【文章标题】: Mir2Login-脱壳记录-08022101
【文章作者】: ShellWolf
【软件名称】: Mir2Login
【下载地址】: 自己搜索下载
【加壳方式】: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
【使用工具】: OD,Volx脚本,LordPE,ImprotRec
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
看雪上看到有人求asprotect的脱壳.想测试下volx的脚本有多强大.
准备:
1、Peid(fly sig)查壳ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov.不知是否准确。
2、verA 0.14显示Version: [ Unknown! ], Signature: [ 3FCBD2DA ]
3、exeinfo查壳ASprotect ver 2.1 / 2.^
脱壳:
1、脚本脱
OD载入后,运行Aspr2.XX_unpacker_v1.0SC.osc,日志窗口得到
IAT 的地址 = 004B21A4
IAT 的相对地址 = 000B21A4
IAT 的大小 = 000007C4
OEP 的地址 = 004AC2DC
OEP 的相对地址 = 000AC2DC
使用importrec根据上面数值,获得IAT,fix
2、运行
运行时弹出异常对话框,查看详细信息显示:
AppName: de_mir2login_.exe AppVer: 1.0.0.1 ModName: unknown
ModVer: 0.0.0.0 Offset: 021f0000
3、补区段
loadpe在加壳文件中dump,021f000区段。补到脱壳文件上。重建后运行正常。
--------------------------------------------------------------------------------
【经验总结】
脚本脱的,多谢volx。脚本很黄,很暴力。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年02月21日 21:58:23
[课程]FART 脱壳王!加量不加价!FART作者讲授!