-
-
[旧帖] 脱ASProtect 1.35 build 04.25 or 06.26 Release [Extract]过程及遇到的问题[讨论] 0.00雪花
-
发表于: 2007-5-15 03:49
-
[旧帖] 脱ASProtect 1.35 build 04.25 or 06.26 Release [Extract]过程及遇到的问题[讨论] 0.00雪花
2007-5-15 03:49
脱ASProtect 1.35 build 04.25 or 06.26 Release [Extract]过程及遇到的问题
脱的是Evilotus v1.3.2的主程序。用OD载入,用Aspr2.XX_IATfixer_v2.2s.osc脚本修复,到达入口点00E40227注释中地址为000495C00,用LOADPE完全脱壳,随后用ImportREC选择进程,OEP填00095C00,ALT+L发现atstartaddr: 004B217C, iatsize: 00000728,在RVA中填入000B217C,大小为00000728,获得输入表,右键跟踪插件ASPR1.22修复失效指针,抓取脱壳的dumped.exe修复完成。
OD中ALT+M,如图所示
在这个地方我就迷糊了,不知道F2下段应该从什么地方下才好,我从009E0000到0013D0000全部下段,然后F9运行并反复ALT+M和F9循环查看使用的区段知道程序运行,找到如下24个区段
009E0000
00E40000
00E60000
00E90000
00EB0000
00EDC000
00EF4000
01050000
01070000
01080000
01090000
010A0000
010D0000
01170000
01180000
011A0000
01210000
01220000
01230000
01270000
01280000
01290000
013C0000
013D0000
用LOADPE将这些区段DUMP出来,关闭OD,再用LOADPE载入修复后的DUMPED_.EXE将24个区段按顺序补好,并依次减去400000修改虚拟地址保存确定。这个时候理应用OD去除壳的自检验即可,可是我用OD载入的时候OD提示无法运行此文件,我尝试REBUILD之后仍旧提示无法运行此文件,在上述环节的操作中,比如虚拟地址大小啊,区段啊什么的我检查了多次,均未发现错误,不知道是不是我当初F2下段地址有错,还请各位能帮我一下,看看我哪个地方出错了。
软件下载地址:http://www.ybjh.org/soft/el.rar
解压密码为www.ybjh.org
脱的是Evilotus v1.3.2的主程序。用OD载入,用Aspr2.XX_IATfixer_v2.2s.osc脚本修复,到达入口点00E40227注释中地址为000495C00,用LOADPE完全脱壳,随后用ImportREC选择进程,OEP填00095C00,ALT+L发现atstartaddr: 004B217C, iatsize: 00000728,在RVA中填入000B217C,大小为00000728,获得输入表,右键跟踪插件ASPR1.22修复失效指针,抓取脱壳的dumped.exe修复完成。
OD中ALT+M,如图所示
在这个地方我就迷糊了,不知道F2下段应该从什么地方下才好,我从009E0000到0013D0000全部下段,然后F9运行并反复ALT+M和F9循环查看使用的区段知道程序运行,找到如下24个区段
009E0000
00E40000
00E60000
00E90000
00EB0000
00EDC000
00EF4000
01050000
01070000
01080000
01090000
010A0000
010D0000
01170000
01180000
011A0000
01210000
01220000
01230000
01270000
01280000
01290000
013C0000
013D0000
用LOADPE将这些区段DUMP出来,关闭OD,再用LOADPE载入修复后的DUMPED_.EXE将24个区段按顺序补好,并依次减去400000修改虚拟地址保存确定。这个时候理应用OD去除壳的自检验即可,可是我用OD载入的时候OD提示无法运行此文件,我尝试REBUILD之后仍旧提示无法运行此文件,在上述环节的操作中,比如虚拟地址大小啊,区段啊什么的我检查了多次,均未发现错误,不知道是不是我当初F2下段地址有错,还请各位能帮我一下,看看我哪个地方出错了。
软件下载地址:http://www.ybjh.org/soft/el.rar
解压密码为www.ybjh.org
