[求助]Asprotect2.XX IAT v2.2S脱壳后的修复-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]Asprotect2.XX IAT v2.2S脱壳后的修复

发表于: 2006-10-14 19:10 6302

[求助]Asprotect2.XX IAT v2.2S脱壳后的修复

今生缘

2006-10-14 19:10

6302

用VolX大侠的 Asprotect2.XX IAT v2.2S脚本，脱壳后的文件用ImportREC修复（选择一个活动进程选的是安装原程序，就是要脱壳的进程）
点自动查找IAT 出现窗口显示

在此 OEP 处未能找到任何有用信息！

在点获取输入表显示如下

当前输入表:
0 (10进制:0) 个有效模块
72 (10进制:114) 个输入函数.
(72 (10进制:114) 个未解决的指针)

转储到文件显示
IAT 仍然无效你必须手工修复所有未解决的指针

正在修复转储文件...
17 (10进制:23) 个模块
72 (10进制:114) 个输入函数.
(72 (10进制:114) 个未解决的指针)
*** 新区段成功添加. RVA:000CF000 大小:00001000
映像输入表描述符大小: 0; 总长度: 1E0
C:\Documents and Settings\Administrator\桌面\un_XXXXX_.exe 保存成功.

但程序还是不行运行

请问下这要怎么解决呢

原程序的加壳为
ASProtect V2.X Registered -> Alexey Solodovnikov *

运行脚本后的un_XXXXX.EXE程序用PEID校验为
Microsoft Visual C++ 6.0

但我知道这个程序是Microsoft Visual C++ 7.0 编写的，为什么运行脚本后DUMP出现的却是Microsoft Visual C++ 6.0编写的呢？不解望高手解答下，非常感谢

