-
-
[求助]帮忙看看如何脱 Version: ASProtect 2.3 SKE build 05.14 Beta [2]! 这个壳啊?(又有新问题了)
-
发表于: 2007-5-28 20:08
-
我是新手。
最近从网上下了个 WorkWin管理专家 6.091 感觉很好用
附上软件下载地址 http://www.newhua.com/soft/47030.htm
虽说好用 不过没注册限制多 而且只能用3小时 万恶啊
用PEiD0.94查 服务端的执行文件 得出是
ASProtect V2.X Registered -> Alexey Solodovnikov *
然后用插件verA 0.15 得到具体是 Version: ASProtect 2.3 SKE build 05.14 Beta [2]!
看样子壳的版本很新
于是我按照论坛上一些傻瓜脱ASProtect V2.X 的方法
运行Ollydbg 调用脚本Aspr2.XX_IATfixer_v2.2s.osc后 查看最后一段得到
iatstart_rva: 00001000
iatsize: 00000124
025402D8 断点位于 025402D8
OEP_rva: 000012E0
用ImportREC1.6f 经过一系列过程 最后已经提示没有无效的指针了 然后我修复转存了文件
遗憾的是无法运行 不晓得我是在那个地方出错了
望哪位高手帮忙解答下 谢谢~
最好是能把具体过程写一下 我想随便再学习下
软件下载地址http://www.newhua.com/soft/47030.htm
最近从网上下了个 WorkWin管理专家 6.091 感觉很好用
附上软件下载地址 http://www.newhua.com/soft/47030.htm
虽说好用 不过没注册限制多 而且只能用3小时 万恶啊
用PEiD0.94查 服务端的执行文件 得出是
ASProtect V2.X Registered -> Alexey Solodovnikov *
然后用插件verA 0.15 得到具体是 Version: ASProtect 2.3 SKE build 05.14 Beta [2]!
看样子壳的版本很新
于是我按照论坛上一些傻瓜脱ASProtect V2.X 的方法
运行Ollydbg 调用脚本Aspr2.XX_IATfixer_v2.2s.osc后 查看最后一段得到
iatstart_rva: 00001000
iatsize: 00000124
025402D8 断点位于 025402D8
OEP_rva: 000012E0
用ImportREC1.6f 经过一系列过程 最后已经提示没有无效的指针了 然后我修复转存了文件
遗憾的是无法运行 不晓得我是在那个地方出错了
望哪位高手帮忙解答下 谢谢~
最好是能把具体过程写一下 我想随便再学习下
软件下载地址http://www.newhua.com/soft/47030.htm
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
不好意思 我是新手 我运行了脚本后 记录数据的 和以前的教学文章不一样了 最后一段内容变了 我就不晓得怎么用这些数据 通过 Import Reconstructor 来修复 IAT了
 我把我查到的表的内容粘下来了 希望高手帮我解答下 我在运行了Import Reconstructor后该怎么做来修复IAT 谢谢 也许对于你们来说 我的问题可能很菜 但是我是初学 还是望解答下 我也好学习学习 万分感谢! 记录数据 地址 消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' Nonameo's ApiBreak Copyright (C) 2005 Nonameo Asm2Clipboard PlugIn v0.1 由 FaTmiKE 编写于 2oo4 我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断 ...非常感谢 Regon 所做的工作! 书签示范插件 v1.06 (插件演示) Copyright (C) 2001, 2002 Oleh Yuschuk CleanupEx v1.12.108 by Gigapede CommandBar v3.10.109c Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn 命令行 v1.10 Written by Oleh Yuschuk 超级拷贝插件 v0.90 by Regon GODUP 版本 1.2 by godfather+ - Delphi 版本 Hide Caption v1.00 by Gigapede 隐藏调试器 v1.2.3f Copyright (c) 2005 by Asterix IsDebugPresent plugin v1.4 (SV 2oo3) Labeler v1.33.108 by Gigapede Labelmaster 插件 v0.1 版权所有 (C) 2004 JoeStewart LoadMap version 0.1 by lgx/iPB loaded MapConv V1.4 - 作者 godfather+、TBD 和 SHaG MemoryManage beta Copyright (C) 2004 pLayAr 有任何建议请发邮件至 playar0709@21cn.net ODbgScript v1.51 by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3 OllyDump v3.00.110 by Gigapede OllyFlow 插件 v0.71 版权所有 (C) 2005 henryouly@pediy OllyHelper v1.3 by cygwin@smth OllyMachine v0.20 由罗聪编写 