp short Cr-UnPac.0050564A
0050564A     C640 47 00          mov byte ptr ds:[eax+47],0
0050564E     B2 00               mov dl,0

      
3、
0053A04B     8A12                mov dl,byte ptr ds:[edx]
0053A04D     80F2 01             xor dl,1
改为:
0053A04B     C602 01             mov byte ptr ds:[edx],1
0053A04E     B2 00               mov dl,0

      
4、
0053A061     807F 47 00          cmp byte ptr ds:[edi+47],0
0053A065     0F84 AA000000       je UnPacked.0053A115//改为:JMP

      
5、
0053C8C6     837D FC 00          cmp dword ptr ss:[ebp-4],0
0053C8CA     75 19               jnz short UnPacked.0053C8E5//改为:JMP

      
                    
―――――――――――――――――――――――――――――――――
                                
         ,     _/ 
        /| _.-~/            \_     ,        青春都一晌
       ( /~   /              \~-._ |\
       `\\  _/                \   ~\ )          忍把浮名 
   _-~~~-.)  )__/;;,.          \_  //'
  /'_,\   --~   \ ~~~-  ,;;\___(  (.-~~~-.        换了破解轻狂
 `~ _( ,_..--\ (     ,;'' /    ~--   /._`\ 
  /~~//'   /' `~\         ) /--.._, )_  `~
  "  `~"  "      `"      /~'`\    `\\~~\   
                         "     "   "~'  ""

   

     Cracked By 巢水工作坊――fly [OCN][FCG][NUKE][DCM]

                2004-06-15  17:00
                        

[招生]科锐逆向工程师培训46期预科班将于 2023年02月09日 正式开班

收藏
点赞0
打赏
分享
最新回复 (33)
雪    币: 198
活跃值: 活跃值 (222)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
aqtata 活跃值 2 2004-6-16 02:11
2
0
牛人。。。。
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-6-16 11:05
3
0
有兴趣的兄弟还可以试试这个东东:ArtIcons Pro V4.06b
                  
            
下载页面:  http://www.skycn.com/soft/6354.html
软件大小:  1132 KB
软件语言:  英文
软件类别:  国外软件 / 共享版 / 图标工具
应用平台:  Win9x/NT/2000/XP
加入时间:  2004-06-11 15:23:37
下载次数:  11832
推荐等级:  ****
软件介绍:  ArtIcons 是专门绘制图标的工具,支持标准及自订尺寸的图标,并支持到 16 百万色,具有渐层着色的功能,还可以观看、抓取、收集、和管理图标资料库等许多功能。可以将整个目录和子目录下的图标转为资料库。支持拖放操作方式。可在图标资料库中互相剪贴。支持剪贴图形到其他应用程序,可从图标资料库中分割图标出来。
      
     
脱壳方法相似   :D
雪    币: 230
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
kimmal 活跃值 1 2004-6-16 11:58
4
0
嬉嬉,一上论坛就看到偶像的精品了~!
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-6-17 00:54
5
0
由于前天从 华军 的某个链接下载的程序居然是ArtCursors V3.99B3旧版
其页面提示是新版。谁都有失误的时候,何况一个大的软件站

刚才去天空下载了新版看了一下,脱壳方法是一样的。
http://www.skycn.com/soft/2447.html

感谢DarkNess0ut老大的帮忙去除NAG!
脱壳破解版已交给 汉化新世纪 的兄弟汉化



雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
草原猎豹 活跃值 4 2004-6-17 14:06
6
0
学习中。。。。
我只会用Stripper脱aspr,方便,秒杀,还自动帮你“以壳解壳”
可惜对付新版本就没办法了。。。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
agooday 活跃值 2004-7-5 10:43
7
0
最初由 fly 发布
由于前天从 华军 的某个链接下载的程序居然是ArtCursors V3.99B3旧版
其页面提示是新版。谁都有失误的时候,何况一个大的软件站

刚才去天空下载了新版看了一下,脱壳方法是一样的。
http://www.skycn.com/soft/2447.html

感谢DarkNess0ut老大的帮忙去除NAG!
脱壳破解版已交给 汉化新世纪 的兄弟汉化




    好,等汉化版。:)
雪    币: 7137
活跃值: 活跃值 (3460)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
海风月影 活跃值 22 2004-7-5 13:21
8
0
下命令:HR 0012FF68 这是什么命令啊?
还有 下断:BP FileTimeToLocalFileTime  这是什么断点啊?
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-7-5 13:56
9
0
HR 硬件访问断点
BP FileTimeToLocalFileTime   API断点
雪    币: 7137
活跃值: 活跃值 (3460)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
海风月影 活跃值 22 2004-7-5 14:52
10
0
现在我们来“组装”一下dumped.exe。呵呵,用LordPE打开dumped.exe,从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段,修改其Voffset=00760000,只保留LordPE的“验证PE”选项,重建PE。Dump完成!

怎么从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段?
问了很多操作上的问题,不好意思哦,我以前没操作过
雪    币: 7137
活跃值: 活跃值 (3460)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
海风月影 活跃值 22 2004-7-5 14:58
11
0
谢谢了,我找到了,知道怎么做了
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
未日独留 活跃值 1 2004-7-6 23:34
12
0
以壳脱壳的方法是什么啊,我没找到,以壳脱壳的原理是什么啊!
还有,上面有个地方不太清禁,jle改jmp后代码会增加吧!那样的话,程序代码就都串位啦,你的意思是说用SMC技术吗!
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-7-7 00:53
13
0
先跟着做一遍

改jmp那已经是改脱壳后的部分了
下面的空地大的很,增加点代码无所谓
雪    币: 278
活跃值: 活跃值 (30)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
WR-911 活跃值 1 2004-7-7 12:36
14
0
fly,哪有AsprDbgr v1.0beta下载呀。
我搜不到…………
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-7-7 12:53
15
0
最初由 WR-911 发布
fly,哪有AsprDbgr v1.0beta下载呀。
我搜不到…………


http://bbs.pediy.com/showthread.php?s=&threadid=2220
雪    币: 2199
活跃值: 活跃值 (50)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
小虾 活跃值 10 2004-7-10 13:24
16
0
Fly前辈,第一次学习脱猛壳:p 有几个问题想请教一下:,我在学习脱壳时走到以下地方,你说这里已经可以将程序Dump下来的,我还是有些不明白,是走在00B672D3地址Dump程序还是00DB67332地址Dump程序?


