ID Application Protector 1.2 unpacked Cracked
软件是一个简单的加壳程序,源程序下载地址如下,
download :
http://www.idsecuritysuite.com/files/idapplicationprotectorsetup.exe
程序保护方式:
ASProtect 2.1x SKE -> Alexey Solodovnikov [Overlay]
使用Volx大侠的Aspr Unpacker 1.0脚本,顺利脱壳,按照记录中的 IAT 参数修复输入表,全部有效。
OEP: 000A319C IATRVA: 000A817C IATSize: 0000071C
修复后加上附加数据(注意:本人未加附加数据,程序也能正常运行,具体不知道附加数据在此的作用。)
在此脱壳完毕。
提示:如果用od抓取的文件修复后无法运行,请使用pe编辑工具更正pe头大小为1000,便可正常。
爆破关键点:
方法一:
004A26FA |> \8B86 C0030000 mov eax, [esi+3C0]
004A2700 |. E8 5FC8FFFF call iii_.0049EF64 ;此处关键调用,可以直接修改为mov a1,1
004A2705 |. 3C 01 cmp al, 1
004A2707 |. 0F85 82000000 jnz iii_.004A278F
004A270D |. 84DB test bl, bl
004A270F |. 75 7E jnz short iii_.004A278F
004A2711 |. 33D2 xor edx, edx
004A2713 |. 8B86 18040000 mov eax, [esi+418]
004A2719 |. E8 32A6FAFF call iii_.0044CD50
即为:
004A26FA |> \8B86 C0030000 mov eax, [esi+3C0]
004A2700 B0 01 mov al, 1
004A2702 90 nop
004A2703 90 nop
004A2704 90 nop
004A2705 |. 3C 01 cmp al, 1
004A2707 |. 0F85 82000000 jnz iii_.004A278F
004A270D |. 84DB test bl, bl
004A270F |. 75 7E jnz short iii_.004A278F
004A2711 |. 33D2 xor edx, edx
004A2713 |. 8B86 18040000 mov eax, [esi+418]
004A2719 |. E8 32A6FAFF call iii_.0044CD50
方法二:
004A26FA 8B86 C0030000 mov eax, [esi+3C0]
004A2700 E8 5FC8FFFF call iii_.0049EF64
004A2705 3C 01 cmp al, 1
004A2707 0F85 82000000 jnz iii_.004A278F ;此处关键跳转,nop掉便可。
004A270D 84DB test bl, bl
004A270F |. 75 7E jnz short iii_.004A278F
当然也可以跟入 004A2700 E8 5FC8FFFF call iii_.0049EF64 进行修改。
附件含输入表目录树文件,脱壳后未破解文件(为了给大家方便连手),脱壳后已破解文件。
[课程]FART 脱壳王!加量不加价!FART作者讲授!
