看了http://bbs.pediy.com/showthread.php?t=63634&highlight=ASProtect+1+23+RC4
我開始脱ftp://219.239.138.183/SoWorker_tw.exe也是这个壳出现了问题
一开始shift+F9 2X次左右,然后使用Esp定律找oep
00510B37 0000 ADD BYTE PTR DS:[EAX],AL "oep
00510B39 0000 ADD BYTE PTR DS:[EAX],AL
00510B3B 0000 ADD BYTE PTR DS:[EAX],AL
00510B3D 0000 ADD BYTE PTR DS:[EAX],AL
00510B3F 0000 ADD BYTE PTR DS:[EAX],AL
00510B41 0000 ADD BYTE PTR DS:[EAX],AL
00510B43 0000 ADD BYTE PTR DS:[EAX],AL
00510B45 0000 ADD BYTE PTR DS:[EAX],AL
00510B47 0000 ADD BYTE PTR DS:[EAX],AL
00510B49 0000 ADD BYTE PTR DS:[EAX],AL
00510B4B 0000 ADD BYTE PTR DS:[EAX],AL
00510B4D 0000 ADD BYTE PTR DS:[EAX],AL
00510B4F 0000 ADD BYTE PTR DS:[EAX],AL
00510B51 0000 ADD BYTE PTR DS:[EAX],AL
00510B53 0000 ADD BYTE PTR DS:[EAX],AL
00510B55 0000 ADD BYTE PTR DS:[EAX],AL
00510B57 0000 ADD BYTE PTR DS:[EAX],AL
00510B59 0000 ADD BYTE PTR DS:[EAX],AL
00510B5B 0000 ADD BYTE PTR DS:[EAX],AL
00510B5D FF15 8CD25400 CALL DWORD PTR DS:[54D28C]
然后整理stolen code 不知道有没有整理错麻烦您看一下
00510B37 55 PUSH EBP
00510B38 8BEC MOV EBP,ESP
00510B3A 6A FF PUSH -1
00510B3C 68 68025600 PUSH SoWorker.00560268
00510B41 68 206A5100 PUSH SoWorker.00516A20
00510B46 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00510B4C 50 PUSH EAX
00510B4D 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00510B54 83EC 58 SUB ESP,58
00510B57 53 PUSH EBX
00510B58 56 PUSH ESI
00510B59 57 PUSH EDI
00510B5A 68 5D0B5100 PUSH SoWorker.00510B5D
00510B5F 68 CC70CA00 PUSH 0CA70CC
贴上stolen code然后用OD脱壳dump修正入口位置00510B37
程序无法执行当然也无法执行imp修复
麻烦高手看一下我哪里做错了
会脱的高手也麻烦可以教我后面修复怎么做吗
[课程]FART 脱壳王!加量不加价!FART作者讲授!