这种情况怎么修复啊?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

这种情况怎么修复啊?

发表于: 2006-8-7 20:12 6058

这种情况怎么修复啊?

Rucit

2006-8-7 20:12

6058

脱掉ASProtect1.23后
ImportREC中失效函数如下:
rva:0026B224 ptr:010D1C64
...  ...

OllyDBG转到CPU,找到如下:

010D1C64       55                push ebp
010D1C65       8BEC             mov ebp,esp
010D1C67       8B45 08          mov eax,dword ptr ss:[ebp+8]
010D1C6A       85C0             test eax,eax
010D1C6C       75 13             jnz short 010D1C81
010D1C6E       813D A47A0D01 0000>cmp dword ptr ds:[10D7AA4],40000>
010D1C78       75 07             jnz short 010D1C81
010D1C7A       A1 A47A0D01       mov eax,dword ptr ds:[10D7AA4]
010D1C7F       EB 06             jmp short 010D1C87
010D1C81       50                push eax
010D1C82       E8 3135FFFF       call 010C51B8; jmp to GetModuleHandleA
010D1C87       5D                pop ebp
010D1C88       C2 0400          retn 4

下面就不知道该怎么办了.请各位大虾指点指点啊,非常感谢.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (21)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼这个是 GetModuleHandleA函数，你可以ImportREC的ASPR插件识别出的。 [搞错了，链接删除] 2006-8-7 20:23 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 3 楼最初由 kanxue* 发布* 这个是 GetModuleHandleA函数，你可以ImportREC的ASPR插件识别出的。 http://www.pediy.com/tools/PE_tools/Rebuilder/Import%20REC/plugin/ACProtect%20%20.rar 是不是说:在ImportREC中,直接将rva:0026B224 ptr:010D1C64 引向kernel32.GetModuleHandleA就行了?但是这样的话会不会丢了一些有用的信息呢? 2006-8-7 20:29 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼最初由 Rucit* 发布* 是不是说:在ImportREC中,直接将rva:0026B224 ptr:010D1C64 引向kernel32.GetModuleHandleA就行了?但是这样的话会不会丢了一些有用的信息呢? 是的，不会丢，加壳前就这样的。你在ImportREC双击那项，将kernel32.GetModuleHandleA填进就行。 2006-8-7 20:36 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 5 楼最初由 kanxue* 发布* 是的，不会丢，加壳前就这样的。你在ImportREC双击那项，将kernel32.GetModuleHandleA填进就行。非常感谢您的指导,现在只剩下这样一种奇怪的情况 Import REC中 rva:0026B22C ptr:010D1CB8 转到OD-CPU 010D1CB8 mov eax,[10D7E18] // DWORD value: FFFFFFFF 010D1CBD retn ... ... 这种情况,这个失效调用该怎么修复呢?它不像刚才那个一样有标准函数指向,怎么办? 2006-8-7 20:52 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 6 楼开始说了，用插件，能找回来的。我猜可能是GetCurrentProcess 2006-8-7 21:48 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 7 楼最初由 kanxue* 发布* 开始说了，用插件，能找回来的。我猜可能是GetCurrentProcess 将插件放到OD的plugin目录下,重启OD,[插件]下好象还是没包含这个功能.会不会还需要ini文件?怎么写啊,到了紧要关头,只好打扰你了. 2006-8-8 08:39 0
