【文章标题】: ASProtect 2.3 SKE build 06.26 Beta [Extract]脱壳笔记
【软件名称】: 三国贝贝
【软件大小】: 5.83mb
【下载地址】: http://www.52sg.com.cn/down.htm
【加壳方式】: ASProtect 2.3 SKE build 06.26 Beta
【保护方式】: 加壳
【使用工具】: peid ImportREC lOllyDBG LordPE
【操作平台】: XP
【作者声明】:小菜鸟,只是感兴趣,没有其他目的。
详细过程】
peid 查壳ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
用插件VERA查出Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]
用OD载入,运行VOLX大虾的Asprotect2.XX IAT fixer v2.2S 自动修复IAT .
脚本运行完后出了一个错误对话框内容是:Error on line 285 Text:and tmp3,OFFFF(这是什么意思?)
我再按ALT+L调出记录:
OllyDbg v1.10
点阵字体 'MS Sans Serif' 已被替换为 '宋体'
Asm2Clipboard PlugIn v0.1
Written by FaTmiKE 2oo4
I used code snippets from ExtraCopy PlugIn v1.0 by Regon
...so thanks to Regon for his great job!
Bookmarks sample plugin v1.06 (plugin demo)
Copyright (C) 2001, 2002 Oleh Yuschuk
CleanupEx v1.12.108 by Gigapede
CommandBar v3.00.108
Originary Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
GODUP ver 1.2 by godfather+ - Delphi edition
Hide Caption v1.00 by Gigapede
HideOD, www.pediy.com
ODbgScript v1.65.2 chinese version by hnhuqiong
http://bbs.pediy.com or http://www.unpack.cn
OllyDump v3.00.110 by Gigapede
OllyMachine v0.20
Written by Luo Cong
Compiled on Dec 7 2004 14:32:15
OllyScript v0.92
Written by SHaG
Ultra String Reference v0.11
Written by Luo Cong
Compiled on Sep 20 2005 15:33:30
WatchMan v1.00 by Gigapede
数据格式转换 plugin v1.1
该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
Copyright (C) 2006 by zhanshen[DFCG][RCT]
正在扫描导入库 '.\LIB\MFC42.Lib'
已解析出 6384 个序号
正在扫描导入库 '.\LIB\mfc71.Lib'
已解析出 6442 个序号
文件 'E:\1\Dream3G.exe'
ID 00000E64 的新进程已创建
00401000 ID 000000C8 的主线程已创建
00400000 模块 E:\1\Dream3G.exe
5D170000 模块 C:\windows\system32\COMCTL32.dll
5EFE0000 模块 C:\windows\system32\olepro32.dll
72F70000 模块 C:\windows\system32\winspool.drv
74C90000 模块 C:\windows\system32\oledlg.dll
75C60000 模块 C:\windows\system32\urlmon.dll
76320000 模块 C:\windows\system32\comdlg32.dll
76990000 模块 C:\windows\system32\ole32.dll
770F0000 模块 C:\windows\system32\OLEAUT32.dll
77BD0000 模块 C:\windows\system32\VERSION.dll
77BE0000 模块 C:\windows\system32\msvcrt.dll
77D10000 模块 C:\windows\system32\USER32.dll
77DA0000 模块 C:\windows\system32\ADVAPI32.dll
77E50000 模块 C:\windows\system32\RPCRT4.dll
77EF0000 模块 C:\windows\system32\GDI32.dll
77F40000 模块 C:\windows\system32\shlwapi.dll
77FC0000 模块 C:\windows\system32\Secur32.dll
7C800000 模块 C:\windows\system32\kernel32.dll
7C920000 模块 C:\windows\system32\ntdll.dll
7D590000 模块 C:\windows\system32\SHELL32.dll
76300000 模块 C:\windows\system32\IMM32.DLL
62C20000 模块 C:\windows\system32\LPK.DLL
73FA0000 模块 C:\windows\system32\USP10.dll
00401000 程序入口点
imgbase: 00400000
imgbasefromdisk: 00400000
tmp1: 004001E0
1stsecsize: 00067000
1stsecbase: 00401000 | Dream3G.<模块入口点>
tmp1: 004002D0 | ASCII ".adata"
lastsecsize: 00001000
lastsecbase: 00506000
isdll: 00000000
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
71A40000 模块 C:\windows\system32\wsock32.dll
71A20000 模块 C:\windows\system32\WS2_32.dll
71A10000 模块 C:\windows\system32\WS2HELP.dll
7C80176B 断点位于 kernel32.GetSystemTime
dllimgbase: 00BC0000
tmp4: 00BFF7F3
00BFFF66 访问违规: 正在写入到 [00000000]
00BFE2BA INT3 命令位于00BFE2BA
00BFF004 访问违规: 正在写入到 [00000000]
00BFF7F3 断点位于 00BFF7F3
thunkstop: 00BFF4B8
APIpoint3: 00BFDBFF
thunkpt: 00BF4C5A
patch1: 00BF49EC
tmp2: 0000003B
thunkdataloc: 00BC0200
tmp2: 00BFF6E0
这里也没有OEP入口点信息啊?这是怎么回事?
直接用ImportREC重新建表,抓取表后,修复保存后说IAI还有要手动修改的.这块本人还是个新手,搞不定,请大家帮忙研究一下给个做出一个教程来最好,我看论坛里都在说这个问题!就是没有一个能成功的!支持看雪!支持看雪!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
