[求助]ASPack 2.12壳用ESP定律脱以后修复问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]ASPack 2.12壳用ESP定律脱以后修复问题 0.00雪花

发表于: 2008-5-18 14:22 7277

[旧帖] [求助]ASPack 2.12壳用ESP定律脱以后修复问题 0.00雪花

cugglobe

2008-5-18 14:22

7277

这个壳据说是很菜很菜的。。。网上找了几个脱壳机都脱不了。于是试试手脱。可是还是问题大大。。。
ASPack 2.12壳脱壳后，用ImportREC修复IAT。仍然无法使用。错在哪里了呢？

脱壳过程：

OD载入

00436001 >  60              pushad          //载入停在这里,F8下一步
00436002    E8 03000000     call    0043600A       //应用ESP定律脱壳,dd 0012ffa4,下硬件,字断点,F9运行程序
......................
004363B0   /75 08           jnz     short 004363BA      //停在这里,F8继续往下走
004363B2   |B8 01000000     mov     eax, 1
004363B7   |C2 0C00         retn    0C
004363BA   \68 9F384000     push    0040389F
............................
0040389F    55              push    ebp  //就到这里了,dump出来，再用ImportREC修复。
============================

ImportREC载入进程

我认为ope为：0000389F，自动查找IAT提示可能发现原始IAT,确定，获取输入表。

分析进程...
模块已载入: c:\windows\system32\ntdll.dll
模块已载入: c:\windows\system32\kernel32.dll
模块已载入: c:\windows\system32\user32.dll
模块已载入: c:\windows\system32\gdi32.dll
模块已载入: c:\windows\system32\imm32.dll
模块已载入: c:\windows\system32\advapi32.dll
模块已载入: c:\windows\system32\rpcrt4.dll
模块已载入: c:\windows\system32\lpk.dll
模块已载入: c:\windows\system32\usp10.dll
模块已载入: c:\windows\system32\msvcrt.dll
获取关联模块完成.
镜像基址:00400000 大小:00039000
原始 IAT RVA 发现于: 00007048 位于块 RVA: 00007000 大小:00001000
IAT 读取成功.
rva:00007034 来自模块:ntdll.dll 序号:0234 名称:RtlAllocateHeap
rva:00007038 来自模块:ntdll.dll 序号:0203 名称:RtlFreeHeap
rva:00007068 来自模块:ntdll.dll 序号:036B 名称:RtlReAllocateHeap
rva:00007098 来自模块:ntdll.dll 序号:015F 名称:RtlUnwind
---------------------------------------------------------------------------------------------------------------------------
当前输入表:
2 (十进制:2) 个有效模块 (已添加: +2 (十进制:+2))
2E (十进制:46) 个输入函数. (已添加: +2E (十进制:+46))

转存以后仍然无法运行。。。。。。。。
提示：
Invalid data in the file!

另外我发现源文件有1M多，“脱掉”以后才229K了。。。是不是有问题呢？

附件如下：

dumped

creakme

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (16)
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 2 楼添加附加数据 2008-5-18 15:37 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 3 楼 LZ这个是E语言写的，ASPack将Exe和E语言的运行库Dll打包到同一个文件里面，也就是说原来的CrackMe会从Exe文件本身末尾开始读取数据，并将dll解压出来，然后再用LoadLibrary动态加载之。脱壳后的文件与原Exe结构不同，并且也不再附带那几个dll，所以就不能运行了。在CreateFile内部下断点，可以发现这几个文件是： C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\krnln.fnr C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\eAPI.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\iext.fnr C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\iext5.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\iext5.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\dp1.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\shell.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\spec.fne 可以用以下方法解决（基本上是体力活了）：运行原Exe时，复制以上的几个文件到exe同目录下。通过CreateFile下断，找到读取原Exe文件数据的代码位置，直接jmp到写成功的地方，修改LoadLibrary的文件路径的生成方式部分的代码，改为相同目录的路径。曾经脱过一个E语言写的图标易换器的壳，那个只有两个dll，LZ这个有这么多，估计是比较累了…… 2008-5-19 10:01 0
cugglobe 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	cugglobe 4 楼在网上找到一个脱壳机：ASPack_all_11 就干掉了。 PEID查的是Microsoft Visual C++ 6.0 [Overlay] 用IM比较了源文件和用ESP脱壳的文件。有很多DLL都没有被调用。刚开始学脱壳。还望大家多多指教。 2008-5-19 22:03 0
heiyelang 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 88 粉丝 0 关注私信	heiyelang 5 楼汗一个啊，还有这么一说？我脱壳后，添加附加数据，运行正常啊！！ o(∩_∩)o... 楼主如果不想用脚本脱壳的话，可以搜索下，学习如何添加附加数据！在论坛搜索下！ 2008-5-19 22:15 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 6 楼其实你自己也脱好的啦,直接把附加数据添上就解决问题啦,我给你脱了个 http://www.fs2you.com/files/f0f82b78-25af-11dd-bc15-00142218fc6e/ 2008-5-19 22:28 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 7 楼 ESP定律直接秒杀!!!!!!1 2008-5-19 22:29 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 8 楼原先脱那个“图标易换器”的时候也想加些数据回去好了。不过本人有些“洁癖”，比较反感它写文件到我临时目录，而且每次解压也需要耗费2秒左右的时间，关掉重开又要两秒。后来就干脆把dll放同目录下算了，直接跳过解压的步骤…… 2008-5-19 22:29 0
heiyelang 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 88 粉丝 0 关注私信	heiyelang 9 楼 ho(∩_∩)o... 是这样啊有幸能看到你关于这样的教程，得好好看看 o(∩_∩)o...~~~ 2008-5-19 22:49 0
爱随缘雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	爱随缘 10 楼用od直接脱壳，然后附加数据再加上去就可以了 2008-5-19 23:41 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 11 楼 [QUOTE=cugglobe;455524]在网上找到一个脱壳机：ASPack_all_11 就干掉了。 PEID查的是Microsoft Visual C++ 6.0 [Overlay] 用IM比较了源文件和用ESP脱壳的文件。有很多DLL都没有被调用。刚开始学脱壳。还望大家多多指教。[/QUOTE] ASPack_all_11 这个哪里找到？没找到，提示下，谢谢 2008-5-20 23:29 0
momentruin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	momentruin 12 楼这个要附加数据，用LOADPE查一下最后一个区段有多大，然后用WINHEX把附加数据填入就行了。 2008-5-21 08:05 0
kebaopeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	kebaopeng 13 楼呵呵，我有脱壳机哦 2008-5-21 09:18 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 14 楼这个是附加数据11800开始 2008-5-21 09:50 0
皮皮乳雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	皮皮乳 15 楼我用QUnpack脱的是能看到用dephi写的是不是算完全脱掉了？ 2008-5-21 11:37 0
cugglobe 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	cugglobe 16 楼看雪里好像也有那个脱壳机。 2008-5-23 09:05 0
小晓风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	小晓风 17 楼这个壳太菜了,现在很少有用这个壳啦 2008-5-23 09:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cugglobe

