首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]脱ASProtect的壳时遇到的问题,请各位高手帮忙看看? 0.00雪花
发表于: 2007-4-7 00:04 5198

[旧帖] [求助]脱ASProtect的壳时遇到的问题,请各位高手帮忙看看? 0.00雪花

walebin 活跃值
2007-4-7 00:04
5198
软件介绍:Lofty Video Joiner 一个视频合成软件
加壳方式:ASProtect 2.1x SKE -> Alexey Solodovnikov
         运行OD,加载VolX大哥的pr2.xx_IAT_fixer_v2.2s 脚本脱壳,得文件un_Lofty Video Joiner.exe,脱壳记录如下:

00400000  卸载 C:\Program Files\Lofty Video Joiner\Lofty Video Joiner.exe
01600000  卸载 C:\Program Files\KV2006\KVHookG.dll
5ADC0000  卸载 C:\WINDOWS\system32\uxtheme.dll
5D170000  卸载 C:\WINDOWS\system32\comctl32.dll
62C20000  卸载 C:\WINDOWS\system32\LPK.DLL
71A10000  卸载 C:\WINDOWS\system32\WS2HELP.dll
71A20000  卸载 C:\WINDOWS\system32\WS2_32.dll
71A40000  卸载 C:\WINDOWS\system32\wsock32.dll
73620000  卸载 C:\WINDOWS\system32\msdmo.dll
73640000  卸载 C:\WINDOWS\system32\msctfime.ime
73FA0000  卸载 C:\WINDOWS\system32\USP10.dll
76060000  卸载 C:\WINDOWS\system32\setupapi.dll
76300000  卸载 C:\WINDOWS\system32\IMM32.DLL
76320000  卸载 C:\WINDOWS\system32\comdlg32.dll
765E0000  卸载 C:\WINDOWS\system32\CRYPT32.dll
76990000  卸载 C:\WINDOWS\system32\ole32.dll
76B10000  卸载 C:\WINDOWS\system32\WINMM.dll
76C00000  卸载 C:\WINDOWS\system32\WINTRUST.dll
76C60000  卸载 C:\WINDOWS\system32\IMAGEHLP.dll
76DB0000  卸载 C:\WINDOWS\system32\MSASN1.dll
76FA0000  卸载 C:\WINDOWS\system32\CLBCATQ.DLL
77020000  卸载 C:\WINDOWS\system32\COMRes.dll
770F0000  卸载 C:\WINDOWS\system32\oleaut32.dll
77180000  卸载 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
773A0000  卸载 C:\WINDOWS\system32\shell32.dll
77BD0000  卸载 C:\WINDOWS\system32\version.dll
77BE0000  卸载 C:\WINDOWS\system32\msvcrt.dll
77D10000  卸载 C:\WINDOWS\system32\user32.dll
77DA0000  卸载 C:\WINDOWS\system32\advapi32.dll
77E50000  卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000  卸载 C:\WINDOWS\system32\GDI32.dll
77F40000  卸载 C:\WINDOWS\system32\SHLWAPI.dll
7C800000  卸载 C:\WINDOWS\system32\kernel32.dll
7C920000  卸载 C:\WINDOWS\system32\ntdll.dll
7CF70000  卸载 C:\WINDOWS\system32\quartz.dll
操作完成

