PEiD 0.94检测结果:
ASProtect 2.1x SKE -> Alexey Solodovnikov
用OD打开程序,提示:
模块'Beprg'的快速统计报告表明其代码段可能被压缩, 加密, 或包含大量的嵌入数据. 代码分析将是非常不可靠或完全错误的. 您仍要继续分析吗?
点击“否”
运行脚本 Aspr2.XX_IATfixer_v2.2s.osc
提示:Fix call xxxxxxxx now?
点击“是”
提示:IAT fixed. Stolen code start, check the address and size of IAT in log window
点击“确定”
最后提示:脚本执行完毕,确认
按Ctrl+L, 窗口显示:
地址 消息
00401000 程序入口点
imgbase: 00400000
imgbasefromdisk: 00400000
tmp1: 00400220
1stsecsize: 003A5000
1stsecbase: 00401000 | Beprg.<模块入口点>
tmp1: 00400338 | ASCII ".adata"
lastsecsize: 00001000
lastsecbase: 00AEA000
isdll: 00000000
7C80176B 断点位于 kernel32.GetSystemTime
dllimgbase: 01A90000
tmp4: 01ABF7D3
01AC0781 访问违规: 正在写入到 [00000000]
01ABFDEF 访问违规: 正在写入到 [00000000]
01AC0023 访问违规: 正在写入到 [00000000]
01AC0183 访问违规: 正在写入到 [00000000]
01ABDB8A 访问违规: 正在写入到 [00000000]
01ABDCB4 访问违规: 正在写入到 [00000000]
01ABDF3F 访问违规: 正在写入到 [00000000]
01ABDFEF 访问违规: 正在写入到 [00000000]
01AC024C 访问违规: 正在写入到 [00000000]
01AC03C4 访问违规: 正在写入到 [00000000]
01AC05A7 访问违规: 正在写入到 [00000000]
01ABC73A INT3 命令位于01ABC73A
01ABD492 访问违规: 正在写入到 [00000000]
01ABD5CE 访问违规: 正在写入到 [00000000]
01ABD74E 访问违规: 正在写入到 [00000000]
01ABE3DE 访问违规: 正在写入到 [00000000]
01ABF762 访问违规: 正在写入到 [00000000]
01ABF7D3 断点位于 01ABF7D3
thunkstop: 01ABEE06
APIpoint3: 01ABBA93
thunkpt: 01AB7895
patch1: 01AB75F4
tmp2: 0000003B
thunkdataloc: 01A90200
tmp2: 01ABF524
tmp3: 000035FF
01ABEA55 访问违规: 正在写入到 [00000000]
01ABEB3C 访问违规: 正在写入到 [00000000]
01AB7895 断点位于 01AB7895
ESIaddr: 01AF0D84
ESIpara1: 75375E3A
ESIpara2: 75385E3A
ESIpara3: 753A5E3A
ESIpara4: 74345E3A
nortype: 00000001
01A90102 断点位于 01A90102
tmp2: 00000001
tmp3: 0086E944
iatendaddr: 0086E948
iatstartaddr: 0086C578
iatstart_rva: 0046C578
patch3: 01AB7757
01ABE72E 访问违规: 正在写入到 [00000000]
01ABEDCF 访问违规: 正在写入到 [00000000]
01ABEE06 断点位于 01ABEE06
writept2: 01ABBAD2
tmp1: 01ABF4B7
tmp2: 01ABF4DD
transit1: 01ABF4DE
01ABBAD2 硬件断点 1 位于 01ABBAD2
EBXaddr: 01AF0ED4
FF15flag: 00000053
type1API: 00000001
01ABF00D 访问违规: 正在写入到 [00000000]
01ABF25A 访问违规: 正在写入到 [00000000]
01ABF37A 访问违规: 正在写入到 [00000000]
01ABF46F 访问违规: 正在写入到 [00000000]
01ABF4DE 断点位于 01ABF4DE
tmp2: 01ABA71B
func1: call 01ABB338
func2: call 01ABA0C4
func3: call 01ABADEC
func4: call 01AB7174
v1.32: 00000000
v2.0x: 00000000
01A90034 断点位于 01A90034
E8count: 00000154
01AC08E3 访问违规: 正在写入到 [00000000]
01AC095A 访问违规: 正在写入到 [00000000]
01AC0A5F 访问违规: 正在写入到 [00000000]
01AC0B2B 访问违规: 正在写入到 [00000000]
01AC0D5E 访问违规: 正在写入到 [00000000]
01AC0F62 访问违规: 正在写入到 [00000000]
01ABC73A INT3 命令位于01ABC73A
01A9DDE4 断点位于 01A9DDE4
01ABE1F0 访问违规: 正在写入到 [00000000]
01ABFAA5 访问违规: 正在写入到 [00000000]
01AB7D67 断点位于 01AB7D67
01ABCCB4 硬件断点 1 位于 01ABCCB4
iatstartaddr: 0086C578
iatstart_rva: 0046C578
iatsize: 000023D4
01CA02A2 断点位于 01CA02A2
OEP_rva: 0033358F
这时按F9可正常运行。
找到un_Beprg.exe, 双击结果提示“应用程序正常初始化(0xc0000005)失败,请单击“确定”,终止应用程序”。
运行ImportREC.exe
找到进程,OEP显示00001000直接点击“IAT AutoSearch”
提示如下:
Found address which may be in the Original IAT. Try 'Get Import'.
(If it is not correct, try RVA: 0046A000 Size :0000B000 )
点击“Fix Dump”选择“un_Beprg.exe”,提示保存“un_Beprg_.exe”成功
运行“un_Beprg_.exe”,结果提示:“un_Beprg_.exe遇到问题需要关闭。我们对此引起的不便表示抱歉。”
ImportREC.exe窗口内改成
RVA: 0046A000 Size :0000B000
结果一样。
请大侠们指点。
[课程]Android-CTF解题方法汇总!