-
-
手脱pll621shell+aspack疑问
-
发表于:
2006-7-19 10:40
4423
-
cpcw论坛的一位斑竹跟我说要给儿子找一点事做,所以找了一套心算软件.下载下来之后,使用卡巴查
了一下安装文件,发现有一个文件是使用了Aspack加壳,这一信息导致我的分析进入了误区,因为那个文件
是...升级文件.我最初直接脱壳后载入,是Delphi的,发现怎么运行都是升级界面-_-b。以为有反调试,
但是跟踪来跟踪去没有找到,然后一看,Update.exe。我晕~看了一下主程序的入口,发现是Delphi的入
口,也没在意,然后就F9执行了,然后不知道怎么想的,看了下内存映象,发现根本不是那么回事:有区
段pll621和Aspack,顿时感觉受骗了。记得在BCG2003的CD中见到过Pll621的一个外壳,伪装成Delphi的
程序,当时没有分析,也就没在意。现在一时也没有找到高手的分析教程,思路一下子就堵住了。
然后去洗澡,突然想到可以使用区段断点,然后在Aspack段上下断,走过Aspack,进入OEP。然后问题
就来了......IAT没法修复。ImportREC无法识别,OllyDump脱出来的一个引入函数无法定位,真是郁闷啊。
不知各位大侠有什么高见?
可能罗唆点,大家耐耐心就是了
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
