[求助]Apsprotect 2.1X壳遇到新问题！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2 楼 ************************************ (6.1) 在 5C0000 ??中,?办?一?,指向 00BEXXXX ,?的 API , 那?就是脎藏的 API => GetProcAddress ,修正它并未遇到此隐藏函数，并不是所有的这样的壳都要需要修正？？？ ******************************** 如果你dump后的东东走着走着不能前进了,试下它吧! *************************** ->Fix Dump 完成 90% 咄度此处ImportREC的OEP应该填什么，同时我们按此教程找到OEP并不在主程序中！是不是就填这个不在主程序的OEP！ ************************** 我没管它,可能只要IAT位置正确也行吧?? ************************** VM Address Size =========================== 00BC0000 33000 <-ASProtect 解密 CODE ?段 00C40000 4000 <-ASProtect 儋料 DATA ?段 00EA0000 3000 <-OEP Stolen Code 00F00000 1000 <-M1 Stolen Code 00F10000 1000 <-M1 Stolen Code 00F20000 1000 <-M2 Stolen Code 00F30000 1000 <-M2 Stolen Code 00F40000 1000 <-M2 Stolen Code 00F50000 1000 <-M3 Stolen Code 00F60000 1000 <-M3 Stolen Code =========================== 这些stole code是如何确定的！ ********************************** dump后的东东会不断说它找不到XXXXXXXX,XXXXXXX指令不能什么了.... 2006-3-2 11:42 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 3 楼谢谢林海兄，我下载了你空间的录象，建议你能不能做个完整版的脱壳录象供我们这些小菜鸟学习！并配文字教程就更好了！如果你dump后的东东走着走着不能前进了,试下它吧! 不能前进有很多种啊 65761007 6F outs dx, dword ptr es:[edi] 我是出现这样的异常，无法跳过！还希望能解答！ 2006-3-2 11:55 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 4 楼输入输出?? 应看看程序里把你引到这的地方发生了什么.... 2006-3-2 13:30 0
ccbwx 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 73 粉丝 0 关注私信	ccbwx 5 楼林海雪原兄，如果在动画中加入文字说明就更好一些 2006-3-3 11:06 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 6 楼我在这个贴里回复了，复制过来。 http://bbs.pediy.com/showthread.php?s=&threadid=21973 引用: -------------------------------------------------------------------------------- 最初由 takken4 发布 [B我已经DUMP完用 ImportREC 修复完毕了，指针全部有效。^_^ 可是教程说的用取出 Stolen Code ?段这里不大看得懂，请问下上面那些ADDRESS是怎么得到的啊 ........ -------------------------------------------------------------------------------- 你把所有的区段先dump 下来，其中就包括　00F00000　－　00F60000 这些。之所以选择用这些区段而不需要其它，是逐步试验出来的。在调试dump 整理后的程序时，看它代码会跑到哪个区段，那就选择这个区段。不同asprotect 处理过的程序，可能要选择的区段不同。用SDK + 注册模块处理过的　要选择区段更多，　asprotect 代码段也不止一个。　另外一个方法是　　把dump 下来的所有区段都加进去，一般有20-30个吧，看能不能运行，然后再进一步试着逐步精减。要注意备份，因为在使用　lordPE 的rebuild 功能时，可能会导致文件尾的　IDT 表损坏。 2006-3-3 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2 楼 ************************************ (6.1) 在 5C0000 ??中,?办?一?,指向 00BEXXXX ,?的 API , 那?就是脎藏的 API => GetProcAddress ,修正它并未遇到此隐藏函数，并不是所有的这样的壳都要需要修正？？？ ******************************** 如果你dump后的东东走着走着不能前进了,试下它吧! *************************** ->Fix Dump 完成 90% 咄度此处ImportREC的OEP应该填什么，同时我们按此教程找到OEP并不在主程序中！是不是就填这个不在主程序的OEP！ ************************** 我没管它,可能只要IAT位置正确也行吧?? ************************** VM Address Size =========================== 00BC0000 33000 <-ASProtect 解密 CODE ?段 00C40000 4000 <-ASProtect 儋料 DATA ?段 00EA0000 3000 <-OEP Stolen Code 00F00000 1000 <-M1 Stolen Code 00F10000 1000 <-M1 Stolen Code 00F20000 1000 <-M2 Stolen Code 00F30000 1000 <-M2 Stolen Code 00F40000 1000 <-M2 Stolen Code 00F50000 1000 <-M3 Stolen Code 00F60000 1000 <-M3 Stolen Code =========================== 这些stole code是如何确定的！ ********************************** dump后的东东会不断说它找不到XXXXXXXX,XXXXXXX指令不能什么了.... 2006-3-2 11:42 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 3 楼谢谢林海兄，我下载了你空间的录象，建议你能不能做个完整版的脱壳录象供我们这些小菜鸟学习！并配文字教程就更好了！如果你dump后的东东走着走着不能前进了,试下它吧! 不能前进有很多种啊 65761007 6F outs dx, dword ptr es:[edi] 我是出现这样的异常，无法跳过！还希望能解答！ 2006-3-2 11:55 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 4 楼输入输出?? 应看看程序里把你引到这的地方发生了什么.... 2006-3-2 13:30 0
ccbwx 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 73 粉丝 0 关注私信	ccbwx 5 楼林海雪原兄，如果在动画中加入文字说明就更好一些 2006-3-3 11:06 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 6 楼我在这个贴里回复了，复制过来。 http://bbs.pediy.com/showthread.php?s=&threadid=21973 引用: -------------------------------------------------------------------------------- 最初由 takken4 发布 [B我已经DUMP完用 ImportREC 修复完毕了，指针全部有效。^_^ 可是教程说的用取出 Stolen Code ?段这里不大看得懂，请问下上面那些ADDRESS是怎么得到的啊 ........ -------------------------------------------------------------------------------- 你把所有的区段先dump 下来，其中就包括　00F00000　－　00F60000 这些。之所以选择用这些区段而不需要其它，是逐步试验出来的。在调试dump 整理后的程序时，看它代码会跑到哪个区段，那就选择这个区段。不同asprotect 处理过的程序，可能要选择的区段不同。用SDK + 注册模块处理过的　要选择区段更多，　asprotect 代码段也不止一个。　另外一个方法是　　把dump 下来的所有区段都加进去，一般有20-30个吧，看能不能运行，然后再进一步试着逐步精减。要注意备份，因为在使用　lordPE 的rebuild 功能时，可能会导致文件尾的　IDT 表损坏。 2006-3-3 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复