首页
社区
课程
招聘
手脱pll621shell+aspack疑问
发表于: 2006-7-19 10:40 4413

手脱pll621shell+aspack疑问

2006-7-19 10:40
4413
cpcw论坛的一位斑竹跟我说要给儿子找一点事做,所以找了一套心算软件.下载下来之后,使用卡巴查
了一下安装文件,发现有一个文件是使用了Aspack加壳,这一信息导致我的分析进入了误区,因为那个文件
是...升级文件.我最初直接脱壳后载入,是Delphi的,发现怎么运行都是升级界面-_-b。以为有反调试,
但是跟踪来跟踪去没有找到,然后一看,Update.exe。我晕~看了一下主程序的入口,发现是Delphi的入
口,也没在意,然后就F9执行了,然后不知道怎么想的,看了下内存映象,发现根本不是那么回事:有区
段pll621和Aspack,顿时感觉受骗了。记得在BCG2003的CD中见到过Pll621的一个外壳,伪装成Delphi的
程序,当时没有分析,也就没在意。现在一时也没有找到高手的分析教程,思路一下子就堵住了。
    然后去洗澡,突然想到可以使用区段断点,然后在Aspack段上下断,走过Aspack,进入OEP。然后问题
就来了......IAT没法修复。ImportREC无法识别,OllyDump脱出来的一个引入函数无法定位,真是郁闷啊。
不知各位大侠有什么高见?
    可能罗唆点,大家耐耐心就是了

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
pll621shell很少见用
据说某些系统平台下有兼容性问题吧
2006-7-19 11:03
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
程序运行正常,在WinXp SP2下
不知fly脱过pll621的shell么?
2006-7-19 11:07
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
跟yoda's Cryptor差不多,反跟踪用 HideOD 应该都能避开。
不是很难,慢慢跟跟,可能花指令多。
2006-7-19 11:55
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
就是花指令走晕了才在Aspack曲段下的断电。可问题是为什么IAT修复不了呢.....
2006-7-19 12:08
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
6
为什么修复不了只能问你自己。
你没找到真正的入口或者没有避开iat加密
2006-7-19 13:38
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
看来Aspack里还有一层
2006-7-19 15:32
0
游客
登录 | 注册 方可回帖
返回
//