首页
社区
课程
招聘
[求助]帮忙看看如何脱 Version: ASProtect 2.3 SKE build 05.14 Beta [2]! 这个壳啊?(又有新问题了)
发表于: 2007-5-28 20:08 8448

[求助]帮忙看看如何脱 Version: ASProtect 2.3 SKE build 05.14 Beta [2]! 这个壳啊?(又有新问题了)

2007-5-28 20:08
8448
我是新手。
最近从网上下了个 WorkWin管理专家 6.091 感觉很好用
附上软件下载地址 http://www.newhua.com/soft/47030.htm

虽说好用 不过没注册限制多 而且只能用3小时 万恶啊

用PEiD0.94查 服务端的执行文件 得出是
         
ASProtect V2.X Registered -> Alexey Solodovnikov   *

然后用插件verA 0.15 得到具体是 Version: ASProtect 2.3 SKE build 05.14 Beta [2]!

看样子壳的版本很新

于是我按照论坛上一些傻瓜脱ASProtect V2.X 的方法

运行Ollydbg 调用脚本Aspr2.XX_IATfixer_v2.2s.osc后 查看最后一段得到
      

      iatstart_rva: 00001000
           iatsize: 00000124
025402D8   断点位于 025402D8
           OEP_rva: 000012E0

         

用ImportREC1.6f 经过一系列过程 最后已经提示没有无效的指针了 然后我修复转存了文件

遗憾的是无法运行 不晓得我是在那个地方出错了

望哪位高手帮忙解答下 谢谢~

最好是能把具体过程写一下 我想随便再学习下
软件下载地址http://www.newhua.com/soft/47030.htm

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 47147
活跃值: (20380)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
用这个脚本:

VolX的Aspr2.XX_unpacker_v1.0
2007-5-28 20:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
[QUOTE=kanxue;315521]用这个脚本:

VolX的Aspr2.XX_unpacker_v1.0[/QUOTE]

谢谢 坛主大人
2007-5-28 20:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不好意思 我是新手 我运行了脚本后 记录数据的 和以前的教学文章不一样了 最后一段内容变了 我就不晓得怎么用这些数据     通过 Import Reconstructor 来修复 IAT了
我把我查到的表的内容粘下来了 希望高手帮我解答下 我在运行了Import Reconstructor后该怎么做来修复IAT  谢谢
也许对于你们来说 我的问题可能很菜 但是我是初学 还是望解答下 我也好学习学习 万分感谢!

记录数据
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           Nonameo's ApiBreak
             Copyright (C) 2005 Nonameo
           Asm2Clipboard PlugIn v0.1
             由 FaTmiKE 编写于 2oo4
             我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
             ...非常感谢 Regon 所做的工作!
           书签示范插件 v1.06 (插件演示)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.10.109c
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
           命令行 v1.10
             Written by Oleh Yuschuk
           超级拷贝插件 v0.90 by Regon

