ASProtect 2.3 SKE build 06.26 Beta [Extract]脱壳修复后不能运行问题已解决！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] ASProtect 2.3 SKE build 06.26 Beta [Extract]脱壳修复后不能运行问题已解决！ 0.00雪花

发表于: 2008-8-14 19:22 7976

[旧帖] ASProtect 2.3 SKE build 06.26 Beta [Extract]脱壳修复后不能运行问题已解决！ 0.00雪花

snopy

2008-8-14 19:22

7976

这里是软件下载地址:
jianghu.rar

用PEID查:      ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay]
用Vera 0.15查:  ASProtect 2.3 SKE build 06.26 Beta [Extract]

Aspr2.XX_unpacker_v1.0SC.osc
Aspr2.XX_unpacker_v1.13E.osc
Aspr2.XX_unpacker_1.14a.osc

用以上脚本都能找到相同的OEP，数据如下：

             IAT 的地址 = 00407000
             IAT 的相对地址 = 00007000
             IAT 的大小 = 000000C0
00A2042   断点位于 00A2042
             OEP 的地址 = 0048B026
             OEP 的相对地址 = 0008B026

然后用 Import Reconstructor 修复输入表，用 Import Reconstructor 修复时没有直接点击“自动查找IAT”！而是按照记录窗口最下面的数据分别在ImportREC中填入“OEP”（对应“OEP的相对地址”），“RVA”（对应“IAT的相对地址”），“Size”（对应“IAT的大小”），然后点击“获取输入表”，最后点击“修复储存文件”，成功生成文件！

但这个文件不能运行？请问我是哪一步做错了，还是少做了哪一步？请大吓们详细指教，谢谢！

若有对此壳感兴趣的朋友，希望帮帮手，最好能写一下破解过程，也好让我等新手学习学习。

问题已经解决了，真心谢谢帮助我的rxzcums大侠！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・3

