首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]ASPACK 2.* 脱壳后无法修复问题 0.00雪花
发表于: 2008-7-28 10:11 3226

[旧帖] [求助]ASPACK 2.* 脱壳后无法修复问题 0.00雪花

icefisher 活跃值
3
2008-7-28 10:11
3226
做了下PEDIY_CrackMe_2007,其中第一个例子序列号,bigman's Crackme6 中的那个,壳是ASPACK,用ASPACK DIE可以直接脱掉,没有问题.但是当我用手脱时,找到OEP是4011CB(我觉得应该没找错),然后无论是ollyice中直接dump 还是用lordpe出来后,再用importrec修复时,获取输入表只能找到CRTDLL.DLL,修复后还是不能运行.
    把importRec修复后的用OLLYICE和用脱壳机脱壳的跟一遍比较时,发现其中调用USER32.DLL时,手动脱的找不到,内存中也没有USER32.DLL.
    用PEDITOR察看输入表,手脱的只有CRTDLL.DLL,而脱壳机脱的则有3个DLL.
     谁能帮忙告诉我为什么,究竟是我哪一步没作对呢,附件中UNPACK.EXE是脱壳机脱的,LORDPE脱壳后_.exe是手脱壳后修复
     附件下载:
http://s21.live-share.com/d/a5/7f/339695/crackme6.rar
http://www.live-share.com/files/339695/crackme6.rar.html

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
icefisher
雪    币: 93
活跃值: (43)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
2
哎.怎么没人回答呢,是不是要自己手动补上呢?自己顶顶
2008-7-28 11:42
0
stalker
雪    币: 399
活跃值: (38)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
3
看了一下,ImportREC找到的不准确
自己找一下IAT起始地址和大小,不难找到
http://bbs.pediy.com/showthread.php?s=&threadid=20366
看看上面这篇文章的11楼吧,祝你成功
2008-7-28 13:19
0
icefisher
雪    币: 93
活跃值: (43)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
4
先谢谢了stalker了,那篇文章前天看过,但是最后两个部分我跳过去了,正好今天去研究
2008-7-28 13:33
0
icefisher
雪    币: 93
活跃值: (43)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
5
恩,果然就是这个问题.
  总结下教训吧:如果出现IMPORTREC获得函数偏少,或者是修复完发现DLL,数目不对,都有可能是IAT的RVA和大小自动找的不对,这是就要自己手动去找,方法如
http://bbs.pediy.com/showthread.php?s=&threadid=20366
11楼所讲,另外注意点就是填写IAT大小时,一定要包括最后一个DLL的最后一个函数,比如最后一个函数是403150开始,第一个函数是403100开始.
那么IAT开始就是3100(要减去imagebase),大小要添51以上(含51),大小不能添成50,否则最后一个就漏了.
   还有就是用教材上所说的方法长型->地址时,不是所有的函数都能识别出名字的?这点我也很奇怪.还有为什么IMPORTREC会识别错误呢?看来还要再看看
   最后再次谢谢stalker,问题解决.
2008-7-28 14:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//