           GODUP 版本 1.2 by godfather+ - Delphi 版本

           Hide Caption v1.00  by Gigapede
           隐藏调试器 v1.2.3f
             Copyright (c) 2005 by Asterix
           IsDebugPresent plugin v1.4 (SV 2oo3)
           Labeler v1.33.108  by Gigapede
           Labelmaster 插件 v0.1
             版权所有 (C) 2004 JoeStewart
           LoadMap version 0.1 by lgx/iPB loaded
           MapConv V1.4 - 作者 godfather+、TBD 和 SHaG
           MemoryManage beta
             Copyright (C) 2004 pLayAr
             有任何建议请发邮件至 playar0709@21cn.net
           ODbgScript v1.51
             by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3
           OllyDump v3.00.110  by Gigapede
           OllyFlow 插件 v0.71
             版权所有 (C) 2005 henryouly@pediy
           OllyHelper v1.3 by cygwin@smth
           OllyMachine v0.20
             由罗聪编写
             编译于2004年12月7日 14:32:15
           OllyScript v0.92
             由 SHaG 编写
           OllyDbg PE Dumper  v3.03 by FKMA
           置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET
             Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl>
           prince's TracKit 插件 V1.10 (beta)
           Copyright (C) 2004-2005 prince
           Handle UnhandledExceptionFilter
           超级字串参考+ v0.11
             罗聪创作/n曹聪汉化
             编译于 Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
           WindowInfos plugin for Olly - v 0.1
           by DDM/FFF
           窗口工具 OD插件 v0.06 BETA
             Coded by EsseEmme
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'C:\Documents and Settings\Administrator\桌面\workwinnt\管理端\WorkwinServer.exe'
           ID 00000354 的新进程已创建
00401000   ID 00000564 的主线程已创建
00400000   模块 C:\Documents and Settings\Administrator\桌面\workwinnt\管理端\WorkwinServer.exe
66000000   模块 C:\WINNT\system32\msvbvm60.dll
77990000   模块 C:\WINNT\system32\OLEAUT32.dll
77DF0000   模块 C:\WINNT\system32\USER32.dll
77E60000   模块 C:\WINNT\system32\kernel32.dll
77F40000   模块 C:\WINNT\system32\GDI32.dll
77F80000   模块 C:\WINNT\system32\ntdll.dll
786F0000   模块 C:\WINNT\system32\RPCRT4.dll
796D0000   模块 C:\WINNT\system32\ADVAPI32.dll
7CF00000   模块 C:\WINNT\system32\ole32.dll
75E00000   模块 C:\WINNT\system32\IMM32.DLL
6C330000   模块 C:\WINNT\system32\LPK.DLL
00401000   程序入口点
65D20000   模块 C:\WINNT\system32\USP10.dll
777E0000   模块 C:\WINNT\system32\version.dll
75950000   模块 C:\WINNT\system32\LZ32.DLL
74FD0000   模块 C:\WINNT\system32\wsock32.dll
74FB0000   模块 C:\WINNT\system32\WS2_32.DLL
78000000   模块 C:\WINNT\system32\MSVCRT.DLL
77E6ECB3   断点位于 kernel32.GetSystemTime
012AE5FE   访问违规: 正在写入到 [00000000]
012AC88E   INT3 命令位于012AC88E
012AD6C6   访问违规: 正在写入到 [00000000]
012ADEA5   断点位于 012ADEA5
012ADDA0   断点位于 012ADDA0
012ADA11   访问违规: 正在写入到 [00000000]
012A39AA   断点位于 012A39AA
0127011A   断点位于 0127011A
           AsprAPIloc: 012B0634
012ADB5D   断点位于 012ADB5D
012AC1DA   硬件断点 1 位于 012AC1DA
012ADC76   断点位于 012ADC76
012ADCB2   断点位于 012ADCB2
012ADD19   断点位于 012ADD19
01270156   断点位于 01270156
01270034   断点位于 01270034
012AC88E   INT3 命令位于012AC88E
0127ECEC   断点位于 0127ECEC
0127008D   断点位于 0127008D
01270024   断点位于 01270024
           这版的 Asprotect 其 SDk API 总数 = 0000000D
012A3E7B   断点位于 012A3E7B
012ACE1C   硬件断点 1 位于 012ACE1C
025402D8   断点位于 025402D8
012707D9   断点位于 012707D9
0127003E   断点位于 0127003E
012700F2   断点位于 012700F2
01270030   断点位于 01270030
           IAT 的地址 = 00401000
           IAT 的相对地址 = 00001000
           IAT 的大小 = 00000124
01270079   断点位于 01270079
           OEP 的地址 = 004012E0
           OEP 的相对地址 = 000012E0
2007-5-28 23:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
麻烦大家在看看 指点下 谢谢
2007-5-29 12:05
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
请问下 这段数据   
           IAT 的地址 = 00401000
           IAT 的相对地址 = 00001000
           IAT 的大小 = 00000124
01270079   断点位于 01270079
           OEP 的地址 = 004012E0
           OEP 的相对地址 = 000012E0

用Import Reconstructor修复的 时候OEP 那栏填004012E0

IAT的地址那栏填00401000         IAT 的大小 那栏填00000124

对不对? 是不是应该填相对地址?
2007-5-29 19:46
0
雪    币: 236
活跃值: (16)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
我也是这个问题。
iatstart_rva: 00001000
           iatsize: 00000124
025402D8   断点位于 025402D8
           OEP_rva: 000012E0
和:
IAT 的地址 = 00401000
           IAT 的相对地址 = 00001000
           IAT 的大小 = 00000124
01270079   断点位于 01270079
           OEP 的地址 = 004012E0
           OEP 的相对地址 = 000012E0
都代表什么意思呢????
2007-7-28 17:10
0
雪    币: 236
活跃值: (16)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
是不是iatstart_rva和IAT的相对地址是一样的啊。只不过是脚本Aspr2.XX_IATfixer的版本不同显示不同而已啊。
2007-7-28 17:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
用坛主提示的VolX的Aspr2.XX_unpacker_v1.0
修复IAT时,先自动查找、获取,转存时,修改OEP成脚本提示的OEP地址
2007-7-28 17:13
0
雪    币: 270
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
用相对地址就可以了
2007-10-15 16:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
壳脱了 如何破解呢?
2007-10-15 19:23
0
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
楼上的仁兄手脱了??  不容易啊,这两天我快被这个壳子搞疯了,只怪自己无能吧!   能不能给我们几个没有解决的和坛子上所有的兄弟们写个脱文,细点的,深表感谢
2007-11-7 03:16
0
游客
登录 | 注册 方可回帖
返回
//