免费・0

支持

最新回复 (22)
君君寒雪币： 6092 活跃值： (699) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 2 楼违规 2008-8-14 20:24 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 3 楼这个不违规。你脱的是对的，接下来还有一步是添加附加数据，这步之后就能运行了。十有八九是要改超级链接，我都看透了。 2008-8-14 21:54 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 4 楼但我论坛里的附加数据工具看过，说里面没有附加数据！ 2008-8-14 22:02 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 5 楼怎么没有啊？我脱完添加附加数据就可以运行了！这不是附加数据是什么？？ ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay] ------- 附件删除 2008-8-14 22:08 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 6 楼 [QUOTE=rxzcums;496511]怎么没有啊？我脱完添加附加数据就可以运行了！这不是附加数据是什么？？ ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay][/QUOTE] 谢谢 rxzcums 的帮忙！那到底如何才找到这个软件的附加数据？我用WinHex找了一个小时了也没找到，我真笨！ 2008-8-14 22:12 0
小菜鸟一雪币： 1079 活跃值： (4167) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 7 楼好像有添加附加数据的专用工具哦或者手动用WINHEX 添加百度下教程 2008-8-14 22:23 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 8 楼 peid 就能看到了 2008-8-14 22:24 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 9 楼是不是最后一行区段？ .adata 000DE000 00001000 000B7400 00000000 E0000040 是不是找个 000B7400 这个位置的附加数据？ 2008-8-14 22:34 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 10 楼 000B7400后面的都是因为这个区的大小是0 2008-8-14 22:50 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 11 楼哦！非常谢谢rxzcums大侠的帮忙，我先去试试，希望能一次搞好！ 2008-8-14 22:55 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 12 楼超级郁闷，我还是不行，rxzcums大侠，能不能把你做的每一步抓成图片发给我看看，我用 Import Reconstructor 修复储存后的文件跟没脱壳的文件一样大，然后从 000B7400 到后面的附加数据复制到脱壳后的文件上，文件变成2.13MB，比你的脱好壳好的文件大很多！不知道我那里做错了？ 2008-8-14 23:27 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 13 楼我在想是不是 Import Reconstructor 这里做错了？希望rxzcums大侠能说说这里的情况！ 2008-8-14 23:31 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 14 楼点击“修复储存文件”后你选择对文件了吗？没有选了原来没脱壳的文件吧？修复后的文件运行显示：Invalid data in the file! 是吗？ 2008-8-14 23:35 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 15 楼对，我有选原来没脱壳的文件 2008-8-14 23:38 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 16 楼还有新建输入表信息这里我是用软件默认值的，这里对不对？ 2008-8-14 23:39 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 17 楼需要的ITA信息： OEP 0008B026 RVA 00007000 大小 000000C0 输入上面信息到ITA信息中，然后点击“获取输入表”，新建输入表信息自动变成下面的信息：新建输入表信息：RVA 00000000 大小 00000366 默认勾上最后点击“修复储存文件”，选择原来没脱壳的文件后成功生成文件！ 2008-8-14 23:43 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 18 楼谁教你的选原来没脱壳的文件选脚本生成的：de_jianghu.exe 看你在帖子里讲的头头是道、很清楚，没想到这个都选错。。。真是大大出乎我的意料啊 2008-8-14 23:43 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 19 楼啊~~~~原来错在这里啊，可能我看教程都看晕了，我现在再试试，谢谢rxzcums大侠！ 2008-8-14 23:48 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 20 楼哈哈。。。终于成功脱我第一壳啦！！！在些真心谢谢rxzcums大侠的帮助！！！ 2008-8-14 23:53 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 21 楼不客气，是你太粗心了。不过我是菜鸟，别叫我。。。好了该睡了~ 2008-8-14 23:58 0
lzq1973 雪币： 231 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	lzq1973 3 22 楼按照上述学做，竟修复不成功 2008-8-20 09:02 0
photoliao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	photoliao 23 楼我在尝试脱另一个软件时用peid v0.94 查是 ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay] 然后vera 0.15 的插件再查显示 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 接着就用OD载入，用 Aspr2.XX_unpacker_1.14a.osc 脱壳脚本运行后提示没有偷窃代码。同时打开IR输入找到的oep、ITA相对地址、大小等修复后保存，而且也添加完附加数据，点击正常运行此时再用PEid查普通扫描显示MoleBox v2.0 [Overlay] * 深度或核心扫描显示Microsoft Visual C++ 6.0 [Overlay] 请问以上情况说明我脱壳成功了吗？还是有第二个壳？有的话接下来怎么办？而且在接下来用od载入调试过程中老是出现下图的提示，怎么办？？？附件：http://www.rayfile.com/files/6463f180-6e8c-11dd-a442-0014221b798a/ 2008-8-20 15:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

