首页
社区
课程
招聘
是asprotect与acprotect双层壳吗? 怎么脱?
发表于: 2006-8-1 12:53 4490

是asprotect与acprotect双层壳吗? 怎么脱?

2006-8-1 12:53
4490
有一个软件,用peid检测到外层壳为ASProtect 2.1x SKE -> Alexey Solodovnikov,执行Aspr2.XX_IATfixer_v1.02脚本, 提示“Import table is fixed,you can dump the file now or later……”。
点“确定”,接着resume后,提示“stolen code start,press ok button to add comments”,按确定后停在
010E0320    55              PUSH EBP                                 ; 00050F838
010E0321    C1CD 6B         ROR EBP,6B                               ; 在 1..31 内替换常量
010E0324    C1C5 47         ROL EBP,47                               ; 在 1..31 内替换常量
010E0327    C1D5 BF         RCL EBP,0BF                              ; 在 1..31 内替换常量
010E032A    BD B6904700     MOV EBP,4790B6
010E032F    8D6C24 14       LEA EBP,DWORD PTR SS:[ESP+14]
010E0333    8D6C25 EC       LEA EBP,DWORD PTR SS:[EBP-14]
010E0337    83C4 F0         ADD ESP,-10
010E033A    53              PUSH EBX
010E033B    B8 6AA84300     MOV EAX,43A86A
查看Log文件,IATstartaddr=00516190,IATsize=7F0
然后用"脱壳在当前调试的进程"得到dump.exe文件 ,打开ImportREC,填入OEP=00050F838-400000=10F838,RVA=00516190-400000=116190,size=7F0,修复dump.exe,(此时用peid检测修复过的dump文件,显示是ACProtect 1.41 -> AntiCrack Software *, 但是这个dump.exe运行就会出现错误) .
再去0llydbg,回到代码窗口,按F9,出现提示窗口“模块‘RR430338’入口点超出此代码(在pe文件头中指定)。可能此文件为自解压或自修改文件,请在设置断点时记住这一点”,点“确定”按钮确认后,软件的运行主界面就出来了。 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
2
双层壳的强度=里面壳的强度
不过ACP还是比较猛地~
2006-8-1 17:10
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最初由 machenglin 发布
脱壳没有完成。
没有修复stolen code的都这样。


是不是要先完成修复asprotect的stolen code步骤后, 才能继续进行里层壳acprotect的脱壳?

怎么都没有关于多层壳的脱壳文章可看看的呢
2006-8-4 13:27
0
游客
登录 | 注册 方可回帖
返回
//