??C:\WINDOWS\system32\ole32.dll
76B10000   模块 C:\WINDOWS\system32\WINMM.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
773A0000   模块 C:\WINDOWS\system32\shell32.dll
77BD0000   模块 C:\WINDOWS\system32\version.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\user32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7CF70000   模块 C:\WINDOWS\system32\quartz.dll
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
00401000   程序入口点
           imgbase: 00400000 | ASCII "MZP"
           imgbasefromdisk: 00400000 | ASCII "MZP"
           tmp1: 004001F8
           1stsecsize: 000E9000
           1stsecbase: 00401000 | Lofty_Vi.<模块入口点>
           tmp1: 00400360 | ASCII ".adata"
           lastsecsize: 00001000
           lastsecbase: 005B8000
           isdll: 00000000
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
7C80176B   断点位于 kernel32.GetSystemTime
           dllimgbase: 00F70000
           tmp4: 00F9F7D3
00FA0781   访问违规: 正在写入到 [00000000]
00F9FDEF   访问违规: 正在写入到 [00000000]
00FA0023   访问违规: 正在写入到 [00000000]
00FA0183   访问违规: 正在写入到 [00000000]
00F9DB8A   访问违规: 正在写入到 [00000000]
00F9DCB4   访问违规: 正在写入到 [00000000]
00F9DF3F   访问违规: 正在写入到 [00000000]
00F9DFEF   访问违规: 正在写入到 [00000000]
00FA024C   访问违规: 正在写入到 [00000000]
00FA03C4   访问违规: 正在写入到 [00000000]
00FA05A7   访问违规: 正在写入到 [00000000]
00F9C73A   INT3 命令位于00F9C73A
00F9D492   访问违规: 正在写入到 [00000000]
00F9D5CE   访问违规: 正在写入到 [00000000]
00F9D74E   访问违规: 正在写入到 [00000000]
00F9E3DE   访问违规: 正在写入到 [00000000]
00F9F762   访问违规: 正在写入到 [00000000]
00F9F7D3   断点位于 00F9F7D3
           thunkstop: 00F9EE06
           APIpoint3: 00F9BA93
           thunkpt: 00F97895
           patch1: 00F975F4
           tmp2: 0000003B
           thunkdataloc: 00F70200
           tmp2: 00F9F524
           tmp3: 000035FF
00F9EA55   访问违规: 正在写入到 [00000000]
00F97895   断点位于 00F97895
           ESIaddr: 00FD0D84
           ESIpara1: 75375E3A
           ESIpara2: 75385E3A
           ESIpara3: 753A5E3A
           ESIpara4: 74345E3A
           nortype: 00000001
00F70102   断点位于 00F70102
           tmp2: 00000004
           tmp3: 004EE948
           iatendaddr: 004EE958
           iatstartaddr: 004EE1B8
           iatstart_rva: 000EE1B8
           patch3: 00F97757
00F9E72E   访问违规: 正在写入到 [00000000]
00F9EDCF   访问违规: 正在写入到 [00000000]
00F9EE06   断点位于 00F9EE06
           writept2: 00F9BAD2
           tmp1: 00F9F4B7
           tmp2: 00F9F4DD
           transit1: 00F9F4DE
00F9BAD2   硬件断点 1 位于 00F9BAD2
           EBXaddr: 00FD0ED4
           FF15flag: 000000A0
           type1API: 00000001
00F9F00D   访问违规: 正在写入到 [00000000]
00F9F25A   访问违规: 正在写入到 [00000000]
00F9F37A   访问违规: 正在写入到 [00000000]
00F9F46F   访问违规: 正在写入到 [00000000]
00F9F4DE   断点位于 00F9F4DE
           tmp2: 00F9A71B
           func1: CALL 00F9B338
           func2: CALL 00F9A0C4
           func3: CALL 00F9ADEC
           func4: CALL 00F97174
           v1.32: 00000000
           v2.0x: 00000000
00F70034   断点位于 00F70034
           E8count: 00000044
00FA08E3   访问违规: 正在写入到 [00000000]
00FA095A   访问违规: 正在写入到 [00000000]
00FA0A5F   访问违规: 正在写入到 [00000000]
00FA0B2B   访问违规: 正在写入到 [00000000]
00FA0D5E   访问违规: 正在写入到 [00000000]
00FA0F62   访问违规: 正在写入到 [00000000]
00F9C73A   INT3 命令位于00F9C73A
00F7DDE4   断点位于 00F7DDE4
00F9E1F0   访问违规: 正在写入到 [00000000]
00F9FAA5   访问违规: 正在写入到 [00000000]
00F97D67   断点位于 00F97D67
00F9CCB4   硬件断点 1 位于 00F9CCB4
           iatstartaddr: 004EE1B8
           iatstart_rva: 000EE1B8
           iatsize: 000007A4
012003A4   断点位于 012003A4
           OEP_rva: 000E9784
5ADC0000   模块 C:\WINDOWS\system32\uxtheme.dll
73640000   模块 C:\WINDOWS\system32\msctfime.ime
5EFE0000   模块 C:\WINDOWS\system32\olepro32.dll
76FA0000   模块 C:\WINDOWS\system32\CLBCATQ.DLL
77020000   模块 C:\WINDOWS\system32\COMRes.dll
10000000   模块 C:\PROGRA~1\LOFTYV~1\VIDEOE~1.OCX