snopy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
君君寒雪币： 6092 活跃值： (699) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 2 楼违规 2008-8-14 20:24 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 3 楼这个不违规。你脱的是对的，接下来还有一步是添加附加数据，这步之后就能运行了。十有八九是要改超级链接，我都看透了。 2008-8-14 21:54 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 4 楼但我论坛里的附加数据工具看过，说里面没有附加数据！ 2008-8-14 22:02 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 5 楼怎么没有啊？我脱完添加附加数据就可以运行了！这不是附加数据是什么？？ ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay] ------- 附件删除 2008-8-14 22:08 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 6 楼 [QUOTE=rxzcums;496511]怎么没有啊？我脱完添加附加数据就可以运行了！这不是附加数据是什么？？ ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay][/QUOTE] 谢谢 rxzcums 的帮忙！那到底如何才找到这个软件的附加数据？我用WinHex找了一个小时了也没找到，我真笨！ 2008-8-14 22:12 0
小菜鸟一雪币： 1079 活跃值： (4167) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 7 楼好像有添加附加数据的专用工具哦或者手动用WINHEX 添加百度下教程 2008-8-14 22:23 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 8 楼 peid 就能看到了 2008-8-14 22:24 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 9 楼是不是最后一行区段？ .adata 000DE000 00001000 000B7400 00000000 E0000040 是不是找个 000B7400 这个位置的附加数据？ 2008-8-14 22:34 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 10 楼 000B7400后面的都是因为这个区的大小是0 2008-8-14 22:50 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 11 楼哦！非常谢谢rxzcums大侠的帮忙，我先去试试，希望能一次搞好！ 2008-8-14 22:55 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 12 楼超级郁闷，我还是不行，rxzcums大侠，能不能把你做的每一步抓成图片发给我看看，我用 Import Reconstructor 修复储存后的文件跟没脱壳的文件一样大，然后从 000B7400 到后面的附加数据复制到脱壳后的文件上，文件变成2.13MB，比你的脱好壳好的文件大很多！不知道我那里做错了？ 2008-8-14 23:27 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 13 楼我在想是不是 Import Reconstructor 这里做错了？希望rxzcums大侠能说说这里的情况！ 2008-8-14 23:31 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 14 楼点击“修复储存文件”后你选择对文件了吗？没有选了原来没脱壳的文件吧？修复后的文件运行显示：Invalid data in the file! 是吗？ 2008-8-14 23:35 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 15 楼对，我有选原来没脱壳的文件 2008-8-14 23:38 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 16 楼还有新建输入表信息这里我是用软件默认值的，这里对不对？ 2008-8-14 23:39 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 17 楼需要的ITA信息： OEP 0008B026 RVA 00007000 大小 000000C0 输入上面信息到ITA信息中，然后点击“获取输入表”，新建输入表信息自动变成下面的信息：新建输入表信息：RVA 00000000 大小 00000366 默认勾上最后点击“修复储存文件”，选择原来没脱壳的文件后成功生成文件！ 2008-8-14 23:43 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 18 楼谁教你的选原来没脱壳的文件选脚本生成的：de_jianghu.exe 看你在帖子里讲的头头是道、很清楚，没想到这个都选错。。。真是大大出乎我的意料啊 2008-8-14 23:43 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 19 楼啊~~~~原来错在这里啊，可能我看教程都看晕了，我现在再试试，谢谢rxzcums大侠！ 2008-8-14 23:48 0
snopy 雪币： 408 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	snopy 20 楼哈哈。。。终于成功脱我第一壳啦！！！在些真心谢谢rxzcums大侠的帮助！！！ 2008-8-14 23:53 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 21 楼不客气，是你太粗心了。不过我是菜鸟，别叫我。。。好了该睡了~ 2008-8-14 23:58 0
lzq1973 雪币： 231 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	lzq1973 3 22 楼按照上述学做，竟修复不成功 2008-8-20 09:02 0
photoliao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	photoliao 23 楼我在尝试脱另一个软件时用peid v0.94 查是 ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay] 然后vera 0.15 的插件再查显示 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract] 接着就用OD载入，用 Aspr2.XX_unpacker_1.14a.osc 脱壳脚本运行后提示没有偷窃代码。同时打开IR输入找到的oep、ITA相对地址、大小等修复后保存，而且也添加完附加数据，点击正常运行此时再用PEid查普通扫描显示MoleBox v2.0 [Overlay] * 深度或核心扫描显示Microsoft Visual C++ 6.0 [Overlay] 请问以上情况说明我脱壳成功了吗？还是有第二个壳？有的话接下来怎么办？而且在接下来用od载入调试过程中老是出现下图的提示，怎么办？？？附件：http://www.rayfile.com/files/6463f180-6e8c-11dd-a442-0014221b798a/ 2008-8-20 15:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] ASProtect 2.3 SKE build 06.26 Beta [Extract]脱壳修复后不能运行 问题已解决！ 0.00雪花

[旧帖] ASProtect 2.3 SKE build 06.26 Beta [Extract]脱壳修复后不能运行问题已解决！ 0.00雪花