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (15)
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 2 楼高手帮忙一下啊俺是菜鸟 2006-10-15 12:42 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 3 楼运行脚本后，log窗口最下边有oep，iatstartadr和iatsize,在用ImportREC_fix16修复。 2006-10-15 15:00 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 4 楼最初由飞扬发布运行脚本后，log窗口最下边有oep，iatstartadr和iatsize,在用ImportREC_fix16修复。 OD窗口左边最下面显示的是OEP_rva:00043B8A7 没有您说的iatstrartadr 和 iatsize 2006-10-15 15:08 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 5 楼 ALT+l快捷键 2006-10-15 16:34 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 6 楼最初由飞扬发布 ALT+l快捷键所先谢谢您的回复，但请见谅，刚开始什么都不懂还请多多指教。ALT+l快捷键显示如下，想请问下如何修复才可以使程序能成功运行，请指教谢谢窗口工具 OD插件 v0.06 BETA Coded by EsseEmme 已解析出 6384 个序号已解析出 6442 个序号控制台文件 'F:\xxxxx.exe' ID 00000820 的新进程已创建 00401000 ID 0000021C 的主线程已创建 00400000 模块 F:\xxxxx.exe CRC 已更改, 正在放弃 .udd 数据 5D170000 模块 C:\WINDOWS\system32\COMCTL32.dll 71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll 71A20000 模块 C:\WINDOWS\system32\WS2_32.dll 71A40000 模块 C:\WINDOWS\system32\wsock32.dll 72F70000 模块 C:\WINDOWS\system32\winspool.drv 76320000 模块 C:\WINDOWS\system32\comdlg32.dll 76990000 模块 C:\WINDOWS\system32\ole32.dll 770F0000 模块 C:\WINDOWS\system32\oleaut32.dll 77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll 77D10000 模块 C:\WINDOWS\system32\user32.dll 77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll 77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll 77EF0000 模块 C:\WINDOWS\system32\GDI32.dll 77F60000 模块 C:\WINDOWS\system32\SHLWAPI.dll 7C800000 模块 C:\WINDOWS\system32\kernel32.dll 7C920000 模块 C:\WINDOWS\system32\ntdll.dll 7D590000 模块 C:\WINDOWS\system32\SHELL32.dll 隐藏调试器 76300000 模块 C:\WINDOWS\system32\IMM32.DLL 62C20000 模块 C:\WINDOWS\system32\LPK.DLL 73FA0000 模块 C:\WINDOWS\system32\USP10.dll 00401000 程序入口点 imgbase: 00400000 imgbasefromdisk: 00400000 tmp1: 004001F8 1stsecsize: 0005B000 1stsecbase: 00401000 \| xxxxx.<模块入口点> tmp1: 004002C0 \| ASCII ".adata" lastsecsize: 00001000 lastsecbase: 004CD000 isdll: 00000000 77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 77BD0000 模块 C:\WINDOWS\system32\version.dll 7C80176B 断点位于 kernel32.GetSystemTime dllimgbase: 00A20000 tmp4: 00A5F7F3 00A5FF66 访问违规: 正在写入到 [00000000] 00A5E2BA INT3 命令位于00A5E2BA 00A5F004 访问违规: 正在写入到 [00000000] 00A5F7F3 断点位于 00A5F7F3 thunkstop: 00A5F4B8 APIpoint3: 00A5DBFF thunkpt: 00A54C5A patch1: 00A549EC tmp2: 0000003B thunkdataloc: 00A20200 tmp2: 00A5F6E0 tmp3: 0000DC68 crcpoint1: 00A5F6F4 00A5F6F4 断点位于 00A5F6F4 00A5F382 访问违规: 正在写入到 [00000000] 00A54C5A 断点位于 00A54C5A ESIaddr: 00A90600 ESIpara1: 75375E3A ESIpara2: 75385E3A ESIpara3: 753A5E3A ESIpara4: 74345E3A nortype: 00000001 00A20102 断点位于 00A20102 tmp2: 00000001 tmp3: 0045C56C \| ASCII ":LD}" iatendaddr: 0045C570 iatstartaddr: 0045C000 iatstart_rva: 0005C000 patch3: 00A54B4F 00A5F4B8 断点位于 00A5F4B8 writept2: 00A5DC3E tmp1: 00A5F673 tmp2: 00A5F69A transit1: 00A5F69B 00A5DC3E 硬件断点 1 位于 00A5DC3E EBXaddr: 00A90754 FF15flag: 000000C2 type1API: 00000001 00A5F69B 断点位于 00A5F69B tmp2: 00A5C9FB func1: CALL 00A5D528 func2: CALL 00A5C34C func3: CALL 00A5D044 func4: CALL 00A5456C v1.32: 00000000 v2.0x: 00000000 00A20034 断点位于 00A20034 E8count: 000000CA 00A5E2BA INT3 命令位于00A5E2BA 00A2ED08 断点位于 00A2ED08 00A558DF 断点位于 00A558DF 00A5E834 硬件断点 1 位于 00A5E834 iatstartaddr: 0045C000 iatstart_rva: 0005C000 iatsize: 00000574 01C101EB 断点位于 01C101EB OEP_rva: 0003B8A7 2006-10-15 18:43 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 7 楼高手请帮忙啊…… 2006-10-16 18:49 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 8 楼 iatstartaddr: 0045C000 iatstart_rva: 0005C000 //RAV地址地址1 iatsize: 00000574 //大小地址2 01C101EB 断点位于 01C101EB OEP_rva: 0003B8A7 //OEP地址地址3 分别填到 Import 然后修复还有无效的剪切看看？ 2006-10-16 19:27 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 9 楼谢谢您的解答，我现在上传图片你帮忙看看需要怎么样修复，我按你说的只有一个有效，附件为运行VolX 大侠的Asprotect2.XX IAT v2.2S脚本后自动脱的文件，压缩成两个分卷需两个都下才可解压上传的附件： un_xxxxxx.part1.rar （263.67kb，10次下载） 2006-10-17 18:44 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 10 楼这是第二个压缩包，请哪位大侠帮帮菜鸟啊…… 上传的附件： un_xxxxxx.part2.rar （259.80kb，4次下载） 2006-10-17 20:14 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 11 楼我也搞了一天了还是没有解决啊，哪位兄弟下载的解决没有啊 2006-10-18 14:12 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 12 楼我看你图片好象修复错了进程？你选种的是你脱壳后的进程？应该修复没脱壳的？ 2006-10-18 14:15 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 13 楼最初由 bestchao* 发布* 我看你图片好象修复错了进程？你选种的是你脱壳后的进程？应该修复没脱壳的？选没有脱壳的把上面的OEP等填入不能找到OEP啊…… 2006-10-18 15:16 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 14 楼原程序下载连接发出来帮你看看 2006-10-18 15:54 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 15 楼最初由 bestchao* 发布* 原程序下载连接发出来帮你看看我在桌面上打的压缩包直接叫桌面没有改名地址如下 http://mercuryd.chinamofile.com/7047031359519668/8520644149646190/10/6F22E83BF99E6E63DD5A0BDE02F29D60/桌面.rar 包括原文件，与我运行脚本所脱文件，修复文件（修复的文件不能运行）还有 OD运行脚本后的LOG信息我修复的文法（不能是否正确）我按有壳的修复指针都是有效显示的是，里面有图片，但还是不能运行，请帮忙看下我是哪里错了，非常感谢 2006-10-19 14:27 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 16 楼请问下载帮我看下没有，我的是什么问题没有解决对呢……谢谢 2006-10-20 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

