首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助][求助]volx的Aspr2.XX_unpacker 1.0脚本 ,有还原stolen code功能么?
发表于: 2007-7-4 10:05 6660

[求助][求助]volx的Aspr2.XX_unpacker 1.0脚本 ,有还原stolen code功能么?

jiller 活跃值
2007-7-4 10:05
6660
volx的Aspr2.XX_unpacker1.0脚本,有还原stolencode功能么?
当运行脚本终了的时候,出现提示“Therearestolencode,checkIATdatainlogwindow”.但是log文件里没有显示哪里是被stolen了。大家到这里后,下一步是如何处理stolencode的?
我按alt+M后,在可能出现stolen code 的section,F2下断,然后F9数下,出现了一个错误提示“don't know how to continue because memory at adress  xxxxxxxx is not readable .Try to change EIP or  pass exception to program”,就进行不下去了。
但是用脚本Aspr2.XX_IATfixer_v2.2s,Alt+M手动找stolen code section 就一切正常。

打开该脚本文件,看到有下面的脚本代码,似乎又有自动增加stolencodesection的功能。
lab144:
addtmp1,4C//signVA+A0--RVAofRelocationTable
mov[tmp1],0
addtmp1,4//signVA+A4--SizeofRelocationTable
mov[tmp1],0
eval"de_{tmp6}.exe"
movtmp5,$RESULT
logtmp3,"AddressofOEP="
logOEP_rva,"RVAofOEP="
movtmp1,lastsecbase
addtmp1,lastsecsize
subtmp1,imgbase
dmimgbase,tmp1,tmp5//dumpfile
cmpnewphysec,0//withstolencodesection?
jelab145
movtmp1,lastsecbase
addtmp1,lastsecsize
cmptmp1,virtualsec
jnelab145
dmanewphysec,newphysecsize,tmp5//addstolencodesection

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
闪电狼
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
自动补到区段里
然后自动生成de_文件
2007-7-4 11:01
0
jiller
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我脱一个加了aspr的软件的时候,用Aspr2.XX_unpacker1.0得到的de_xxxx.exe文件用importREC修复IAT后,得到de_xxxx_.exe,不能运行, peid识别结果是“nothing found *".

改用Aspr2.XX_IATfixer_v2.2s,Alt+M手动找stolen code section ,给de_xxxx.exe补区段后再修复IAT,得到de_xxxx_.exe,就能识别出是"Borland Delphi DLL",能够正常运行.
2007-7-4 16:14
0
gszsg
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
想学学补区段
2007-9-30 15:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//