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 2 楼添加附加数据 2008-5-18 15:37 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 3 楼 LZ这个是E语言写的，ASPack将Exe和E语言的运行库Dll打包到同一个文件里面，也就是说原来的CrackMe会从Exe文件本身末尾开始读取数据，并将dll解压出来，然后再用LoadLibrary动态加载之。脱壳后的文件与原Exe结构不同，并且也不再附带那几个dll，所以就不能运行了。在CreateFile内部下断点，可以发现这几个文件是： C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\krnln.fnr C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\eAPI.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\iext.fnr C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\iext5.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\iext5.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\dp1.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\shell.fne C:\DOCUME~1\用户名\LOCALS~1\Temp\E_4\spec.fne 可以用以下方法解决（基本上是体力活了）：运行原Exe时，复制以上的几个文件到exe同目录下。通过CreateFile下断，找到读取原Exe文件数据的代码位置，直接jmp到写成功的地方，修改LoadLibrary的文件路径的生成方式部分的代码，改为相同目录的路径。曾经脱过一个E语言写的图标易换器的壳，那个只有两个dll，LZ这个有这么多，估计是比较累了…… 2008-5-19 10:01 0
cugglobe 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	cugglobe 4 楼在网上找到一个脱壳机：ASPack_all_11 就干掉了。 PEID查的是Microsoft Visual C++ 6.0 [Overlay] 用IM比较了源文件和用ESP脱壳的文件。有很多DLL都没有被调用。刚开始学脱壳。还望大家多多指教。 2008-5-19 22:03 0
heiyelang 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 88 粉丝 0 关注私信	heiyelang 5 楼汗一个啊，还有这么一说？我脱壳后，添加附加数据，运行正常啊！！ o(∩_∩)o... 楼主如果不想用脚本脱壳的话，可以搜索下，学习如何添加附加数据！在论坛搜索下！ 2008-5-19 22:15 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 6 楼其实你自己也脱好的啦,直接把附加数据添上就解决问题啦,我给你脱了个 http://www.fs2you.com/files/f0f82b78-25af-11dd-bc15-00142218fc6e/ 2008-5-19 22:28 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 7 楼 ESP定律直接秒杀!!!!!!1 2008-5-19 22:29 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 8 楼原先脱那个“图标易换器”的时候也想加些数据回去好了。不过本人有些“洁癖”，比较反感它写文件到我临时目录，而且每次解压也需要耗费2秒左右的时间，关掉重开又要两秒。后来就干脆把dll放同目录下算了，直接跳过解压的步骤…… 2008-5-19 22:29 0
heiyelang 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 88 粉丝 0 关注私信	heiyelang 9 楼 ho(∩_∩)o... 是这样啊有幸能看到你关于这样的教程，得好好看看 o(∩_∩)o...~~~ 2008-5-19 22:49 0
爱随缘雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	爱随缘 10 楼用od直接脱壳，然后附加数据再加上去就可以了 2008-5-19 23:41 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 11 楼 [QUOTE=cugglobe;455524]在网上找到一个脱壳机：ASPack_all_11 就干掉了。 PEID查的是Microsoft Visual C++ 6.0 [Overlay] 用IM比较了源文件和用ESP脱壳的文件。有很多DLL都没有被调用。刚开始学脱壳。还望大家多多指教。[/QUOTE] ASPack_all_11 这个哪里找到？没找到，提示下，谢谢 2008-5-20 23:29 0
momentruin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	momentruin 12 楼这个要附加数据，用LOADPE查一下最后一个区段有多大，然后用WINHEX把附加数据填入就行了。 2008-5-21 08:05 0
kebaopeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	kebaopeng 13 楼呵呵，我有脱壳机哦 2008-5-21 09:18 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 14 楼这个是附加数据11800开始 2008-5-21 09:50 0
皮皮乳雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	皮皮乳 15 楼我用QUnpack脱的是能看到用dephi写的是不是算完全脱掉了？ 2008-5-21 11:37 0
cugglobe 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	cugglobe 16 楼看雪里好像也有那个脱壳机。 2008-5-23 09:05 0
小晓风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	小晓风 17 楼这个壳太菜了,现在很少有用这个壳啦 2008-5-23 09:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复