-
-
[原创]小菜鸟一不小心脱掉asprotect 2.1x ske,易语言,encryptPE,aspack2.12四层壳
-
发表于:
2005-12-2 19:50
5061
-
[原创]小菜鸟一不小心脱掉asprotect 2.1x ske,易语言,encryptPE,aspack2.12四层壳
一次,某人拿一个商业软件要我帮他脱,我用peid一查是asprotect 2.1x ske,
由于我一时手头比较紧,便以100元的价格把我给卖了~~~~~:(
1.先把程序取名1.exe,先用ollydbg跟,跟了半天终于看到一个比较有用的东西:krnln.fne(易语言的核心库),
好的,走捷径,谁叫加壳的人这么笨呢。用e-code explorer经过几步简单操作脱壳得到2.exe。
2.把我的2.exe交给他,他说不行,还要再脱,唉,我只知道易语言是种编程语言,怎么能再脱?难不成脱成
源代码?无奈,用filemon监视2.exe运行,突然发现它运行时会在windows临时文件夹生成另一个文件,然后
运行的是那个文件。
3.将系统文件夹中的那个文件拷贝出来为3.exe,用peid一查,我晕,EncryptPE 2005.3.12,老王的宝贝,
幸好是services方式加密的(不是services也一样,只是麻烦一点),脱壳过程详见看雪论坛EncryptPE 2004.8.10及
2005.3.14的脱文,我就不重复了,得到4.exe
4.用peid一查aspack2.12,ok,用peid的插件Generic Unpacker脱壳,用peid一查是delphi编的,运行,正常。
好的,交差,收工。
小结:本人只是菜鸟,能脱出来完全是侥幸,而且脱的都是弱壳,是由于加壳的人粗心大意造成的。
ps:好后悔,当初只要了100大洋。:)
[课程]FART 脱壳王!加量不加价!FART作者讲授!