-
-
脱ASProtect 2.3 SKE build 04.26遇到的难题
-
发表于: 2007-1-7 08:43
-
在贵论坛潜水一段时间,大部份的压缩壳已经可以用OD手脱了,开心ing...
尝试脱ASProtect 2.3 SKE build 04.26加壳的DLL,遇到难题了,以下是我的脱壳经过:
OD载入目标DLL后,运行Volx大侠的Aspr2.XX_IATfixer_v2.2s.osc脚本,哇卡卡,这个脚本就是牛,一下子就到达OEP,提示:IAT fixed.No stolen code the OEP!Check the address and IAT in log window.并DUMP下UN_XXXX.DLL。
用ImportREC修复,在OD的Log 窗口中有:
reloc_rva , reloc_size
iatstart_rva,iatsize
填RVA和大小时就不知填哪两个了,我自作主张选择了填iatstart_rva,iatsize,点Get Imports,函数全部有效,欣喜中
,Fix Dump。
Peid 查为:Microsoft Visual C++ 6.0 DLL,
扩展信息:
平均信息:7。13(压缩)
EP 检测:未压缩
快速检测:未压缩
试运行脱壳后文件,“无法注入”。用OD载入,F9,错误:“不知如何继续,因为内存地址05390000不可读,请尝试更改EIP或忽略程序异常。”
到这里就不知如何进行了,No stolen code 应该不用按教程说的补区段的吧?
那应该如何继续脱下去呢?望路过的大侠们指点迷津...
补充一下:ImportREC修复时,填RVA和大小,填reloc_rva , reloc_size ,函数只有一个:
+? FThunk:00271000 函数数:1494 (十进制:5268) 有效:否
Fix Dump 出来的DLL和上面所说的情况一样。
尝试脱ASProtect 2.3 SKE build 04.26加壳的DLL,遇到难题了,以下是我的脱壳经过:
OD载入目标DLL后,运行Volx大侠的Aspr2.XX_IATfixer_v2.2s.osc脚本,哇卡卡,这个脚本就是牛,一下子就到达OEP,提示:IAT fixed.No stolen code the OEP!Check the address and IAT in log window.并DUMP下UN_XXXX.DLL。
用ImportREC修复,在OD的Log 窗口中有:
reloc_rva , reloc_size
iatstart_rva,iatsize
填RVA和大小时就不知填哪两个了,我自作主张选择了填iatstart_rva,iatsize,点Get Imports,函数全部有效,欣喜中
,Fix Dump。Peid 查为:Microsoft Visual C++ 6.0 DLL,
扩展信息:
平均信息:7。13(压缩)
EP 检测:未压缩
快速检测:未压缩
试运行脱壳后文件,“无法注入”。用OD载入,F9,错误:“不知如何继续,因为内存地址05390000不可读,请尝试更改EIP或忽略程序异常。”
到这里就不知如何进行了,No stolen code 应该不用按教程说的补区段的吧?
那应该如何继续脱下去呢?望路过的大侠们指点迷津...
补充一下:ImportREC修复时,填RVA和大小,填reloc_rva , reloc_size ,函数只有一个:
+? FThunk:00271000 函数数:1494 (十进制:5268) 有效:否
Fix Dump 出来的DLL和上面所说的情况一样。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
顶一顶,
|
|
|
|
|
|
修复后还是一样的错误."不知如何继续,因为内存地址05390000不可读,请尝试更改EIP或忽略程序异常。"
是不是被壳偷走代码了?
|
|
|
Aspr2.XX_IATfixer_v2.2s 还是有 bug 的.
|
|
|
|
|
|
最初由 VolX 发布 脚本还是很完美的 遇到什么问题大家可以自己改下脚本的嘛 世界上没有万能的东西 |
|
|
|