whg3249 雪币： 210 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 142 粉丝 0 关注私信	whg3249 8 楼 ImportREC插件 2006-8-8 08:55 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 9 楼最初由 kanxue* 发布* 开始说了，用插件，能找回来的。我猜可能是GetCurrentProcess 另外我的壳是ASProtect,用ACProtect的插件行吗? 我才刚学一周,请大家不要笑我啊.多指导一下我. 2006-8-8 09:00 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 10 楼最初由 Rucit* 发布* 另外我的壳是ASProtect,用ACProtect的插件行吗? 我才刚学一周,请大家不要笑我啊.多指导一下我. 才一周就能搞定ASProtect，强～我说的插件ImportREC用的，ASProtect与ACProtect是完全不同的壳，处理IAT方式不同，不能通用。 2006-8-8 09:10 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 11 楼最初由 kanxue* 发布* 这个是 GetModuleHandleA函数，你可以ImportREC的ASPR插件识别出的。 http://www.pediy.com/tools/PE_tools/Rebuilder/Import%20REC/plugin/ACProtect%20%20.rar 坛主放的插件是ACProtect的 2006-8-8 09:37 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 12 楼谢谢大家,但是我现在还是没解决问题啊.55555555 2006-8-8 09:40 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 13 楼最初由 chinadev* 发布* 坛主放的插件是ACProtect的不好意思，我搞错了。 2006-8-8 09:42 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 14 楼最初由 kanxue* 发布* 不好意思，我搞错了。接下来我该怎么办,总不能半途而废啊.请大家热心帮忙,该用什么插件给我发一份.有什么好点子,指点一下,谢谢谢谢谢谢!!! 2006-8-8 10:08 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 15 楼最初由 Rucit* 发布* 接下来我该怎么办,总不能半途而废啊.请大家热心帮忙,该用什么插件给我发一份.有什么好点子,指点一下,谢谢谢谢谢谢!!! 你不是己修复IAT了吗？ ASProtect1.23可以用脱壳机试试 http://syd.nightmail.ru/stripper.dhtml 附件是ImportREC的ASProtect插件，释放到\Plugin 上传的附件： plugin.rar （11.80kb，3次下载） 2006-8-8 10:17 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 16 楼另外我用的就是：Import REConstructor v1.6F (C) 2001-2003 uCF 它目录下有一个plugin目录,是把它里面的内容拷到OD的plugin里吗?但是我试过好象没反应啊,OD上仍然没有显示这个插件. 最后,用这个工具与用它目录下的插件,在功能上真的有差别吗?难道插件就可以识别出那些隐含的API? 为了学习,我只好使命学、问.请大家一定要指导指导啊。谢谢谢谢谢谢!!! 2006-8-8 10:25 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 17 楼最初由 kanxue* 发布* 你不是己修复IAT了吗？ ASProtect1.23可以用脱壳机试试 http://syd.nightmail.ru/stripper.dhtml 附件是ImportREC的ASProtect插件，释放到\Plugin 谢谢您,已收到！也不一定是ASProtect1.23,用PEScan检测出可能是1.2x 2006-8-8 10:27 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 18 楼烤了过去，但是OllyDBG(版本V1.10)的[插件]下并未显示有此功能,是不是要写什么ini文件? 2006-8-8 10:40 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 19 楼哈哈,搞定！随便说一下我的解决方法: ImportREC中,[右击]失效函数-->Plugin Tracer --> ASProtect1.22 也就是说直接应用了ASProtect1.22把失效函数找了回来! 2006-8-8 10:53 0
李东国雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 273 粉丝 1 关注私信	李东国 20 楼 ImportREC插件怎么用啊？更菜的问题，呵呵 2006-8-8 20:58 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 21 楼最初由李东国* 发布* ImportREC插件怎么用啊？更菜的问题，呵呵直接用ImportREC就好了,它里面已附含了插件功能,不过有时需要你指明一下用哪个插件修复.自己试玩一下就知道了. 2006-8-9 11:13 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 22 楼晕,测试了一下,不报错,但是自动退出了,是不是有什么暗桩啊?暗桩一般都怎么解决呢?请高手们多多发言谢谢,...... 2006-8-9 16:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Rucit

