[原创]Aspr2.XX_unpacker_v1.0-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Aspr2.XX_unpacker_v1.0

发表于: 2007-1-17 21:14 333042

[原创]Aspr2.XX_unpacker_v1.0

VolX

2007-1-17 21:14

333042

查看主题内容

收藏・41

免费・7

支持

最新回复 (378) ◀ 1 2 3 4 5 6 7 8 9 10 ...16 ▶
lium 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 83 粉丝 0 关注私信	lium 76 楼大侠辛苦把脚本都写到这个份上了,你居然还不会用,好意思不? 自己也走两步,唉,走两步... 2007-1-19 12:22 0
korron 雪币： 152 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	korron 77 楼最初由 mervynlove* 发布* 根本就是个脱壳机了，还要教程自己先学会如何使用工具吧同意！感谢牛人们的作品！ 2007-1-19 12:39 0
rootkie 雪币： 79 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	rootkie 78 楼感谢楼主分享成果,期待续集:) 2007-1-19 12:56 0
csrcom 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	csrcom 79 楼牛人啊。。。。。。。。。。。。。。。。偷代码全部都搞定。。。。 2007-1-19 14:01 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 80 楼支持VOLX大侠! 2007-1-19 14:18 0
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 81 楼感谢老大的好东西 2007-1-19 14:34 0
ssarg 雪币： 459 活跃值： (657) 能力值： ( LV4，RANK：40 ) 在线值：发帖 63 回帖 484 粉丝 2 关注私信	ssarg 82 楼强。。。。。。。。。。。。。。 2007-1-19 15:17 0
supeer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	supeer 83 楼各位都是大虾，我想你们曾经也是由不会到会吧，如果有空就多多指点一下初学者，没空的话就不强求了。 2007-1-19 15:59 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 84 楼建议ＬＺ去学学基础。。 2007-1-19 16:05 0
supeer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	supeer 85 楼最初由 wyqzm* 发布* 用大侠的脚本走到OEP->Alt+L查看Log窗口->用IM填入Log提示的OEP入口及IAT's RVA和Size->获得输入表->脱壳程序选择脚本dump出来的de_xxxxxxx->完成,运行看看我晕,这是基本操作,大侠已在他的第一贴就说得很清楚. 这位大虾说得简单也明了，就是这个地方我还不是很明白，脱壳程序选择脚本dump出来的de_xxxxxxx-> 我说说我的情况：用OD 执行脚本成功后，你的文件夹会出现 un_xxxxx.exe跟着->Alt+L查看Log窗口->用ImpREC填入Log提示的OEP入口及IAT's RVA和Size->获得输入表->修复有错函数后（如果没有，就省略这步）->修复转存文件，它会提示你打开un_xxxxx.exe文件进行修复和保存为un_xxxxx_.exe 跟着就可以运行了该文件了，我的情况就是这样，不知道对不对，我也初学者。 2007-1-19 16:07 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 86 楼最初由 supeer* 发布* 各位都是大虾，我想你们曾经也是由不会到会吧，如果有空就多多指点一下初学者，没空的话就不强求了。 1.Ollydbg 1.1 2.Odbgscript 1.47 或以上的版本（OD插件，一般集成OD都有） 3.Import Reconstructor 运行Ollydbg打开目标程序，单击OD菜单“插件/Odbgscript/运行脚本”，打开VolX这个脚本：Aspr2.XX_unpacker_v1.0SC.osc 然后按着脚本提示操作就可。脚本跑完，会在目标软件的目录生成一个de_文件名.exe，OD的记录窗口（按Alt＋L）打开显示了OEP，IAT等信息，如： IAT 的地址 = 00405000 IAT 的相对地址 = 00005000 IAT 的大小 = 000000BC 00A70042 断点位于 00A70042 OEP 的地址 = 00401D2B OEP 的相对地址 = 00001D2B 接下来，你再用Import Reconstructor修复输入表即可，最后Fix Dump时选中de_文件名.exe. 这个脚本很强大，相当于一个脱壳机了，感谢VolX！ 2007-1-19 16:10 0
