首页
社区
课程
招聘
[求助]急急急,壳的问题--ASPack 2.12 -> Alexey Solodovnikov,导入地址表修复不了,求帮忙!!!
发表于: 2008-4-27 08:48 5530

[求助]急急急,壳的问题--ASPack 2.12 -> Alexey Solodovnikov,导入地址表修复不了,求帮忙!!!

2008-4-27 08:48
5530
本人对壳的学习不太深入,一般调试软件时都用脚本或自动脱壳机去之。
今日碰到一壳,用PEiD查壳,
外部扫描显示ASPack v2.12 *,
其它扫描显示ASPack 2.12 -> Alexey Solodovnikov,
我用OD中hacnho/VCT2k4的ASPACK 2。21脚本脱壳后,停在了00514840处,我认为它确实是OEP,
DUMP成功,但修复时出现了问题:ImportREC填入OEP 114840,IAT auto search,Get Imports,找到71(十进制113)个函数,但全部无效,且自动追踪无法找到真正的函数指针,

向壳的高手请教,这样的情况可能是怎么回事?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
2
顶起,等待回复中。
2008-4-27 09:51
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
3
再顶一次,希望脱壳的大牛能够看到。。。
2008-4-27 10:53
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
4
你先试试脱壳机(http://www.pediy.com/tools/unpacker.htm),如果失败,估计这个不是Aspack,可能是个伪装。
2008-4-27 11:15
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
5
等了一上午,终于等到了看雪老大。

脱壳机试过了,与OD的pedump插件一样,脱掉后PEiD显示为delphi,一运行就出错,是运行中出现的异常,不是装载时的错误

我怀疑是程序有检验,或者壳作过手脚,我再跟跟试试。。。

唉,应该好好补补壳的基本功了,总靠自动化工具真不行啊。。。
2008-4-27 11:26
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
6
那自校验的可能性大些,你可以用CreateFileA或GetFileSize等文件相关API设断试试。
另外,一个笨办法,是同时加载脱壳与原文件,慢慢比对着跟踪。
2008-4-27 11:37
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
7
嗯,谢谢看雪老大指点,我现在正在两个对比着跟。。。

貌似不是自校验,应该还是需要修复的问题。

正在努力中。。。
2008-4-27 12:04
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
看起来是伪装壳
2008-4-27 12:25
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
9
需要怎么样的脱壳机才行?

[标准扫描] ASProtect 1.23 RC4 Registered -> Alexey Solodovnikov
[外部扫描] ASProtect V2.X Registered -> Alexey Solodovnikov *
2008-7-10 12:51
0
游客
登录 | 注册 方可回帖
返回
//