086D0000   模块 C:\WINDOWS\system32\WMVCore.DLL
070D0000   模块 C:\WINDOWS\system32\WMASF.DLL
6C370000   模块 C:\PROGRA~1\LOFTYV~1\MFC42.DLL
73B40000   模块 C:\WINDOWS\system32\MSVFW32.dll
01600000   模块 C:\Program Files\KV2006\KVHookG.dll
61BE0000   模块 C:\WINDOWS\system32\MFC42LOC.DLL
7C810856   ID 00000A1C 的新线程已创建
74CF0000   模块 C:\WINDOWS\system32\mlang.dll
75AF0000   模块 C:\WINDOWS\system32\devenum.dll
76060000   模块 C:\WINDOWS\system32\setupapi.dll
76C00000   模块 C:\WINDOWS\system32\WINTRUST.dll
765E0000   模块 C:\WINDOWS\system32\CRYPT32.dll
76DB0000   模块 C:\WINDOWS\system32\MSASN1.dll
76C60000   模块 C:\WINDOWS\system32\IMAGEHLP.dll
73620000   模块 C:\WINDOWS\system32\msdmo.dll
019F0000   模块 C:\WINDOWS\system32\wmvdmoe.dll
095F0000   模块 C:\WINDOWS\system32\qasf.dll
77BB0000   模块 C:\WINDOWS\system32\msacm32.dll
580E0000   模块 C:\WINDOWS\system32\imaadp32.acm
72C60000   模块 C:\WINDOWS\system32\msadp32.acm
57FF0000   模块 C:\WINDOWS\system32\msg711.acm
57FC0000   模块 C:\WINDOWS\system32\msgsm32.acm
57F90000   模块 C:\WINDOWS\system32\tssoft32.acm
73AE0000   模块 C:\WINDOWS\system32\tsd32.dll
57FD0000   模块 C:\WINDOWS\system32\msg723.acm
58000000   模块 C:\WINDOWS\system32\msaud32.acm
57FA0000   模块 C:\WINDOWS\system32\sl_anet.acm
01EE0000   模块 C:\WINDOWS\system32\l3codeca.acm
57E60000   模块 C:\WINDOWS\system32\iac25_32.ax
01F70000   模块 C:\WINDOWS\system32\vorbis.acm
01890000   模块 C:\WINDOWS\system32\vct3216.acm
020B0000   模块 C:\WINDOWS\system32\vct3216.dll
02900000   模块 C:\WINDOWS\system32\msms001.vwp
02D70000   模块 C:\WINDOWS\system32\mvoice.vwp
01890000   卸载 C:\WINDOWS\system32\vct3216.acm
01EE0000   卸载 C:\WINDOWS\system32\l3codeca.acm
01F70000   卸载 C:\WINDOWS\system32\vorbis.acm
020B0000   卸载 C:\WINDOWS\system32\vct3216.dll
02900000   卸载 C:\WINDOWS\system32\msms001.vwp
02D70000   卸载 C:\WINDOWS\system32\mvoice.vwp
57E60000   卸载 C:\WINDOWS\system32\iac25_32.ax
57F90000   卸载 C:\WINDOWS\system32\tssoft32.acm
57FA0000   卸载 C:\WINDOWS\system32\sl_anet.acm
57FC0000   卸载 C:\WINDOWS\system32\msgsm32.acm
57FD0000   卸载 C:\WINDOWS\system32\msg723.acm
57FF0000   卸载 C:\WINDOWS\system32\msg711.acm
58000000   卸载 C:\WINDOWS\system32\msaud32.acm
580E0000   卸载 C:\WINDOWS\system32\imaadp32.acm
72C60000   卸载 C:\WINDOWS\system32\msadp32.acm
73AE0000   卸载 C:\WINDOWS\system32\tsd32.dll
77BB0000   卸载 C:\WINDOWS\system32\msacm32.dll
07E60000   模块 C:\WINDOWS\system32\wmspdmoe.dll
69A20000   模块 C:\WINDOWS\system32\qedit.dll
6DB90000   模块 C:\WINDOWS\system32\d3drm.dll
736D0000   模块 C:\WINDOWS\system32\DDRAW.dll
6DB90000   卸载 C:\WINDOWS\system32\d3drm.dll
736D0000   卸载 C:\WINDOWS\system32\DDRAW.dll
           线程 00000A1C 已终止, 退出代码 0
5EFE0000   卸载 C:\WINDOWS\system32\olepro32.dll
070D0000   卸载 C:\WINDOWS\system32\WMASF.DLL
086D0000   卸载 C:\WINDOWS\system32\WMVCore.DLL
10000000   卸载 C:\PROGRA~1\LOFTYV~1\VIDEOE~1.OCX
61BE0000   卸载 C:\WINDOWS\system32\MFC42LOC.DLL
6C370000   卸载 C:\PROGRA~1\LOFTYV~1\MFC42.DLL
69A20000   卸载 C:\WINDOWS\system32\qedit.dll
73B40000   卸载 C:\WINDOWS\system32\MSVFW32.dll
07E60000   卸载 C:\WINDOWS\system32\wmspdmoe.dll
019F0000   卸载 C:\WINDOWS\system32\wmvdmoe.dll
095F0000   卸载 C:\WINDOWS\system32\qasf.dll
75AF0000   卸载 C:\WINDOWS\system32\devenum.dll
74CF0000   卸载 C:\WINDOWS\system32\mlang.dll
           进程已终止, 退出代码 0

用Import Reconstructor修复输入表,OEP:000E9784,RVA:000EE1B8,size: 000007A4,get import,通过修复,最后CUT,并Fix Dump时选un_Lofty Video Joiner.exe。但是得到的文件不能运行,出现错误“错误签名”,请大侠们帮帮,给予指正!
我不能发布附件,请大家多多包涵!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
ceety
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
不懂,帮顶一下.
2007-4-7 04:18
0
ceety
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
继续帮你顶一下.
2007-4-7 04:18
0
vinsonbb
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我也不懂。帮顶一下
2007-4-7 16:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//