用By Pass ASProtect.2.3.06.26.OSC脚本,
OD载入
0043F1D0 . 6A 60 push 60
0043F1D2 . 68 004D4600 push 00464D00
0043F1D7 . E8 B8050000 call 0043F794
0043F1DC . BF 94000000 mov edi, 94
0043F1E1 . 8BC7 mov eax, edi
0043F1E3 . E8 88DBFFFF call 0043CD70
0043F1E8 . 8965 E8 mov [ebp-18], esp
0043F1EB . 8BF4 mov esi, esp
0043F1ED . 893E mov [esi], edi
0043F1EF . 56 push esi ; /pVersionInformation
0043F1F0 . FF15 7CE34500 call [45E37C] ; \GetVersionExA
0043F1F6 . 8B4E 10 mov ecx, [esi+10]
0043F1F9 . 890D 74914700 mov [479174], ecx
0043F1FF . 8B46 04 mov eax, [esi+4]
0043F202 . A3 80914700 mov [479180], eax
0043F207 . 8B56 08 mov edx, [esi+8]
0043F20A . 8915 84914700 mov [479184], edx
0043F210 . 8B76 0C mov esi, [esi+C]
0043F213 . 81E6 FF7F0000 and esi, 7FFF
0043F219 . 8935 78914700 mov [479178], esi
0043F21F . 83F9 02 cmp ecx, 2
0043F222 . 74 0C je short 0043F230
0043F224 . 81CE 00800000 or esi, 8000
0043F22A . 8935 78914700 mov [479178], esi
00401000 程序入口点
imgbase: 00400000
imgbasefromdisk: 00400000
tmp1: 004001F8
1stsecsize: 0005D000
1stsecbase: 00401000 | R2Hunter.<模块入口点>
tmp1: 004002C0 | ASCII ".adata"
lastsecsize: 00001000
lastsecbase: 00511000
isdll: 00000000
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
7C80176B 断点位于 kernel32.GetSystemTime
dllimgbase: 00AD0000
tmp4: 00B0F7F3
00B0FF66 访问违规: 正在写入到 [00000000]
00B0E2BA INT3 命令位于00B0E2BA
00B0F004 访问违规: 正在写入到 [00000000]
00B0F7F3 断点位于 00B0F7F3
thunkstop: 00B0F4B8
APIpoint3: 00B0DBFF
thunkpt: 00B04C5A
patch1: 00B049EC
tmp2: 0000003B
thunkdataloc: 00AD0200
tmp2: 00B0F6E0
tmp3: 0000DC68
crcpoint1: 00B0F6F4
00B0F6F4 断点位于 00B0F6F4
00B0F382 访问违规: 正在写入到 [00000000]
00B04C5A 断点位于 00B04C5A
ESIaddr: 00B40600
ESIpara1: 75375E3A
ESIpara2: 75385E3A
ESIpara3: 753A5E3A
ESIpara4: 74345E3A
nortype: 00000001
00AD0102 断点位于 00AD0102
tmp2: 00000001
tmp3: 0045E744
iatendaddr: 0045E748
iatstartaddr: 0045E000
iatstart_rva: 0005E000
patch3: 00B04B4F
00B0F4B8 断点位于 00B0F4B8
writept2: 00B0DC3E
tmp1: 00B0F673
tmp2: 00B0F69A
transit1: 00B0F69B
00B0DC3E 硬件断点 1 位于 00B0DC3E
EBXaddr: 00B40754
FF15flag: 000000CA
type1API: 00000001
00B100F9 硬件断点 1 位于 00B100F9
tmp2: 00B0C9FB
func1: call 00B0D528
func2: call 00B0C34C
func3: call 00B0D044
func4: call 00B0456C
v1.32: 00000000
v2.0x: 00000000
00AD0034 断点位于 00AD0034
E8count: 000000D9
SCafterAPIcount: 0000000E
tmp1: 00B0CC71
func1: call 00AD254C
func2: call 00AD6190
ori1: 00B12928
func3: call 00AE59E0
00AD09D8 断点位于 00AD09D8
00B0E2BA INT3 命令位于00B0E2BA
00ADED08 断点位于 00ADED08
00B058DF 断点位于 00B058DF
00B0E834 硬件断点 1 位于 00B0E834
iatstartaddr: 0045E000
iatstart_rva: 0005E000
iatsize: 0000074C
0043F1D0 当执行 [0043F1D0] 时设置内存断点
OEP_rva: 0003F1D0
脱壳后的文件用ImportREC修复
当前输入表:
11 (十进制:17) 个有效模块 (已添加: +11 (十进制:+17))
1C2 (十进制:450) 个输入函数. (已添加: +1C2 (十进制:+450))
---------------------------------------------------------------------------------------------------------------------------
修正转存文件...
11 (十进制:17) 个模块
1C2 (十进制:450) 个输入函数.
*** 成功添加了新节. RVA:00112000 大小:00002000
镜像输入表描述符大小: 154; 总共长度: 10D6
C:\Documents and Settings\oden\桌面\123\un_123_.exe 保存成功.
文件保存成功.
运行un_123_.exe就提示 un_123_.exe 遇到问题需要关闭。我们对此引起的不便表示抱歉。
[课程]FART 脱壳王!加量不加价!FART作者讲授!