【文章标题】: ASProtect 2.1x SKE -> Alexey Solodovnikov脚本脱壳记录
【文章作者】: suifengjz
【作者邮箱】: 765603171@qq.com
【作者QQ号】: 765603171
【软件名称】: ResScope(英文版)
【软件大小】: 1.85M
【下载地址】: 自己搜索下载
【加壳方式】:  ASProtect V2.X Registered
【编写语言】: 脱壳后，没有查出来
【使用工具】: PEiD，OD，Volx大侠ASProtect脚本
【软件介绍】: 这是一个类似 eXeScope 的软件资源分析和编辑工具
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  开始，先查下壳
  普通扫描：ASProtect V2.X Registered -> Alexey Solodovnikov
  扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据
  用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
  第一步：脱壳
  先OD载入吧，使用插件->odbgscript->运行脚本 -> 打开（Aspr2.XX_unpacker_v1.0SC.osc）
   运行脚本过程有『偷窃代码，请查看记录窗口内的IAT数据』点击确定，查看窗口记录，找到如下项
  
  消息=IAT 的地址 = 006AE1F4
       IAT 的相对地址 = 002AE1F4
       IAT 的大小 = 00000A74
       断点位于 01140079
       OEP 的地址 = 0068B8FC
       OEP 的相对地址 = 0028B8FC
  运行ImportREC，附加脱壳的进程，把od窗口记录里面的 “OEP 的相对地址” 0028B8FC数据填写到oep，
  “IAT 的大小”的数据00000A74填写到“ImportREC的大小”，
  “IAT 的相对地址”的数据002AE1F4填写到RVA，点击获取输入表->修复转存文件->选择dump的文件
  好了，本来想处理附加数据，发现文件可以使用，就没有处理
  
   
  
  
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2008年11月01日 15:35:14

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！