有PEID查 是ASProtect 2.3 SKE build 04.26 Beta [3]的
用OD载入 手工找OEP 搞了几次都没找到 没办法技术太菜了
不过有 Linex 的脚本
用OD载入
00401000 > 68 01305801 push 01583001 入口
00401005 E8 01000000 call 0040100B
0040100A C3 retn
0040100B C3 retn
0040100C BF 77D2A67C mov edi, 7CA6D277
00401011 15 4883F44F adc eax, 4FF48348
00401016 79 1F jns short 00401037
00401018 EC in al, dx
00401019 8AF9 mov bh, cl
0040101B AB stos dword ptr es:[edi]
0040101C 3A94A0 DBFCDFD7 cmp dl, [eax+D7DFFCDB]
00401023 E3 FF jecxz short 00401024
00401025 238D A8B15E16 and ecx, [ebp+165EB1A8]
0040102B B4 41 mov ah, 41
0040102D 28BB 29CB851E sub [ebx+1E85CB29], bh
设置好 异常 然后直接运行脚本了
005C5247 E8 781BE4FF call 00406DC4 停在这里 OEP
005C524C E8 73F3FFFF call 005C45C4
005C5251 E8 A2F6E3FF call 004048F8
005C5256 8BC0 mov eax, eax
005C5258 0000 add [eax], al
005C525A 0000 add [eax], al
005C525C 0000 add [eax], al
005C525E 0000 add [eax], al
005C5260 60 pushad
005C5261 8BB5 98FBFFFF mov esi, [ebp-468]
005C5267 83C6 60 add esi, 60
005C526A 33C9 xor ecx, ecx
005C526C 90 nop
005C526D 90 nop
005C526E 66:41 inc cx
005C5270 46 inc esi
打开 LordPE.EXE DUMP了
用ucfir16f修复 IAT 显示全部成功
运行一下 一点反应也没有
用OD载入 跟到这里
00406D00 $ E8 FB927402 call 02B50000 这里
00406D05 D6 db D6
00406D06 8BC0 mov eax, eax
00406D08 $- FF25 24335D00 jmp [<&kernel32.LocalAlloc>] ; kernel32.LocalAlloc
00406D0E 8BC0 mov eax, eax
00406D10 $- FF25 20335D00 jmp [<&kernel32.TlsGetValue>] ; kernel32.TlsGetValue
00406D16 8BC0 mov eax, eax
00406D18 $- FF25 1C335D00 jmp [<&kernel32.TlsSetValue>] ; kernel32.TlsSetValue
00406D1E 8BC0 mov eax, eax
00406D20 /$ 50 push eax ; /Size
00406D21 |. 6A 40 push 40 ; |Flags = LPTR
00406D23 |. E8 E0FFFFFF call <jmp.&kernel32.LocalAlloc> ; \LocalAlloc
00406D28 \. C3 retn
00406D29 8D40 00 lea eax, [eax]
00406D2C /$ B8 14000000 mov eax, 14
00406D31 \. C3 retn
00406D00 $ E8 FB927402 call 02B50000
在这里跟进去是空白的
重新打开LORDPE
Dump 了这一段Region02B50000-02B51000
然后加了上去 修IAT
运行 还是一点反应都没有
后来多次跟进 发现从02B50000到02F51000都会被调用
真晕
白搞了半天
哪位能指点一下错 误在哪 小弟感激不尽
[课程]FART 脱壳王!加量不加价!FART作者讲授!