发帖

108

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼这个是 GetModuleHandleA函数，你可以ImportREC的ASPR插件识别出的。 [搞错了，链接删除] 2006-8-7 20:23 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 3 楼最初由 kanxue* 发布* 这个是 GetModuleHandleA函数，你可以ImportREC的ASPR插件识别出的。 http://www.pediy.com/tools/PE_tools/Rebuilder/Import%20REC/plugin/ACProtect%20%20.rar 是不是说:在ImportREC中,直接将rva:0026B224 ptr:010D1C64 引向kernel32.GetModuleHandleA就行了?但是这样的话会不会丢了一些有用的信息呢? 2006-8-7 20:29 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼最初由 Rucit* 发布* 是不是说:在ImportREC中,直接将rva:0026B224 ptr:010D1C64 引向kernel32.GetModuleHandleA就行了?但是这样的话会不会丢了一些有用的信息呢? 是的，不会丢，加壳前就这样的。你在ImportREC双击那项，将kernel32.GetModuleHandleA填进就行。 2006-8-7 20:36 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 5 楼最初由 kanxue* 发布* 是的，不会丢，加壳前就这样的。你在ImportREC双击那项，将kernel32.GetModuleHandleA填进就行。非常感谢您的指导,现在只剩下这样一种奇怪的情况 Import REC中 rva:0026B22C ptr:010D1CB8 转到OD-CPU 010D1CB8 mov eax,[10D7E18] // DWORD value: FFFFFFFF 010D1CBD retn ... ... 这种情况,这个失效调用该怎么修复呢?它不像刚才那个一样有标准函数指向,怎么办? 2006-8-7 20:52 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 6 楼开始说了，用插件，能找回来的。我猜可能是GetCurrentProcess 2006-8-7 21:48 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 7 楼最初由 kanxue* 发布* 开始说了，用插件，能找回来的。我猜可能是GetCurrentProcess 将插件放到OD的plugin目录下,重启OD,[插件]下好象还是没包含这个功能.会不会还需要ini文件?怎么写啊,到了紧要关头,只好打扰你了. 2006-8-8 08:39 0
whg3249 雪币： 210 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 142 粉丝 0 关注私信	whg3249 8 楼 ImportREC插件 2006-8-8 08:55 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 9 楼最初由 kanxue* 发布* 开始说了，用插件，能找回来的。我猜可能是GetCurrentProcess 另外我的壳是ASProtect,用ACProtect的插件行吗? 我才刚学一周,请大家不要笑我啊.多指导一下我. 2006-8-8 09:00 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 10 楼最初由 Rucit* 发布* 另外我的壳是ASProtect,用ACProtect的插件行吗? 我才刚学一周,请大家不要笑我啊.多指导一下我. 才一周就能搞定ASProtect，强～我说的插件ImportREC用的，ASProtect与ACProtect是完全不同的壳，处理IAT方式不同，不能通用。 2006-8-8 09:10 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 11 楼最初由 kanxue* 发布* 这个是 GetModuleHandleA函数，你可以ImportREC的ASPR插件识别出的。 http://www.pediy.com/tools/PE_tools/Rebuilder/Import%20REC/plugin/ACProtect%20%20.rar 坛主放的插件是ACProtect的 2006-8-8 09:37 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 12 楼谢谢大家,但是我现在还是没解决问题啊.55555555 2006-8-8 09:40 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 13 楼最初由 chinadev* 发布* 坛主放的插件是ACProtect的不好意思，我搞错了。 2006-8-8 09:42 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 14 楼最初由 kanxue* 发布* 不好意思，我搞错了。接下来我该怎么办,总不能半途而废啊.请大家热心帮忙,该用什么插件给我发一份.有什么好点子,指点一下,谢谢谢谢谢谢!!! 2006-8-8 10:08 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 15 楼最初由 Rucit* 发布* 接下来我该怎么办,总不能半途而废啊.请大家热心帮忙,该用什么插件给我发一份.有什么好点子,指点一下,谢谢谢谢谢谢!!! 你不是己修复IAT了吗？ ASProtect1.23可以用脱壳机试试 http://syd.nightmail.ru/stripper.dhtml 附件是ImportREC的ASProtect插件，释放到\Plugin 上传的附件： plugin.rar （11.80kb，3次下载） 2006-8-8 10:17 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 16 楼另外我用的就是：Import REConstructor v1.6F (C) 2001-2003 uCF 它目录下有一个plugin目录,是把它里面的内容拷到OD的plugin里吗?但是我试过好象没反应啊,OD上仍然没有显示这个插件. 最后,用这个工具与用它目录下的插件,在功能上真的有差别吗?难道插件就可以识别出那些隐含的API? 为了学习,我只好使命学、问.请大家一定要指导指导啊。谢谢谢谢谢谢!!! 2006-8-8 10:25 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 17 楼最初由 kanxue* 发布* 你不是己修复IAT了吗？ ASProtect1.23可以用脱壳机试试 http://syd.nightmail.ru/stripper.dhtml 附件是ImportREC的ASProtect插件，释放到\Plugin 谢谢您,已收到！也不一定是ASProtect1.23,用PEScan检测出可能是1.2x 2006-8-8 10:27 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 18 楼烤了过去，但是OllyDBG(版本V1.10)的[插件]下并未显示有此功能,是不是要写什么ini文件? 2006-8-8 10:40 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 19 楼哈哈,搞定！随便说一下我的解决方法: ImportREC中,[右击]失效函数-->Plugin Tracer --> ASProtect1.22 也就是说直接应用了ASProtect1.22把失效函数找了回来! 2006-8-8 10:53 0
李东国雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 273 粉丝 1 关注私信	李东国 20 楼 ImportREC插件怎么用啊？更菜的问题，呵呵 2006-8-8 20:58 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 21 楼最初由李东国* 发布* ImportREC插件怎么用啊？更菜的问题，呵呵直接用ImportREC就好了,它里面已附含了插件功能,不过有时需要你指明一下用哪个插件修复.自己试玩一下就知道了. 2006-8-9 11:13 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 22 楼晕,测试了一下,不报错,但是自动退出了,是不是有什么暗桩啊?暗桩一般都怎么解决呢?请高手们多多发言谢谢,...... 2006-8-9 16:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复