编译于2004年12月7日 14:32:15 OllyScript v0.92 由 SHaG 编写 OllyDbg PE Dumper v3.03 by FKMA 置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl> prince's TracKit 插件 V1.10 (beta) Copyright (C) 2004-2005 prince Handle UnhandledExceptionFilter 超级字串参考+ v0.11 罗聪创作/n曹聪汉化 编译于 Sep 20 2005 15:33:30 WatchMan v1.00 by Gigapede WindowInfos plugin for Olly - v 0.1 by DDM/FFF 窗口工具 OD插件 v0.06 BETA Coded by EsseEmme 已解析出 6384 个序号 已解析出 6442 个序号 文件 'C:\Documents and Settings\Administrator\桌面\workwinnt\管理端\WorkwinServer.exe' ID 00000354 的新进程已创建 00401000 ID 00000564 的主线程已创建 00400000 模块 C:\Documents and Settings\Administrator\桌面\workwinnt\管理端\WorkwinServer.exe 66000000 模块 C:\WINNT\system32\msvbvm60.dll 77990000 模块 C:\WINNT\system32\OLEAUT32.dll 77DF0000 模块 C:\WINNT\system32\USER32.dll 77E60000 模块 C:\WINNT\system32\kernel32.dll 77F40000 模块 C:\WINNT\system32\GDI32.dll 77F80000 模块 C:\WINNT\system32\ntdll.dll 786F0000 模块 C:\WINNT\system32\RPCRT4.dll 796D0000 模块 C:\WINNT\system32\ADVAPI32.dll 7CF00000 模块 C:\WINNT\system32\ole32.dll 75E00000 模块 C:\WINNT\system32\IMM32.DLL 6C330000 模块 C:\WINNT\system32\LPK.DLL 00401000 程序入口点 65D20000 模块 C:\WINNT\system32\USP10.dll 777E0000 模块 C:\WINNT\system32\version.dll 75950000 模块 C:\WINNT\system32\LZ32.DLL 74FD0000 模块 C:\WINNT\system32\wsock32.dll 74FB0000 模块 C:\WINNT\system32\WS2_32.DLL 78000000 模块 C:\WINNT\system32\MSVCRT.DLL 77E6ECB3 断点位于 kernel32.GetSystemTime 012AE5FE 访问违规: 正在写入到 [00000000] 012AC88E INT3 命令位于012AC88E 012AD6C6 访问违规: 正在写入到 [00000000] 012ADEA5 断点位于 012ADEA5 012ADDA0 断点位于 012ADDA0 012ADA11 访问违规: 正在写入到 [00000000] 012A39AA 断点位于 012A39AA 0127011A 断点位于 0127011A AsprAPIloc: 012B0634 012ADB5D 断点位于 012ADB5D 012AC1DA 硬件断点 1 位于 012AC1DA 012ADC76 断点位于 012ADC76 012ADCB2 断点位于 012ADCB2 012ADD19 断点位于 012ADD19 01270156 断点位于 01270156 01270034 断点位于 01270034 012AC88E INT3 命令位于012AC88E 0127ECEC 断点位于 0127ECEC 0127008D 断点位于 0127008D 01270024 断点位于 01270024 这版的 Asprotect 其 SDk API 总数 = 0000000D 012A3E7B 断点位于 012A3E7B 012ACE1C 硬件断点 1 位于 012ACE1C 025402D8 断点位于 025402D8 012707D9 断点位于 012707D9 0127003E 断点位于 0127003E 012700F2 断点位于 012700F2 01270030 断点位于 01270030 IAT 的地址 = 00401000 IAT 的相对地址 = 00001000 IAT 的大小 = 00000124 01270079 断点位于 01270079 OEP 的地址 = 004012E0 OEP 的相对地址 = 000012E0 |
|
|
|
|
|
|
|
|
我也是这个问题。
iatstart_rva: 00001000 iatsize: 00000124 025402D8 断点位于 025402D8 OEP_rva: 000012E0 和: IAT 的地址 = 00401000 IAT 的相对地址 = 00001000 IAT 的大小 = 00000124 01270079 断点位于 01270079 OEP 的地址 = 004012E0 OEP 的相对地址 = 000012E0 都代表什么意思呢???? 
|
|
|
是不是iatstart_rva和IAT的相对地址是一样的啊。只不过是脚本Aspr2.XX_IATfixer的版本不同显示不同而已啊。
|
|
|
|
|
|
|
|
|
|
|
|
|
