有一个软件,用peid检测到外层壳为ASProtect 2.1x SKE -> Alexey Solodovnikov,执行Aspr2.XX_IATfixer_v1.02脚本, 提示“Import table is fixed,you can dump the file now or later……”。
点“确定”,接着resume后,提示“stolen code start,press ok button to add comments”,按确定后停在
010E0320 55 PUSH EBP ; 00050F838
010E0321 C1CD 6B ROR EBP,6B ; 在 1..31 内替换常量
010E0324 C1C5 47 ROL EBP,47 ; 在 1..31 内替换常量
010E0327 C1D5 BF RCL EBP,0BF ; 在 1..31 内替换常量
010E032A BD B6904700 MOV EBP,4790B6
010E032F 8D6C24 14 LEA EBP,DWORD PTR SS:[ESP+14]
010E0333 8D6C25 EC LEA EBP,DWORD PTR SS:[EBP-14]
010E0337 83C4 F0 ADD ESP,-10
010E033A 53 PUSH EBX
010E033B B8 6AA84300 MOV EAX,43A86A
查看Log文件,IATstartaddr=00516190,IATsize=7F0
然后用"脱壳在当前调试的进程"得到dump.exe文件 ,打开ImportREC,填入OEP=00050F838-400000=10F838,RVA=00516190-400000=116190,size=7F0,修复dump.exe,(此时用peid检测修复过的dump文件,显示是ACProtect 1.41 -> AntiCrack Software *, 但是这个dump.exe运行就会出现错误) .
再去0llydbg,回到代码窗口,按F9,出现提示窗口“模块‘RR430338’入口点超出此代码(在pe文件头中指定)。可能此文件为自解压或自修改文件,请在设置断点时记住这一点”,点“确定”按钮确认后,软件的运行主界面就出来了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)