-
-
ASPack 2.12脱壳遇到的问题?
-
发表于:
2004-11-5 16:09
4884
-
脱壳方法是按论坛一位朋友写的教程所做的
工具
Ollydbg, LordPE, Import , PEiD
脱壳过程很简单 用Ollydbg高入程序
找到入口点
005003B0 /75 08 jnz short test.005003BA
005003B2 |B8 01000000 mov eax,1
005003B7 |C2 0C00 retn 0C
005003BA \68 B0D44B00 push test.004BD4B0
005003BF C3 retn
运行到 005003BF
打开LoadPe,
找到test.exe的进程, 选择dump full, 保存为dumped.exe, 再用PEiD看看: 还是"ASPack 2.12".
把Ollydbg关闭掉, 运行加了壳的test.exe,
然后打开Import REC, 选择test.exe进程.
这时候显示程序的OEP是00100001,
填入刚才找到的000BD4B0
按IAT AutoSearch按钮, 出现对话窗Found Something,
确定后再按Get Imports修复.
都自动完成了. 那么就按Fix Dump,
选择刚才保存的dumped.exe. 然后就退出Import REConstructor了.
再用PEiD一看dumped_.exe: "Borland Delphi 6.0 - 7.0".
运行一下呢? 出现问题了
内存不能为"read"
Runtime error 216 at 0040332A
请问高手 这是怎么回事? 是不是还需要改什么东东? 谢谢
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
