【文章标题】: Mir2Login-脱壳记录-08022101
【文章作者】: ShellWolf
【软件名称】: Mir2Login
【下载地址】: 自己搜索下载
【加壳方式】: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
【使用工具】: OD,Volx脚本,LordPE,ImprotRec
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  看雪上看到有人求asprotect的脱壳.想测试下volx的脚本有多强大.
  
  准备：
  1、Peid(fly sig)查壳ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov.不知是否准确。
  2、verA 0.14显示Version: [ Unknown! ], Signature: [ 3FCBD2DA ]
  3、exeinfo查壳ASprotect ver 2.1 / 2.^
  
  脱壳：
  1、脚本脱
  OD载入后，运行Aspr2.XX_unpacker_v1.0SC.osc，日志窗口得到
  

             IAT 的地址 = 004B21A4
             IAT 的相对地址 = 000B21A4
             IAT 的大小 = 000007C4
  
             OEP 的地址 = 004AC2DC
             OEP 的相对地址 = 000AC2DC
  

  使用importrec根据上面数值，获得IAT,fix
  2、运行
  运行时弹出异常对话框，查看详细信息显示：
  

  AppName: de_mir2login_.exe	 AppVer: 1.0.0.1	 ModName: unknown
  ModVer: 0.0.0.0	 Offset: 021f0000
  

  3、补区段
  loadpe在加壳文件中dump,021f000区段。补到脱壳文件上。重建后运行正常。
  
--------------------------------------------------------------------------------
【经验总结】
  脚本脱的，多谢volx。脚本很黄，很暴力。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2008年02月21日 21:58:23

[课程]FART 脱壳王！加量不加价！FART作者讲授！