00B672D3 03C3 add eax,ebx //是走到这里Dump吗?
00B672D5 BB AC060000 mov ebx,6AC//注意这个值 ★ 这里就可以按“以壳解壳”的方法来脱壳了
00B672DA 0BDB or ebx,ebx
00B672DC 75 07 jnz short 00B672E5



[code]
00B672E5 E8 00000000 call 00B672EA
00B672EA 5D pop ebp
00B672EB 81ED 4DE14B00 sub ebp,4BE14D
00B672F1 8D85 F2E04B00 lea eax,dword ptr ss:[ebp+4BE0F2]
00B672F7 8D8D 94E14B00 lea ecx,dword ptr ss:[ebp+4BE194]
00B672FD 03CB add ecx,ebx
00B672FF 8941 01 mov dword ptr ds:[ecx+1],eax
00B67302 8D85 36E14B00 lea eax,dword ptr ss:[ebp+4BE136]
00B67308 8D8D FAE04B00 lea ecx,dword ptr ss:[ebp+4BE0FA]
00B6730E 8901 mov dword ptr ds:[ecx],eax
00B67310 B8 5E140000 mov eax,145E
00B67315 8D8D FFE04B00 lea ecx,dword ptr ss:[ebp+4BE0FF]
00B6731B 8901 mov dword ptr ds:[ecx],eax
00B6731D 8D8D 94E14B00 lea ecx,dword ptr ss:[ebp+4BE194]
00B67323 8D85 94F34B00 lea eax,dword ptr ss:[ebp+4BF394]
00B67329 51 push ecx
00B6732A 50 push eax
00B6732B E8 76FFFFFF call 00B672A6
00B67330 61 popad
00B67331 F3: prefix rep:
00B67332 EB 02 jmp short 00B67336 //还是走到这里Dump呢?
[code]


2、

程序代码已经解开,可以用LordPE纠正ImageSize后完全DUMP这个进程了!

这个InageSize如何纠正?在哪里修正?是将文件动态修改后Dump还是将文件Dump下来再修改?动态修改我在LordPE只找到两个选项PE编辑(Temp)和PE编辑(只读编辑),该用哪个选项?

3、

现在我们来“组装”一下dumped.exe。呵呵,用LordPE打开dumped.exe,从磁盘载入刚才区域脱壳的Region00B60000-00B6C000.dmp区段,修改其Voffset=00760000,只保留LordPE的“验证PE”选项,重建PE。Dump完成!

关于Voffset==00760000值是如何得来的?我这里的动态地址和你的不一样,你的动态地址是00B600000,而我这里是00E800000,应该如何得出这个Voffset值?
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-7-10 17:36
17
0
1、在上面的地址处都可以DUMP
2、DUmp时用LordPE“纠正映像大小”
3、Voffset==00760000是00B600000减去基址后的
4、动态地址以你的机子上为准,-基址 即可得出Voffset值
雪    币: 2199
活跃值: 活跃值 (50)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
小虾 活跃值 10 2004-7-10 18:03
18
0
明白了,谢谢Fly前辈。
雪    币: 278
活跃值: 活跃值 (30)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
WR-911 活跃值 1 2004-7-11 14:56
19
0
我用FLY老大教的方法脱了好多遍都有问题呀。我找到专脱工具ASPR Dumper0.1其中包括AsprDbgr v 1.06         
http://ahteam.org/cgi-bin/oursoft.pl?act=view&prgid=asprdumper
用它可以成功脱壳但不能在98下运行且脱过的软件都会过期…………
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-7-11 18:43
20
0
最初由 WR-911 发布
我用FLY老大教的方法脱了好多遍都有问题呀。我找到专脱工具ASPR Dumper0.1其中包括AsprDbgr v 1.06
http://ahteam.org/cgi-bin/oursoft.pl?act=view&prgid=asprdumper
用它可以成功脱壳但不能在98下运行且脱过的软件都会过期…………


或许是你某些地方没处理好
可以成功脱壳的
雪    币: 278
活跃值: 活跃值 (30)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
WR-911 活跃值 1 2004-7-13 22:07
21
0
Fly,请将你脱好的软件发一份给我.谢谢.
[email]WR-911@sohu.com[/email]
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-7-13 23:49
22
0
最初由 WR-911 发布
Fly,请将你脱好的软件发一份给我.谢谢.
[email]WR-911@sohu.com[/email]


已发送,注意发的是ArtCursors V4.02B UnPacked
和帖子里版本不同
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
agooday 活跃值 2004-8-3 13:29
23
0
等了很久了,汉化版还没出来……
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
zhlgame 活跃值 1 2004-8-3 13:44
24
0
fly哥,我想知道,你从开始,到脱掉这个壳花了多少时间。
雪    币: 60
活跃值: 活跃值 (129)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2004-8-3 15:04
25
0
几个小时或者几十分钟
看熟悉的程序
游客
登录 | 注册 方可回帖
返回