supeer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	supeer 87 楼和我一致，看来我没做错。 2007-1-19 16:23 0
孤城雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	孤城 88 楼哈哈没事走两步走两步然后你就知道这个东东是如何强大到让你吃惊的地步了感谢牛人们! 2007-1-19 17:18 0
fengxiaoyo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fengxiaoyo 89 楼我用OG运行脚本后,直接停留到OEP了,然后通过IMPORT EC修复IAT后,用PEID检查,确实脱壳脱掉了,但是当程序运行后,还是ASPROTECT的提示框出来,好像脱壳不干净,我脱EXE的,确实没有问题,很完美!哪个大哥能帮我看看,为什么脱DLL的壳脱不干净呢,DLL下载地址 http://61.128.162.243/ast.rar 谢谢各位大哥的照顾,小弟出来报道,谢谢你们的支持!如果能完美脱壳的,能告诉一下方法嘛,各位大哥!我想了解原理!谢谢! 2007-1-19 19:05 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 90 楼强力顶一个...... 2007-1-19 20:22 0
niufq 雪币： 228 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	niufq 1 91 楼太不可思意!! 2007-1-19 21:12 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 92 楼只能膜拜!!! 2007-1-19 22:08 0
distance 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	distance 93 楼坛主真好啊，都说到这份上了，连我这个初学的都看明白了。谢谢坛主 2007-1-20 01:46 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 94 楼 VolX大侠辛苦了，VolX侠为破解界创告奇迹 2007-1-20 03:53 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 95 楼我想知道的是，我们用脚本运行，修复输入表后，得到的这个PE文件的OEP为什么一开始就是一个Jmp。我试过好多个程序，结果都是这样，这个Jmp是啥东西呢而且我看到输入表好像没有修复好呢？ 2007-1-20 11:36 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 96 楼最初由 binbinbin* 发布* 我想知道的是，我们用脚本运行，修复输入表后，得到的这个PE文件的OEP为什么一开始就是一个Jmp。我试过好多个程序，结果都是这样，这个Jmp是啥东西呢而且我看到输入表好像没有修复好呢？ stolen oep 2007-1-20 12:20 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 97 楼遇到偷代码也能自动搞定么? 2007-1-21 13:27 0
flyfoxkilo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	flyfoxkilo 98 楼谢。。。就一个字。。。。 2007-1-21 17:39 0
backboy 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 0 关注私信	backboy 99 楼强烈支持 2007-1-21 19:27 0
MARCH 雪币： 207 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	MARCH 1 100 楼谢谢两个字。厉害 2007-1-21 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