今生缘

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 2 楼高手帮忙一下啊俺是菜鸟 2006-10-15 12:42 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 3 楼运行脚本后，log窗口最下边有oep，iatstartadr和iatsize,在用ImportREC_fix16修复。 2006-10-15 15:00 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 4 楼最初由飞扬发布运行脚本后，log窗口最下边有oep，iatstartadr和iatsize,在用ImportREC_fix16修复。 OD窗口左边最下面显示的是OEP_rva:00043B8A7 没有您说的iatstrartadr 和 iatsize 2006-10-15 15:08 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 5 楼 ALT+l快捷键 2006-10-15 16:34 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 6 楼最初由飞扬发布 ALT+l快捷键所先谢谢您的回复，但请见谅，刚开始什么都不懂还请多多指教。ALT+l快捷键显示如下，想请问下如何修复才可以使程序能成功运行，请指教谢谢窗口工具 OD插件 v0.06 BETA Coded by EsseEmme 已解析出 6384 个序号已解析出 6442 个序号控制台文件 'F:\xxxxx.exe' ID 00000820 的新进程已创建 00401000 ID 0000021C 的主线程已创建 00400000 模块 F:\xxxxx.exe CRC 已更改, 正在放弃 .udd 数据 5D170000 模块 C:\WINDOWS\system32\COMCTL32.dll 71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll 71A20000 模块 C:\WINDOWS\system32\WS2_32.dll 71A40000 模块 C:\WINDOWS\system32\wsock32.dll 72F70000 模块 C:\WINDOWS\system32\winspool.drv 76320000 模块 C:\WINDOWS\system32\comdlg32.dll 76990000 模块 C:\WINDOWS\system32\ole32.dll 770F0000 模块 C:\WINDOWS\system32\oleaut32.dll 77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll 77D10000 模块 C:\WINDOWS\system32\user32.dll 77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll 77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll 77EF0000 模块 C:\WINDOWS\system32\GDI32.dll 77F60000 模块 C:\WINDOWS\system32\SHLWAPI.dll 7C800000 模块 C:\WINDOWS\system32\kernel32.dll 7C920000 模块 C:\WINDOWS\system32\ntdll.dll 7D590000 模块 C:\WINDOWS\system32\SHELL32.dll 隐藏调试器 76300000 模块 C:\WINDOWS\system32\IMM32.DLL 62C20000 模块 C:\WINDOWS\system32\LPK.DLL 73FA0000 模块 C:\WINDOWS\system32\USP10.dll 00401000 程序入口点 imgbase: 00400000 imgbasefromdisk: 00400000 tmp1: 004001F8 1stsecsize: 0005B000 1stsecbase: 00401000 \| xxxxx.<模块入口点> tmp1: 004002C0 \| ASCII ".adata" lastsecsize: 00001000 lastsecbase: 004CD000 isdll: 00000000 77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 77BD0000 模块 C:\WINDOWS\system32\version.dll 7C80176B 断点位于 kernel32.GetSystemTime dllimgbase: 00A20000 tmp4: 00A5F7F3 00A5FF66 访问违规: 正在写入到 [00000000] 00A5E2BA INT3 命令位于00A5E2BA 00A5F004 访问违规: 正在写入到 [00000000] 00A5F7F3 断点位于 00A5F7F3 thunkstop: 00A5F4B8 APIpoint3: 00A5DBFF thunkpt: 00A54C5A patch1: 00A549EC tmp2: 0000003B thunkdataloc: 00A20200 tmp2: 00A5F6E0 tmp3: 0000DC68 crcpoint1: 00A5F6F4 00A5F6F4 断点位于 00A5F6F4 00A5F382 访问违规: 正在写入到 [00000000] 00A54C5A 断点位于 00A54C5A ESIaddr: 