VolX

发帖

107

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (378) ◀ 1 2 3 4 5 6 7 8 9 10 ...16 ▶
lium 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 83 粉丝 0 关注私信	lium 76 楼大侠辛苦把脚本都写到这个份上了,你居然还不会用,好意思不? 自己也走两步,唉,走两步... 2007-1-19 12:22 0
korron 雪币： 152 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 0 关注私信	korron 77 楼最初由 mervynlove* 发布* 根本就是个脱壳机了，还要教程自己先学会如何使用工具吧同意！感谢牛人们的作品！ 2007-1-19 12:39 0
rootkie 雪币： 79 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	rootkie 78 楼感谢楼主分享成果,期待续集:) 2007-1-19 12:56 0
csrcom 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	csrcom 79 楼牛人啊。。。。。。。。。。。。。。。。偷代码全部都搞定。。。。 2007-1-19 14:01 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 80 楼支持VOLX大侠! 2007-1-19 14:18 0
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 81 楼感谢老大的好东西 2007-1-19 14:34 0
ssarg 雪币： 459 活跃值： (657) 能力值： ( LV4，RANK：40 ) 在线值：发帖 63 回帖 484 粉丝 2 关注私信	ssarg 82 楼强。。。。。。。。。。。。。。 2007-1-19 15:17 0
supeer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	supeer 83 楼各位都是大虾，我想你们曾经也是由不会到会吧，如果有空就多多指点一下初学者，没空的话就不强求了。 2007-1-19 15:59 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 84 楼建议ＬＺ去学学基础。。 2007-1-19 16:05 0
supeer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	supeer 85 楼最初由 wyqzm* 发布* 用大侠的脚本走到OEP->Alt+L查看Log窗口->用IM填入Log提示的OEP入口及IAT's RVA和Size->获得输入表->脱壳程序选择脚本dump出来的de_xxxxxxx->完成,运行看看我晕,这是基本操作,大侠已在他的第一贴就说得很清楚. 这位大虾说得简单也明了，就是这个地方我还不是很明白，脱壳程序选择脚本dump出来的de_xxxxxxx-> 我说说我的情况：用OD 执行脚本成功后，你的文件夹会出现 un_xxxxx.exe跟着->Alt+L查看Log窗口->用ImpREC填入Log提示的OEP入口及IAT's RVA和Size->获得输入表->修复有错函数后（如果没有，就省略这步）->修复转存文件，它会提示你打开un_xxxxx.exe文件进行修复和保存为un_xxxxx_.exe 跟着就可以运行了该文件了，我的情况就是这样，不知道对不对，我也初学者。 2007-1-19 16:07 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 86 楼最初由 supeer* 发布* 各位都是大虾，我想你们曾经也是由不会到会吧，如果有空就多多指点一下初学者，没空的话就不强求了。 1.Ollydbg 1.1 2.Odbgscript 1.47 或以上的版本（OD插件，一般集成OD都有） 3.Import Reconstructor 运行Ollydbg打开目标程序，单击OD菜单“插件/Odbgscript/运行脚本”，打开VolX这个脚本：Aspr2.XX_unpacker_v1.0SC.osc 然后按着脚本提示操作就可。脚本跑完，会在目标软件的目录生成一个de_文件名.exe，OD的记录窗口（按Alt＋L）打开显示了OEP，IAT等信息，如： IAT 的地址 = 00405000 IAT 的相对地址 = 00005000 IAT 的大小 = 000000BC 00A70042 断点位于 00A70042 OEP 的地址 = 00401D2B OEP 的相对地址 = 00001D2B 接下来，你再用Import Reconstructor修复输入表即可，最后Fix Dump时选中de_文件名.exe. 这个脚本很强大，相当于一个脱壳机了，感谢VolX！ 2007-1-19 16:10 0
supeer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	supeer 87 楼和我一致，看来我没做错。 2007-1-19 16:23 0
孤城雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	孤城 88 楼哈哈没事走两步走两步然后你就知道这个东东是如何强大到让你吃惊的地步了感谢牛人们! 2007-1-19 17:18 0
fengxiaoyo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fengxiaoyo 89 楼我用OG运行脚本后,直接停留到OEP了,然后通过IMPORT EC修复IAT后,用PEID检查,确实脱壳脱掉了,但是当程序运行后,还是ASPROTECT的提示框出来,好像脱壳不干净,我脱EXE的,确实没有问题,很完美!哪个大哥能帮我看看,为什么脱DLL的壳脱不干净呢,DLL下载地址 http://61.128.162.243/ast.rar 谢谢各位大哥的照顾,小弟出来报道,谢谢你们的支持!如果能完美脱壳的,能告诉一下方法嘛,各位大哥!我想了解原理!谢谢! 2007-1-19 19:05 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 90 楼强力顶一个...... 2007-1-19 20:22 0
niufq 雪币： 228 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	niufq 1 91 楼太不可思意!! 2007-1-19 21:12 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 92 楼只能膜拜!!! 2007-1-19 22:08 0
distance 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	distance 93 楼坛主真好啊，都说到这份上了，连我这个初学的都看明白了。谢谢坛主 2007-1-20 01:46 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 94 楼 VolX大侠辛苦了，VolX侠为破解界创告奇迹 2007-1-20 03:53 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 95 楼我想知道的是，我们用脚本运行，修复输入表后，得到的这个PE文件的OEP为什么一开始就是一个Jmp。我试过好多个程序，结果都是这样，这个Jmp是啥东西呢而且我看到输入表好像没有修复好呢？ 2007-1-20 11:36 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 96 楼最初由 binbinbin* 发布* 我想知道的是，我们用脚本运行，修复输入表后，得到的这个PE文件的OEP为什么一开始就是一个Jmp。我试过好多个程序，结果都是这样，这个Jmp是啥东西呢而且我看到输入表好像没有修复好呢？ stolen oep 2007-1-20 12:20 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 97 楼遇到偷代码也能自动搞定么? 2007-1-21 13:27 0
flyfoxkilo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	flyfoxkilo 98 楼谢。。。就一个字。。。。 2007-1-21 17:39 0
backboy 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 0 关注私信	backboy 99 楼强烈支持 2007-1-21 19:27 0
MARCH 雪币： 207 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	MARCH 1 100 楼谢谢两个字。厉害 2007-1-21 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复