00A90600 ESIpara1: 75375E3A ESIpara2: 75385E3A ESIpara3: 753A5E3A ESIpara4: 74345E3A nortype: 00000001 00A20102 断点位于 00A20102 tmp2: 00000001 tmp3: 0045C56C \| ASCII ":LD}" iatendaddr: 0045C570 iatstartaddr: 0045C000 iatstart_rva: 0005C000 patch3: 00A54B4F 00A5F4B8 断点位于 00A5F4B8 writept2: 00A5DC3E tmp1: 00A5F673 tmp2: 00A5F69A transit1: 00A5F69B 00A5DC3E 硬件断点 1 位于 00A5DC3E EBXaddr: 00A90754 FF15flag: 000000C2 type1API: 00000001 00A5F69B 断点位于 00A5F69B tmp2: 00A5C9FB func1: CALL 00A5D528 func2: CALL 00A5C34C func3: CALL 00A5D044 func4: CALL 00A5456C v1.32: 00000000 v2.0x: 00000000 00A20034 断点位于 00A20034 E8count: 000000CA 00A5E2BA INT3 命令位于00A5E2BA 00A2ED08 断点位于 00A2ED08 00A558DF 断点位于 00A558DF 00A5E834 硬件断点 1 位于 00A5E834 iatstartaddr: 0045C000 iatstart_rva: 0005C000 iatsize: 00000574 01C101EB 断点位于 01C101EB OEP_rva: 0003B8A7 2006-10-15 18:43 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 7 楼高手请帮忙啊…… 2006-10-16 18:49 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 8 楼 iatstartaddr: 0045C000 iatstart_rva: 0005C000 //RAV地址地址1 iatsize: 00000574 //大小地址2 01C101EB 断点位于 01C101EB OEP_rva: 0003B8A7 //OEP地址地址3 分别填到 Import 然后修复还有无效的剪切看看？ 2006-10-16 19:27 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 9 楼谢谢您的解答，我现在上传图片你帮忙看看需要怎么样修复，我按你说的只有一个有效，附件为运行VolX 大侠的Asprotect2.XX IAT v2.2S脚本后自动脱的文件，压缩成两个分卷需两个都下才可解压上传的附件： un_xxxxxx.part1.rar （263.67kb，10次下载） 2006-10-17 18:44 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 10 楼这是第二个压缩包，请哪位大侠帮帮菜鸟啊…… 上传的附件： un_xxxxxx.part2.rar （259.80kb，4次下载） 2006-10-17 20:14 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 11 楼我也搞了一天了还是没有解决啊，哪位兄弟下载的解决没有啊 2006-10-18 14:12 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 12 楼我看你图片好象修复错了进程？你选种的是你脱壳后的进程？应该修复没脱壳的？ 2006-10-18 14:15 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 13 楼最初由 bestchao* 发布* 我看你图片好象修复错了进程？你选种的是你脱壳后的进程？应该修复没脱壳的？选没有脱壳的把上面的OEP等填入不能找到OEP啊…… 2006-10-18 15:16 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 14 楼原程序下载连接发出来帮你看看 2006-10-18 15:54 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 15 楼最初由 bestchao* 发布* 原程序下载连接发出来帮你看看我在桌面上打的压缩包直接叫桌面没有改名地址如下 http://mercuryd.chinamofile.com/7047031359519668/8520644149646190/10/6F22E83BF99E6E63DD5A0BDE02F29D60/桌面.rar 包括原文件，与我运行脚本所脱文件，修复文件（修复的文件不能运行）还有 OD运行脚本后的LOG信息我修复的文法（不能是否正确）我按有壳的修复指针都是有效显示的是，里面有图片，但还是不能运行，请帮忙看下我是哪里错了，非常感谢 2006-10-19 14:27 0
今生缘雪币： 17 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 70 粉丝 0 关注私信	今生缘 16 楼请问下载帮我看下没有，我的是什么问题没有解决对呢……谢谢 2006-10-20 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复